2025年2月21日、世界大手の暗号資産取引所Bybitが、史上最大規模となるハッキング被害を受けました。被害額は約14億ドル(約2,200億円)に上り、深刻な衝撃が響いています。
被害の詳細
主要な流出資産
ETH: 401,347ETH(約11.2億ドル)
stETH: 90,376stETH(約2.53億ドル)
cmETH: 15,000cmETH(約4,413万ドル)
mETH: 8,000mETH(約2,300万ドル)
被害の要因と手口の詳細
今回のハッキングは極めて高度かつ巧妙な手法が用いられました。以下にその要因と侵入経路を詳述します。
マルチシグコールドウォレットの不正操作
Bybitは資産の大部分を安全性の高いコールドウォレットで管理していましたが、ETHを移動する際に必要な複数署名(マルチシグ)の手順に脆弱性がありました。攻撃者はこの手続きを狙い、以下の方法で不正アクセスを実行しました。
署名インターフェースの改ざん
ウォレットからウォームウォレットへ資金を移す際、正しい送金先アドレスが表示されているように見せかけつつ、バックエンドでスマートコントラクトのロジックを書き換えました。これにより、資産は攻撃者が制御するアドレスに転送されました。
内部手続きの迂回
マルチシグ署名は本来複数の承認を必要としますが、攻撃者は署名検証過程で承認を偽造。特定の署名者の権限を乗っ取り、承認フローを迂回させました。
Bybitの対応
CEOベン・チョウ氏の声明
ETHコールドウォレットのみが流出したことを認証。
その他のウォレットや顧客資産は安全。
全ての顧客の資産について、1対1で裏付けられており、ハッキングの損失が回復されない場合でも、Bybitは損失のカバーが可能。
Bybitは自社資金で全てを補償する体制を確保
出金状況について、出金要求は正常通り受付を再開しています。
出金処理の99%は完了済みである一方、ネットワーク混雑により遅延している恐れがあります。
まとめ
今回の事件を通じて、コールドウォレットのような強固なセキュリティ対策が施されている環境であっても、運用過程における人為的ミスや内部手続きの不備を突かれるリスクがあることが明らかになりました。特に、マルチシグ運用の脆弱性は他の取引所にも共通する課題であり、業界全体での再発防止策の強化が急務となっています。
このようなリスクに対処するため、ユーザーは大規模な資産の管理方法を見直し、自己保管や分散型ウォレットの活用を検討することが重要です。また、取引所を利用する際には、そのセキュリティレベルや内部監査体制を事前に確認し、定期的なパスワード変更や2段階認証の導入を行うことで、自らの資産を守る意識を高める必要があります。
一方で、取引所側もセキュリティ強化に向けた対策を徹底すべきです。具体的には、署名プロセスの二重確認や承認フローの厳格化を図るとともに、スマートコントラクトの定期監査を実施し、最新のセキュリティ基準に準拠することが求められます。さらに、従業員に対するフィッシング対策トレーニングの実施や内部監視体制の強化を行うことで、内部からのリスクを最小限に抑えることが必要です。
こうした対策を講じることで、同様の被害の再発を防ぎ、業界全体の安全性を向上させることが期待されます。