仮想通貨ハッキングのトップ10を振り返る: スマートコントラクトの脆弱性から秘密鍵の漏洩まで、被害総額は50億ドル

白话区块链｜2025-02-28 11:00

今日は、過去のトップ 10 の暗号セキュリティインシデント (2025 年 2 月の Bybit 盗難を含む) を振り返ります。これらのインシデントは、スマートコントラクトの脆弱性から秘密鍵の漏洩、データベース攻撃など、さまざまな複雑な攻撃方法を網羅しています。

著者 | フオ・フオ

制作｜百花ブロックチェーン

先週の土曜日、世界第2位のCEXであるBybitがハッキングされ、総額14億6,000万米ドル相当のETHが盗まれ、単一トークン盗難額としては史上最高記録を樹立した。 2月24日には、暗号金融カードサービスプロバイダーのInfiniもハッキングされ、イーサリアムアドレスから約4,950万ドルが盗まれた。この一連のセキュリティ事件は、すでに低迷していた暗号資産市場をさらに悪化させ、暗号資産プラットフォームの資産セキュリティ管理がまだ十分に厳格ではないという事実を露呈させただけでなく、市場の流動性をさらに弱めました。セキュリティ問題は再び業界の注目の的となっています。

近年、CEX、DeFiプラットフォーム、クロスチェーンブリッジなど複数のターゲットを巻き込んだ暗号資産セキュリティインシデントが多発していると言える。ブロックチェーン分析会社Chainalysisのレポートによると、2024年にハッカーが盗んだ暗号資産は約22億ドル相当。これまでの累計盗難額は50億ドル（約360億人民元）を超えている。

今日は、過去のトップ10の暗号資産セキュリティインシデント（2025年2月のBybit盗難を含む）を振り返ります。これらの10のセキュリティインシデントで失われた360億元の資産は、所有者にとって「血なまぐさい教訓」です。個人にとって、暗号資産を保護するために、これらのインシデントからどのような重要なヒントを得ることができるでしょうか？

01. 暗号セキュリティインシデントトップ10

下の図は、損失額順に並べた暗号セキュリティインシデントのトップ 10 を示しています。これらのインシデントは、スマートコントラクトの脆弱性から秘密鍵の漏洩、データベース攻撃など、さまざまな複雑な攻撃方法を網羅しています。

仮想通貨ハッキングのトップ10を振り返る: スマートコントラクトの脆弱性から秘密鍵の漏洩まで、被害総額は50億ドル

分析を通じて、これらの盗難は特定のセキュリティの脆弱性を露呈させるだけでなく、暗号化業界の技術的保護とリスク管理の弱点を反映していることがわかります。

次に、これらのインシデントを発生原因と教訓に基づいて分類・分析し、その背後にあるセキュリティリスクをより深く理解し、今後の予防の参考にします。

1) ウォレットの秘密鍵またはセキュリティの問題

Roninサイバー窃盗（2022年3月）：6億2500万ドル

Ronin Network は、ブロックチェーンゲームと NFT 専用に設計されたスケーリングソリューションであり、Axie Infinity 開発チームの Sky Mavis によって、Ethereum の取引手数料と処理速度の制限に対処するために作成されました。

2022年3月、Roninネットワークは北朝鮮が支援するハッカー集団Lazarus Groupによる攻撃を受け、イーサリアムとUSDCで約6億2500万ドルの損失が発生しました。ハッカーはネットワークの検証ノードを攻撃することで 5 つのノードを制御することに成功し、悪意のあるトランザクションを作成して署名し、最終的に自分たちの管理下にあるアドレスに資金を転送することができました。

コインチェック盗難（2018年1月）：5億3,400万ドル

Coincheck は、日本の暗号通貨市場で最もよく知られている CEX の 1 つです。2012 年に設立され、安全で便利な取引サービスを提供することに尽力しています。

2018年1月、Coincheckはホットウォレットのセキュリティ問題によりハッキングを受け、約5億3,400万ドル相当のNEMトークンを失いました。

DMM ビットコイン盗難（2024年5月）：3億500万ドル

DMM Bitcoinも2018年に設立された日本を拠点とする暗号通貨CEXです。

2024年5月、DMM Bitcoinがハッキングされ、約4,500ビットコイン（当時の価値で約3億500万ドル）が盗まれました。攻撃の具体的な手法はまだ調査中だが、関連報道によると、漏洩した秘密鍵がハッカーの侵入の主要因となっている可能性がある。

KuCoin盗難（2020年9月）：2億7500万ドル

KuCoin は、2017 年に設立されたシンガポールの有名な CEX です。

2020年9月、KuCoinがハッキングされ、さまざまな暗号トークンで約2億7500万ドルが失われました。ハッカーはCEXホットウォレットの秘密鍵を入手し、多額の資産を盗むことに成功しました。

これら 4 件の盗難事件をまとめると、いずれもホットウォレットまたはノードのセキュリティが不十分だったために盗まれたことがわかります。検証ノードやホットウォレットはインターネットに接続されており利便性が高いため、ハッカー攻撃の標的になりやすいです。ハッカーが攻撃する方法は、マルウェアによる秘密鍵の取得、フィッシング攻撃、プラットフォームの内部脆弱性の悪用など、数多くあります。攻撃が成功すると、ハッカーは資産をすぐに移転し、回復不能な損失を引き起こす可能性があります。相対的に言えば、インターネットに接続されていないコールドウォレットなどの保管場所は、オンライン攻撃のリスクを効果的に回避でき、暗号化された資産を保管するための比較的安全な選択肢になります。

さらに、CEX にとって、秘密鍵の厳格な管理と保管セキュリティを確保することは、大規模な資金盗難を防ぐ鍵であり、個人ユーザーにとっても、秘密鍵を適切に保管することが資産の安全性を決定します。秘密鍵が紛失または漏洩すると、資金の回復を支援できる第三者が存在しないため、ユーザーは資産を完全に制御できなくなります。したがって、CEX と個人の両方が、セキュリティリスクを軽減するために、より完全なキー保護対策を確立する必要があります。

2) スマートコントラクトの脆弱性

ポリネットワーク盗難（2021年8月）：6億ドル

Poly Network は、ユーザーが複数のブロックチェーンプラットフォーム間で資産をシームレスに転送および交換し、クロスチェーントランザクションと共同作業を可能にするクロスチェーンプロトコルです。

2021年8月、Poly Networkのクロスチェーンブリッジがスマートコントラクトの脆弱性によりハッキングされ、さまざまなトークンで約6億ドルの損失が発生しました。ハッカーはこの脆弱性を悪用して権限制御を回避し、大量のトークンを自分のアドレスに転送しました。しかし驚くべきことに、ハッカーはその後プラットフォームと交渉し、盗んだ資金の大部分を徐々に返還した。仮想通貨ハッキングのトップ10を振り返る: スマートコントラクトの脆弱性から秘密鍵の漏洩まで、被害総額は50億ドル

ワームホール盗難（2022年2月）：3億2000万ドル

Wormhole は、ユーザーが単一のチェーンのエコシステムに依存せずに複数のブロックチェーンネットワーク間で資産を転送できるようにする分散型クロスチェーンブリッジプロトコルです。

2022年2月、ソラナブロックチェーンとイーサリアムブロックチェーンを接続する際にワームホールクロスチェーンブリッジがハッキングされ、ラップされたイーサリアム（wETH）約3億2000万ドル相当が盗まれました。攻撃者は、クロスチェーンブリッジスマートコントラクトの脆弱性を悪用し、検証メカニズムをバイパスし、許可なく大量のwETHを発行し、それを自分のアドレスに引き出しました。

Poly Network と Wormhole のセキュリティインシデントにより、資産の転送と検証のプロセスにおけるクロスチェーンプロトコルの脆弱性が明らかになりました。特に、クロスチェーン資産の管理と検証では、抜け穴がハッカーによって簡単に悪用され、莫大な損失が発生する可能性があります。これは、クロスチェーンプロトコルの設計では、特にクロスチェーン資産の管理と検証において、操作の検証可能性を確保するために、スマートコントラクトの権限制御にさらに注意を払う必要があることを思い出させます。

セキュリティを向上させるために、クロスチェーンプラットフォームは、潜在的な問題をタイムリーに検出して修正するために、包括的なセキュリティ監査と脆弱性チェックを定期的に実施する必要があります。同時に、単一障害点やハッカーによる主要な権限の制御を回避するために、契約設計においてマルチ署名メカニズムとより厳格な権限管理を導入することが推奨されます。さらに、クロスチェーンプロトコルを更新および維持するための厳格なプロセスも必要であり、各修復とアップグレードが十分にテストされ、クロスチェーンプラットフォームのセキュリティが向上し、攻撃のリスクが軽減され、ユーザー資産が保護されるようになります。

3) システムの脆弱性またはデータベースの漏洩

マウントゴックス盗難（2014年2月）：4億7,300万ドル

マウントゴックスはかつて世界最大のビットコインCEXであり、その取引量は世界のビットコイン取引量の約70％を占めていました。2010年に設立され、日本に本社を置いています。暗号通貨業界の初期のブームで重要な役割を果たしました。

しかし、2014年にCEXは複数のセキュリティ侵害により破産し、約85万ビットコイン（当時の価値で約4億7,300万ドル）が盗まれ、暗号化の歴史上最もセンセーショナルなスキャンダルの一つとなった。この攻撃により、不十分な監視メカニズムと疑わしい活動への対応の遅さという問題が明らかになったが、ハッカーの具体的な手口はまだ完全には解明されていない。

Mixin Network 盗難 (2023 年 9 月): 2 億ドル Mixin Network は、ブロックチェーン間の相互運用性の問題を解決するために設計された分散型クロスチェーンプロトコルです。

2023年9月、クラウドサービスプロバイダーのデータベース漏洩により、Mixin Networkのピアツーピア取引ネットワークがハッキングされ、ビットコインとイーサリアムの資産約2億ドルが盗まれました。

これら 2 つの事件により、暗号化業界におけるシステムの脆弱性とデータベース漏洩の深刻なリスクが明らかになりました。 Mt. Gox 事件は、暗号通貨 CEX における適切なセキュリティ監視および対応メカニズムの欠如を浮き彫りにしましたが、Mixin Network 事件は、サードパーティのクラウドサービスに依存する際には特に注意する必要があることを思い出させます。同様の問題を回避するために、プラットフォームは多層的なセキュリティ保護を強化し、完全な監視および緊急対応システムを確立し、サードパーティのサプライヤーとの協力に十分なセキュリティ保証があることを保証する必要があります。

このような事件に対処する際は、まず第一に、すべての卵を一つのカゴに入れないこと、第二に、問題発生時にそのカゴに十分な補償能力があるかどうかにも注意を払う必要があります。特に暗号通貨分野では、CEX やその他のプラットフォームを選択する際に、潜在的な大きな損失に対処するために十分な準備金と財務健全性があることを確認する必要があります。同時に、プラットフォームのリスク対応メカニズム、保険ポリシー、過去の補償記録を評価することも必要です。結局のところ、リスクは避けられないこともあり、危機の際に責任を取れるプラットフォームを選択することは、自分自身に責任を持つことでもあります。

4) フロントエンド改ざん詐欺

バイビット盗難（2025年2月）：15億ドル

Bybit は 2018 年に設立され、シンガポールに本社を置く暗号通貨 CEX で、主に暗号通貨デリバティブ商品を提供しています。

2025年2月22日にハッキングされ、イーサリアムおよびその他の関連する担保資産約15億ドルが失われました。この事件では、コールドウォレット取引の操作が関係していました。ハッカーは、偽の署名インターフェースを通じて正しいアドレスを表示し、基盤となるスマートコントラクトのロジックを変更して、資金を不正なアドレスに送金しました。この攻撃方法は、コールドウォレットであっても絶対に安全ではないことを示しています。

コールドウォレットはホットウォレットよりも安全ですが、Bybitの盗難事件を通じて、セキュリティ意識が常に最も重要であることもわかりました。コールドウォレットは万能ではないため、セキュリティ実績が良好な CEX を選択することに加えて、ウォレット管理、トランザクション検証、安全な操作手順も重要です。

Bybit盗難事件の根本的な原因は、Safeのマルチ署名問題と攻撃方法にあったと報告されています。攻撃者は、侵害されたSafe開発者マシンを通じてBybitに対して悪意のある偽装トランザクションを開始しました。これは、開発者デバイスと資格情報のセキュリティ保護が不十分なため、明らかなスマートコントラクトの脆弱性やソースコードの問題がない場合でもハッキングが発生する可能性があることを示しています。

これは、セキュリティ記録が良好な CEX を選択することに加えて、ウォレット管理、トランザクション検証、安全な運用プロセスが重要であり、開発者のマシン、資格情報管理、運用のあらゆる側面でセキュリティ意識を強化する必要があることを思い出させます。同時に、ユーザーは取引に署名する際には細心の注意を払い、あらゆるステップで過失がないように細心の注意を払う必要があります。

5) フラッシュローン攻撃

オイラーファイナンスの盗難（2023年3月）：1億9,700万ドル

Euler Finance は、Ethereum や Optimism などのレイヤー 2 ネットワーク上に構築された分散型金融プラットフォームであり、シームレスで効率的な貸付および借入サービスを提供することを目的としています。

2023年3月、Euler Financeの分散型融資プラットフォームがフラッシュローン攻撃を受け、さまざまなトークンで約1億9,700万ドルが盗まれました。攻撃者はプラットフォームのスマートコントラクトの抜け穴を悪用し、フラッシュローンを通じて市場価格を操作し、プラットフォームの清算メカニズムを起動して、違法に資金を盗みました。

この事件は、分散型金融プラットフォームのスマートコントラクト設計と市場メカニズムの潜在的な脆弱性を改めて明らかにしました。フラッシュローン攻撃は通常、市場価格を操作し、清算メカニズムをトリガーすることに依存しており、価格予測と市場の安定性におけるプラットフォームの弱点を露呈します。このような攻撃に対処するために、プラットフォームは、特に市場操作や清算メカニズムを含むスマートコントラクトのコードの見直しに重点を置き、セキュリティ保護を強化する必要があります。

さらに、安全性監査と過去の評判は、プロジェクトの信頼性を評価する上で重要な要素となります。プロジェクトが高い収益を約束している場合でも、潜在的なリスクを無視せず、罠に陥らないようにしてください。資金を集中型プラットフォームに委託する場合でも、分散型アプリケーションを使用する場合でも、軽視せずに慎重に行う必要があります。

仮想通貨ハッキングのトップ10を振り返る: スマートコントラクトの脆弱性から秘密鍵の漏洩まで、被害総額は50億ドル

02. 個々の通貨保有者に対して、どのようなセキュリティ上の提案を行っていますか?

これらのセキュリティインシデントを振り返ると、CEX のセキュリティ上の脆弱性、秘密鍵管理のミス、ハッカーの手法の高度化などが、暗号化された資産のセキュリティを常に脅かしていることに気づくのは難しくありません。

これらの出来事は、デジタル資産の世界の隠れたリスクを明らかにするだけでなく、私たちに貴重な経験も提供します。潜在的な脅威を特定し、より安全な保管および取引方法を採用する方法を学ぶことは、すべての暗号通貨ユーザーが注意を払う必要があるトピックです。

次に、これらの事例からいくつかの重要なセキュリティ推奨事項をまとめ、デジタル資産を管理する際に誰もが実践できる参考資料を提供し、リスクを軽減し、次の被害者になることを回避することを目指します。

1) 評判の良いプラットフォームを選ぶ

優れたセキュリティ記録とセキュリティ対策の透明性のある開示を備えた CEX またはプラットフォームを選択することが、個人資産を保護するための第一歩です。

2) 資産を保護するためにコールドストレージを使用する

重要なデジタル資産をコールドウォレットに保管することは、ハッカーの攻撃を防ぐ重要な手段です。

3) 2要素認証（2FA）を有効にする

携帯電話、電子メール、または専用の認証コードをバインドすることで、ユーザーはログイン時にセキュリティをさらに強化でき、アカウントへの不正アクセスを効果的に防止できます。アカウントアクティビティを定期的に確認および監視することは、疑わしい取引や潜在的な脅威を迅速に検出する効果的な方法です。

5) リスクを軽減するために投資を分散する

複数のプラットフォームやウォレットに資産を分散すると、リスクを分散できます。たとえば、ユーザーは資産の大部分をコールドウォレットに保管し、少額の資金を日常の取引に使用したり、信頼できるさまざまな CEX に分散して、単一のプラットフォームの問題によって生じる全体的な損失を削減したりすることができます。

6) 信頼性の欠如

暗号資産の最も重要な特徴は、検証可能であることです。ウォレット開発者が提供するソフトウェアやハードウェアを含め、デフォルトで暗号資産のセキュリティを保証する第三者を信頼しないでください。同時に、個人のインターネットデバイスを「完全に安全ではないデバイス」としてデフォルトで操作しないでください。送信して署名するすべての取引情報が正確であることを個人的に確認する必要があります。

03. まとめ

セキュリティ予防は、問題への対応だけではなく、積極的な戦略的なレイアウトでもあると言えます。暗号資産管理は、目先のリスクに対処するだけでなく、長期的かつ安定した発展を確保することも目的としています。日常の安全習慣を身につけ、保護能力を徐々に強化し、あらゆる段階でリスクを防ぐことで、リスクを効果的に最小限に抑えることができます。