2025年2月21日、大手暗号資産取引所Bybitが大規模なハッキング被害に遭いました。この事件は暗号資産業界史上最大規模のハッキングとなり、業界に大きな衝撃を与えています。
事件の概要
- 約1.4億ドル相当のイーサリアム(ETH)と関連トークンが盗まれました。
- 攻撃者はBybitのETHコールドウォレットから401,347 ETH、90,376 stETH、15,000 cmETH、8,000 mETHを盗難。
- 被害額は取引所の総資産の約9%に相当。
盗難された資産の内訳
攻撃者はBybitのイーサリアム(ETH)コールドウォレットから以下の資産を盗み出しました。
- 401,347 ETH:イーサリアムのネイティブトークン
- 90,376 stETH:ステーキングされたイーサリアム(Lido Finance)
- 15,000 cmETH:Compound Financeのラップドイーサリアム
- 8,000 mETH:Mantle Networkのラップドイーサリアム
これらの盗難資産の総額は約1.4億ドルに相当し、Bybitの総資産の約9%を占めています。
被害額の詳細分析
- イーサリアム(ETH): 401,347 ETHは、当時のレートで約8億2000万ドル相当でした。これが被害総額の大部分を占めています。
- ステーキングETH(stETH): 90,376 stETHは、約1億8500万ドル相当。stETHはLido Financeが提供するステーキングデリバティブで、ETHとほぼ同価値で取引されています。
- Compound ETH(cmETH): 15,000 cmETHは約3000万ドル相当。これはCompound Financeのプロトコル上でETHを貸し出すことで得られるトークンです。
- Mantle ETH(mETH): 8,000 mETHは約1600万ドル相当。Mantle Networkのラップドイーサリアムで、レイヤー2ソリューション上でETHを使用するために設計されています。
被害の影響
- 取引所の流動性: 総資産の9%が失われたことで、Bybitの流動性に一時的な影響が出ました。しかし、CEOのBen Zhouは迅速に対応し、顧客資産の安全性を保証しました。
- 市場への影響: この事件の直後、イーサリアムの価格が一時的に4.2%下落しました。これは、大量のETHが市場に流出する可能性への懸念を反映しています。
- セキュリティ対策の見直し: この事件を受けて、Bybitだけでなく他の取引所も、特にコールドウォレットのセキュリティプロトコルを見直す必要性に迫られました。
- 規制当局の注目: 大規模なハッキング事件は常に規制当局の注目を集めます。この事件後、暗号資産取引所に対するセキュリティ規制の強化が議論されることになりました。
- ユーザーの信頼: 被害額が総資産の9%に及んだことで、一部のユーザーがBybitからの資産引き出しを急いだという報告もありました。取引所の信頼回復が課題となっています。
参考:Latest On The Bybit Record Breaking 1.4 Billion Dollar Crypto Hack
ハッキングの手法
- 攻撃者は高度な手法を用いて、コールドウォレットからホットウォレットへの定期的な資金移動を悪用。
- 署名インターフェースを偽装し、正しいアドレスを表示しつつ、スマートコントラクトのロジックを改ざん。
- フィッシングや社会工学的手法を使用して内部認証情報を入手し、セキュリティプロトコルをバイパス。
コールドウォレットからホットウォレットへの移動を悪用
攻撃者は、Bybitが定期的に行っていたコールドウォレットからホットウォレットへの資金移動プロセスを巧妙に利用しました。
- タイミングの選択: 攻撃者は、Bybitが通常の業務としてETHマルチシグコールドウォレットからホットウォレットへの転送を行うタイミングを狙いました。
- 正常な操作を装う: この定期的な移動を装うことで、攻撃者は通常の取引として偽装し、セキュリティチームの警戒を回避しました。
署名インターフェースの偽装とスマートコントラクトの改ざん
攻撃の核心は、署名プロセスを巧妙に操作したことにあります。
- UIスプーフィング: 攻撃者は、Safe.globalの正規のインターフェースを模倣した偽のユーザーインターフェース(UI)を作成しました。
- 正しいアドレスの表示: このUIは、正しい送金先アドレスと認証されたURLを表示し、取引が正当であるように見せかけました。
- スマートコントラクトの改ざん: 表面上は正常に見える一方で、署名メッセージの背後にあるスマートコントラクトのロジックが改ざんされていました。
- DELEGATECALLの悪用: 攻撃者は悪意のあるコントラクトの「transfer」関数をDELEGATECALLを通じて実行し、Bybitのマルチシグコントラクトの実装アドレスを攻撃者のアドレスに変更しました。
フィッシングと社会工学的手法の活用
攻撃者は、技術的な手法だけでなく、人間の心理を巧みに利用した手法も駆使しました。
- 内部認証情報の入手: フィッシング攻撃や社会工学的手法を用いて、Bybitの内部スタッフから重要な認証情報を入手しました。
- セキュリティプロトコルのバイパス: 入手した認証情報を利用して、通常のセキュリティチェックをすり抜けました。
- マルチシグ署名者の欺瞞: 攻撃者は、マルチシグ署名プロセスの一部の署名者を欺くことで、不正な取引を承認させることに成功しました。
この攻撃手法の洗練度は、暗号資産取引所のセキュリティに新たな課題を突きつけました。特に、UIスプーフィングとスマートコントラクトの操作を組み合わせた手法は、従来の多重署名(マルチシグ)システムの脆弱性を浮き彫りにしています。この事件は、暗号資産業界全体にとって、セキュリティ対策の再評価と強化の必要性を示す重要な警鐘となりました。
Bybitの対応
- CEO Ben Zhouが顧客資産の安全性を保証し、通常業務に支障がないと発表。
- ブリッジローンを通じて失われた資金の80%を確保。
- 全ての出金要求を処理し、システムは「通常のペース」に戻ったと報告。
顧客資産の安全性保証と通常業務の継続
- Zhouは、ハッキング被害を受けたにもかかわらず、取引所の運営が正常に維持されていることを強調しました。
- 全ての機能と商品が通常通り稼働していると発表し、顧客の懸念に対応するため、チーム全体が徹夜で作業を行ったことを明かしました。
- Bybitは顧客資産を1対1でバックアップしており、ハッキングによる損失が回収できなくても、顧客の損失をカバーできる十分な資金を有していると保証しました。
ブリッジローンによる資金確保
- Zhouは、パートナー企業からのブリッジローンを通じて、盗まれた資金の約80%に相当する資金を確保したと発表しました。
- このブリッジローンは、Bybitの流動性危機を乗り越えるための緊急措置として機能しました。
- 具体的には、Binance、Bitget、MEXCなど複数のプラットフォームから合計1億7250万ドルの緊急融資を受けたことが報告されています。
出金要求の処理と通常運営の回復
- ハッキング発生後、Bybitは35万件以上の出金要求を受け取りました。
- 2月22日、Zhouは全ての出金要求を処理し、出金システムが「完全に通常のペースに戻った」と報告しました。
- 顧客は現在、金額制限なしで遅延なく出金できる状態になっています。
- Zhouは、「史上最悪のハッキングから12時間で、全ての出金が処理されました」と述べ、顧客の忍耐に感謝の意を表しました。
この迅速な対応により、Bybitは大規模なハッキング被害にもかかわらず、顧客の信頼を維持し、業務の正常化を図ることに成功しました。Zhouは今後、詳細な事件報告書とセキュリティ評価を公開する予定であると述べ、透明性の確保に努めています。
参考:Bybit CEO: “Most withdrawal requests processed… Exchange operations remain normal”
市場への影響
- イーサリアムの価格が一時的に4.2%下落し、その後3.36%反発。
- 暗号資産市場全体に不安定性をもたらし、投資家のリスク回避姿勢が強まる。
イーサリアム価格の急激な変動
- ETHの価格は$2,828から$2,708まで急落し、4.2%の下落を記録しました。
- その後、わずか10分で$2,759まで回復し、3.36%の反発を見せました。
- この急激な価格変動は、ハッキング事件の発表直後に発生しました。
市場全体への影響
- ビットコインも影響を受け、一時的に$97,000近くまで下落しました。
- XRPは4.5%以上下落し、$2.58を記録。Stellar(XLM)も4.84%下落して$0.3303となりました。
- 暗号資産市場の時価総額全体が0.80%下落し、$3.2兆になりました。
投資家心理への影響
- ハッキング事件により、投資家のリスク回避姿勢が強まりました。
- 高リスク資産からの資金引き上げが見られ、市場全体の下落圧力となりました。
- レバレッジポジションの清算が引き起こされ、さらなる価格の不安定性をもたらしました。
市場の不確実性
- 盗まれた50万ETH以上の処分方法が不透明であり、市場に不確実性をもたらしています。
- ハッカーがETHを大量に売却した場合、さらなる市場の下落が懸念されています。
この事件は、暗号資産市場の脆弱性を浮き彫りにし、セキュリティの重要性を再認識させる契機となりました。投資家は今後、より慎重な姿勢で市場動向を見守ることが予想されます。
疑われる犯人
- 北朝鮮のハッカー集団「ラザルスグループ」の関与が疑われています。
- ブロックチェーン調査員ZachXBTが、1月のPhemex取引所ハッキングとの類似点を指摘。
ラザルスグループの関与
- 暗号資産調査会社Arkham Intelligenceが、ハッカーを特定するための懸賞金を提供しました。
- ZachXBTは、Bybitのハッキングをラザルスグループにリンクする「決定的な証拠」を提出しました。
- 提出された証拠には、攻撃前に使用されたテスト取引や関連ウォレットの詳細な分析、複数のフォレンジックグラフ、タイミング分析が含まれていました。
Phemex取引所ハッキングとの関連性
- ZachXBTは、Bybitのハッキングと2025年1月に発生したPhemex取引所のハッキングとの間に直接的な関連性を発見しました。
- Phemexのハッキングでは、約3000万ドル相当の暗号資産が盗まれました。
- 両事件で使用された初期の盗難アドレスから資金が混合されていることが確認されました。
証拠の詳細
- オーバーラップアドレス: 0x33d057af74779925c4b2e720a820387cb89f8f65
- Bybitのハッキング取引(2025年2月22日):
- 0xc963e65b9ec39b11076f78990c31f29aaa80705c75312dafd1748479e3e94ed0
- 0x411374feedcfa560335f00c0fcfa0a3906fdcc33687e6f924dd78ebecc45cd00
- Phemexの不正取引(2025年2月20日):
- 0x6262a3339842240aeebae4ebfe338dbc771aa0e2df8f5a1ebcd7f9b090bedfe3
参考:Bybit Hacking Draining Over $1.4B in Cryptocurrency Linked to the Lazarus Group
ラザルスグループの背景
- ラザルスグループは、北朝鮮が支援するハッキング組織として知られています。
- 2024年には、暗号資産プラットフォームに対する主要な攻撃の多くに関与し、約10億ドル相当の資金を盗んだとされています。
この分析結果は、Bybitのハッキング事件が単独の事象ではなく、ラザルスグループによる組織的なサイバー攻撃の一部である可能性を強く示唆しています。暗号資産業界にとって、国家支援のサイバー犯罪の脅威が増大していることを示す重要な事例となっています。
参考:Bybit’s $1.4 billion hack traced to Lazarus Group: ZachXBT
まとめ
Bybitのハッキング事件は、暗号資産業界に大きな衝撃を与え、重要な教訓をもたらしました。約1.4億ドル相当の暗号資産が盗まれ、取引所の総資産の約9%に相当する被害を受けました。この事件は、高度な技術と社会工学的手法を組み合わせた攻撃手法の洗練度を示し、従来のセキュリティ対策の脆弱性を浮き彫りにしました。
Bybitの迅速な対応と透明性のある communication は、顧客の信頼維持に貢献しましたが、市場全体に一時的な混乱をもたらしました。イーサリアムを始めとする主要な暗号資産の価格が急落し、投資家のリスク回避姿勢が強まりました。
北朝鮮のハッカー集団「ラザルスグループ」の関与が強く疑われる本事件は、国家支援のサイバー犯罪が暗号資産業界にとって深刻な脅威となっていることを示しています。この事件を契機に、業界全体でセキュリティ対策の再評価と強化が求められており、規制当局の注目も集めています。
今後、暗号資産取引所やプラットフォームは、より強固なセキュリティシステムの構築と、ユーザー教育の強化が不可欠となるでしょう。また、国際的な協力体制の構築や、サイバーセキュリティ技術の進化が、このような大規模ハッキングの防止に重要な役割を果たすと考えられます。
コメント