暗号通貨は、従来の通貨システムに代わる安全で分散化された代替手段としてよく宣伝されています。しかし、長年にわたり多くの不運な投資家が学んだように、暗号通貨もハッキングや盗難の危険から逃れられるわけではありません。この記事では、暗号通貨史上最大のハッキングのいくつかを取り上げ、その発生経緯と、私たち自身のデジタル資産を守るためにそこから何を学べるかについて説明します。
1. Ronin Network: 6 億 2,500 万ドル (2022 年 3 月)
これまでで最大の仮想通貨ハッキングは2022年3月に行われ、人気のブロックチェーンゲームプラットフォーム「Axie Infinity」をサポートするネットワークを標的とした。ハッカーらはRonin Networkに侵入し、約6億2500万ドル相当のイーサリアムとUSDCステーブルコインを盗んだ。米国当局は、北朝鮮の国家支援を受けたハッカー集団「ラザルス・グループ」がこの盗難に関与していると述べた。バイナンスは1か月後に盗まれた資金のうち580万ドルを取り戻すことができたが、それでも史上最大のハッキングとなった。
このハッキングは、開発者がまだデプロイされていないコードを実験していたために発生しました。このコードはプロジェクトのバグを修正するためのものでしたが、実際にはハッカーがプロジェクトに侵入して、当時3億2500万ドル以上の価値がある120,000 wETHを自分に送金するための抜け穴を提供していました。ハッカーはまた、ユーザーがイーサリアムとRoninの間で資産を転送できるようにするRonin Bridgeスマートコントラクトの脆弱性を悪用し、さらに3億ドル相当のUSDCを流出させました。ハッカーは後に、これは楽しみのためにやったことだと主張し、Poly Networkチームと連絡を取った後、資金の一部を返却しました。
Ronin Network のハッキングは、ライブ ネットワークにコードを展開する前にテストと監査を行うことの重要性を示しています。また、セキュリティ上の欠陥や悪意のある行為者がいる可能性のあるサードパーティのプラットフォームやブリッジを信頼することのリスクも浮き彫りにしています。ユーザーは、暗号空間のサービスや製品を使用する前に、常に独自の調査とデュー デリジェンスを行う必要があります。
2. ポリネットワーク:6億1,100万ドル(2021年8月)
2021年8月、単独のハッカーがPoly Networkの分散型金融プラットフォームの脆弱性を突いて、6億ドル以上を盗み出しました。プロジェクトの開発者は、3,300万ドルのTetherを含む盗まれた資金についてTwitterで訴えを起こしました。その後、Poly Networkは資金を返還するためのアドレスをいくつか確立し、正体不明のハッカーが協力し始めました。わずか2日後には約3億ドルが回収され、ハッカーが「楽しみのため」または挑戦としてネットワークを標的にしていたことが明らかになりました。
Poly Network は、ユーザーがビットコイン、イーサリアム、バイナンス スマート チェーン、Polygon などの異なるブロックチェーン間でトークンを交換できるクロスチェーン プロトコルです。ハッカーはこれらのチェーン間のコントラクト呼び出しの欠陥を悪用し、さまざまなトークンを大量に自分のアドレスに転送しました。ハッカーは後に、脆弱性を暴露して人々にセキュリティに関する教訓を与えたかったと述べました。また、ハッカーは、お金を手元に残すつもりはなく、Poly Network チームと交渉した後、そのほとんどを返却したと主張しました。
Poly Network のハッキングは、クロスチェーン相互運用性の複雑さと脆弱性を示しています。また、ハッカーが単にお金を盗むこと以外の動機や倫理観を持っている可能性があることも示しています。ユーザーは、クロスチェーン プラットフォームとサービスの使用に伴う潜在的なリスクとトレードオフを認識する必要があります。
3. コインチェック: 5億3,400万ドル (2018年1月)
2018年1月、日本の仮想通貨取引所コインチェックがハッキングされ、5億3,400万ドル相当のNEMコイン(XEM)が盗まれた事件は、仮想通貨史上最も悪名高いハッキング事件の1つとなった。この攻撃は、デジタル資産の盗難としては史上最大規模となり、仮想通貨市場への多くの投資家の信頼を揺るがした。コインチェックはその後、自社の資金で顧客に補償し、セキュリティ対策を改善して業務を再開した。
このハッキングは、コインチェックが保有するNEMコインのほとんどを、インターネットに接続されハッキングに対して脆弱な単一のホットウォレットに保管していたために発生した。ハッカーらはウォレットの秘密鍵にアクセスし、5億2,300万XEMを複数のアドレスに送金した。
Coincheck のハッキングは、大量の暗号通貨を保管するには、オフラインでより安全なコールド ウォレットを使用することの重要性を示しています。また、ハッカーが巧妙な、または悪意のある手法を使用して検出を回避したり、被害者を欺いたりする可能性があることも示しています。ユーザーは常に、十分なセキュリティと保険ポリシーを備えた、評判が良く規制された取引所を選択する必要があります。
4. マウントゴックス: 4億7000万ドル (2011-2014)
マウントゴックスのハッキングは、最初の大規模な仮想通貨盗難事件であり、今でも最もよく知られている事件の1つです。かつて世界最大の取引所であったマウントゴックスは、ピーク時にはビットコイン取引全体の70%以上を扱っていた東京の会社でした。しかし、セキュリティ侵害、技術的問題、法的トラブルに悩まされ、最終的には倒産に至りました。2014年2月、マウントゴックスはハッキングにより85万ビットコイン(当時の価値で約4億7000万ドル)を失ったと主張し、事業を停止し、破産を申請しました。同社は後に、古いウォレットから20万ビットコインを回収したが、残りの65万ビットコインは見つからなかったと述べました。
ハッキングは、管理の不備、不十分なセキュリティ、規制の問題など、さまざまな要因が重なって起きた。ハッカーらは、ビットコイン プロトコルの「トランザクションの可塑性」という脆弱性を悪用し、トランザクション ID を変更して、マウント ゴックスからビットコインを受け取っていないように見せかけた。その後、ハッカーらは取引所にビットコインの再送を要求し、実質的に資金を 2 倍にした。ハッカーらは、数年にわたってマウント ゴックスのホット ウォレットやサーバーから直接ビットコインを盗んだ。取引所は、欠陥のある会計システムに依存し、定期的な監査を行っていなかったため、手遅れになるまで盗難に気付かなかった。
Mt. Gox のハッキングは、仮想通貨取引所を運営する上での教訓です。また、ハッカーが仮想通貨業界の技術的側面と人的側面の両方の弱点を悪用する可能性があることも示しています。ユーザーは、取引所やウォレットを扱う際は常に警戒と用心深さを心がけ、失っても困らない金額以上の金額を保管してはいけません。
5. KuCoin:2億8,100万ドル(2020年9月)
2020年9月、シンガポールを拠点とする暗号通貨取引所KuCoinは大規模なハッキングに見舞われ、2億8100万ドル相当のさまざまなトークンが失われました。ハッカーは取引所のホットウォレットにアクセスし、資金を自分のアドレスに送金しました。KuCoinはすぐにすべての入出金を凍結し、事件の調査を開始しました。取引所は他の取引所、プロジェクト、法執行機関と協力して、盗まれた資金を追跡し、回収しました。
ハッキングが可能になったのは、KuCoinがホットウォレットを保護するための十分なセキュリティ対策を実施していなかったためだ。ハッカーらはフィッシング攻撃を使ってウォレットの秘密鍵を入手し、マルチ署名検証システムを回避した。また、ハッカーらは「ダスティング」と呼ばれる手法も使用した。これは、少量のトークンを複数のアドレスに送信して足跡を隠す手法である。ハッカーらは、分散型取引所、ミキサー、ギャンブルサイトなど、さまざまなプラットフォームを通じて盗んだ資金をロンダリングしようとした。
KuCoin のハッキングは、大規模で評判の良い取引所でもハッキングや盗難の危険にさらされる可能性があることを示しています。また、ハッカーが高度な手法を使って検出や追跡を回避する可能性があることも示しています。ユーザーは常にアカウントに強力なパスワードと 2 要素認証を使用し、疑わしいリンクやメールをクリックしないでください。また、ユーザーは保有資産をさまざまなプラットフォームやウォレットに分散し、長期保管にはコールド ウォレットを使用する必要があります。
結論
暗号通貨は、ユーザーに多くのメリットと機会を提供するエキサイティングで革新的なテクノロジーです。しかし、警戒と責任を必要とするリスクと課題も伴います。ハッカーは常に暗号通貨の脆弱性や弱点を悪用する方法を探しており、ユーザーは常に最悪のシナリオに備える必要があります。過去のハッキングから学び、ベストプラクティスに従うことで、ユーザーはデジタル資産を保護し、暗号通貨革命を楽しむことができます。
*免責事項:
このコンテンツは、読者に情報を提供することを目的にしています。投資を行う前に、必ず独自の調査を実施し、裁量資金を使用してください。すべての購入、販売、暗号資産への投資活動は、読者の責任となります。