仮想通貨取引所のすべてのハッキング事件まとめ。セキュリティ対策の歴史とこれから。

仮想通貨取引所は、長い間ハッカーの攻撃対象となっています。Binance(バイナンス)のように中央集権的な取引所であっても、IDEXのような分散型の取引所であっても、どちらでも弱点が存在します。

例えば中央集権型の取引所は、ユーザーのウォレットを直接攻撃して盗むことができますし、分散型の取引所は安定性やセキュリティの面でまだまだ苦労が多いのが実情です。

その結果、双方の取引所への攻撃はどどまることがなく、例えば20181月から5月にかけて11億ドル以上もの仮想通貨技盗まれました。いくつかの仮想通貨取引所は閉鎖することとなりましたが、取引所は過去の事件から多くのことを学びセキュリティ対策を施してきています。

この記事では、過去に起こったハッキング事件についてまとめるとともに、その際に講じたセキュリティ対策についても解説していきます。

過去のハッキング事件とセキュリティ対策

マウントゴックス(Mt.Gox)事件

Jed McCalebMark Karpelesによって設立された米国に本拠地を置くこの取引所は、暗号化通信の歴史において最大のハッキング事件を経験しました。135万以上のビットコインが盗まれました。

現在のレートで考えれば、ハッカーは7000億円近くのビットコインを盗み出したことになります。マウントゴックスは二度のハッキング事件を起こし、1度目は50BTC2度目は85BTCが盗まれています。この事件は、マウントゴックスに巨額の損失を残すこととなり破産することとなりました。

ハッカーは非常に巧妙で盗難された20BTCはトラフィックから確認できましたが、残りの115BTCは影も形もなく消え去りました。この事件をきっかけに暗号通貨全体に対して投資家からの失望を買い、長らく冬の時代を迎えることとなりました。

残念なことに、この事件の損失額の保証が当時のBTCの日本円額で行われることとなったため、ユーザーからはBTCで返してほしいと失望の声が相次ぎました。

 セキュリティ対策

この事件はDDos攻撃を含むサーバーへの直接攻撃によって行われました。中央集権的な取引所は高度なセキュリティ専門家を雇い、攻撃に強いプライベートサーバーを構築する必要があります。

Bitfloor(ビットフロア)事件

2012年にハッキングされたもう1つの取引所であるBitfloor24,000BTCを失った米国の取引所です。

この事件は、DDos攻撃または停電で発生したサーバー停止によって引き起こされました。ハッカーは、ダウンタイム中にホットウォレットの秘密鍵のコピーを入手し24,000BTCを盗み出しました。

事件の後、同社の創業者は、ビットコインを失った犠牲者を会社の財産の持分で補う努力をしたが、最終的には倒産し、投資家に大きな損失をもたらしました。


 
再発防止のための措置

同社は明らかに2つの大きな間違いを犯しました。

  • サーバー上のデータを暗号化していない
  • ホットウォレットに大量のビットコインを残している

悲しいことは、これらの2つの弱点は回避できたということです。 データの暗号化は、今日では非常に一般的です。ホットウォレットにも同じことが言えます。今ではコールドウォレットで管理することが一般的です。これらの2つのことを行うだけで、損失を防ぐことができました。 ハッカーにとっては、子供からお金を取るくらい簡単な状態でした。

Poloniex(ポロニエックス)ハッキング事件

ポロニエクスに保管されていたBTCのうち12.3%(97BTC552,900ドル、約6000万円)がハッキングされました。ハッキングの原因は、ハッカーがポロニエクスの出金(withdrawal)コードに脆弱性を発見し、それを利用したためだと言われています。

通貨の流出に気付いたポロニエクスはすぐにBTCの凍結を行ないましたが、すべての残高をカバーするのに十分な資産がないことを理由に、利用者全員の資産を12.3%削減して対処しました。その後、時間をかけてポロニエクスは損害を被ったユーザーにすべてのBTCが返済しました。

 再発防止の対策

再発を防ぐための措置は、他の多くの取引所で採用されています。引き出しのすべての処理は、通常は待ち行列にたまり順番に処理されます。引き出し処理に必要なステップはすべて検証され、サイバーセキュリティの担当者によってハッキング攻撃を積極的に監視し、撃退し、バグを修正します。

ポロニエクスは、上記対策に加え、発生前にセキュリティ上の欠陥を特定したユーザー向けへの報酬プログラムを確立しました。

ビットスタンプ(Bitstamp)事件

スロベニアにあるBitstampは2015年にハッキングされました。Poloniexと同様に、Bitstampのホットウォレットから19,000 BTCまたは約14.3億ドルに相当する額を盗まれました。

ハッカーの手口は、フィッシング詐欺に用いる一般的な方法を用いたものでした。彼らがしたことは、専用のマルウェアが含まれたスカイプや電子メールメッセージを送信することでした。システム管理者がリンクをクリックすると、自動的にマルウェアをダウンロードされます。そしてBTCを盗み出すことに成功しました。

残念なことに投資家やトレーダーは損失を償うことはできませんでしたが、同社はそのプラットフォームにマルチシグを導入してセキュリティを強化しました。 さらに、同社は現在、仮想通貨の98%をコールドウォレットに保管し、ハッカーから遠ざけています。

BITFINEX事件

英領バージン諸島に位置するBitfinexは、2016年に12BTCを失いました。BITFINEXはセキュリティ専門企業のBitGoのシステムを利用し、マルチシグのオンラインウォレットを使用していたため、セキュリティには強い信頼がありました。

この事件は、ハッカーがどのようにして、マルチシグのオンラインウォレットから盗み出したのかはいまだに分かっていません。プラットフォームを維持するために、同社は全ユーザーの残高の約37%を凍結した後、BFXトークンで返済しました。徐々にBFXを買い戻すことを約束し、現在では全ての清算が完了しました。この処理によりBITFINEXは破産を避けることができました。

 予防と保護のヒント

この問題に対する既知の解決法はありませんでしたが、コーネル大学の教授はボールトと呼ばれる可能なソリューションを提案しました。

このウォレットには2つの鍵があります。

  1. 鍵を開錠するための鍵
  2. 資金を回収する鍵

したがって、誰かがウォレットを解除して資金を引き出すことができる場合は、24時間以内であれば、回収キーを使用して引き出しを取り消すことができます。

今のところ、この解決策は単なる理論であり、ビットコインに限って有効な方法です。

2018年にハッキングされた取引所

先ほどもあげたように、2018年はかなりの額(11億ドル以上)の盗難被害に見舞われています。

過去、数々のハッキングから我々は多くの学びを得ていたはずですが、また過ちを繰り返してしまいました。

コインチェック事件

記憶に新しいコインチェックの事件は、580億円相当の仮想通貨ネムを盗まれました。盗まれた原因は、これもまた大量の仮想通貨をホットウォレットで管理していたことにありました。

過去の事件からホットウォレットでの管理は危険だと学んでいたはずです。それにもかかわらず、日本の取引所は大きな過ちを犯しました。

この事件を解決しようと、ホワイトハッカーが盗まれたネムに印をつけて追跡し、取引所での換金を禁止しましたが、上手くいきませんでした。ハッカーたちは巧妙にも、自ら取引所を立ち上げて、市場価格より安い価格で売却を始めました。売却は匿名性の高い通貨(Dash等)によっておこなわれ、追跡不可能となりました。

この事件から我々が学ぶべきことは、多少不便であってもセキュリティを重視する意識です。コインチェックが事件を起こすまでは、多くのユーザーは仮想通貨の引き出しや送金の速さからコインチェックを賞賛していました。そのような姿勢こそが、取引所が顧客ファーストをうたってセキュリティを犠牲にする原因になっています。

また、万が一盗難が起きた際に、追跡できるという抑止力が必要です。匿名通貨などへの換金は、グローバルでの規制が必要なのではないでしょうか。この事件により、コインチェックは最終的には上場企業のマネックスに買収されることとなりました。

BitGrail(ビットグレイル)ハッキング事件

今年の初めに、 BitGrail17000万ドルのナノ(XRB)をハッキングされました。取引所は最終的に閉鎖し、残りの仮想通貨は会社によって保有され、奪われた投資家に補償するために使われました。

Coinrail(コインレール)ハッキング事件

韓国のコインレール(Coinrail)は、4000万ドルをハッカーに奪われました。他のハッキングと同様に資産を取り戻すことはできませんでしたが、独自通貨Railによって保証し、段階的に換金を許すことで保証しました。1ヶ月後に取引所は再開されました。

Bithumb(ビッサム)ハッキング事件

別の韓国の取引所であるBithumbは、新しいソフトウェアアップグレードのバグを利用して、ハッカーから3000万ドルを盗まれました。

この取引所のハッキングは初めてのことではありません。2017年には、プラットフォーム上の30,000を超えるユーザーのアカウントが影響を受けました。 良いニュースは、会社がかなり迅速に対応し、すべての取引を停止し、セキュリティをアップグレードしたことです。資金は回収されていないませんが、同社は会社の資産から被害者を保証すると約束しています。盗まれた暗号トークンも、ホットウォレットからのものでした。

小さな取引所だからといって、ハッカーのターゲット設定でないと考えるのは誤りです。ハッカーは簡単なピッキングと同じくらい低コストで攻撃できることを忘れてはいけません。わずかな額であれ、ハッキングするインセンティブがあるわけです。

これを防ぐ最善の方法は、流動性に必要でない余剰資金をすべてコールドウォレットに移し、流動性の問題を解消しながら交換用の通貨を保持することです。

Bancor(バンコール)ハッキング事件

他のハッキング事件の大半は中央集中型の取引所で発生しましたが、これは分散型のものを対象にしていました。 Bancor20187月に2,350万ドルを失いました。

ハッカーは、トークン、BNTトークン、 Pundi X3つのトークンを取り扱っていましたが、その全てがホットウォレットから引き出されました。

Zaifハッキング事件

またもや日本の取引所がハッキング事件を起こしました。5966BTC67億円相当)がハッカーによって盗まれました。盗まれた67億円の内、約45億円が預かり資産、残りの約22億円相当がZaifの資産で、Zaifのホットウォレットからハッキングされたと伝えられています。

またしてもホットウォレットに膨大な顧客資産を保管していたことで引き起こされました。ザイフは、被害額を保証してもらうことと引き換えに、上場企業のフィスコに業務を譲渡しました。

まとめ:ずさんな管理が浮き彫りに

過去に起きた大規模なハッキング事件をこうしてまとめてみると、そのほとんどがホットウォレットで多額の顧客資産を保管していたことが原因となっています。過去に何度もホットウォレット管理が原因で盗難が起きているにもかかわらず、なぜ取引所は対策を講じないのか疑問です。

仮想通貨市場の健全な発展のためにも、取引所は過去の失敗から学ぶことは責務だと思います。また我々も適切なリテラシーを備えることで、利便性ばかりを追求するのではなく、安全性に配慮した取引所を選ぶよう心掛ける必要があります。

より良い市場を作り上げるためには、良い生産者と、良い消費者が必要です。特に市場の黎明期にいたっては特に重要です。2019年以降は、我々ユーザーも適切なリテラシーを備えることで、市場が成熟し実用化のフェーズに入ることを期待しています。

100%コールドウォレット管理の国内取引所は「Liquid」

Liquid登録方法Liquidの公式HP

安全性が非常に高い国内取引所はLiquidです。100%コールドウォレット管理で過去にハッキング事件を起こしたことは一度もありません。おすすめです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください