Bybit 北朝鮮ハッカーに盗まれたETH15億ドル

北朝鮮ハッカーによる史上最大の暗号資産盗難

2025年2月、北朝鮮のハッカー集団「Lazarus Group」は大手暗号資産取引所Bybitのイーサリアム（ETH）コールドウォレットを攻撃し、約15億ドル（約401,000 ETH）を不正に流出させました。この攻撃はホットウォレットへの資金移動タイミングを狙った計画的なものであり、暗号資産セキュリティの根本的な脆弱性を露呈させる結果となりました。

過去のハッキング事件を大幅に上回る規模

今回の事件は暗号資産ハッキング史上最大規模の盗難事案となりました。被害額15億ドルは、2022年のRonin Networkからの6億2000万ドルや2021年のPoly Networkからの6億1100万ドルといった過去の大規模事件を大幅に上回るものです。この前例のない規模の攻撃は、暗号資産エコシステム全体に対する新たな脅威の出現を意味しています。

コールドウォレットの安全神話の崩壊

今回のハッキング事件は、オフラインで保管され本来は最も安全とされてきたコールドウォレットの信頼性を大きく揺るがしました。暗号資産業界ではコールドウォレットはセキュリティの最終防衛線と考えられてきましたが、この事件により取引所のウォレット管理体制における根本的な脆弱性が明らかになりました。

攻撃の詳細と資金の分散手法

ブロックチェーン分析企業EllipticとArkham Intelligenceの調査によると、攻撃者は盗んだ資金を巧妙に分散させました。最初に一つのウォレットに集約された資金は、約10,000 ETH（約2,700万ドル）単位で50以上のアドレスに分散され、その後さらに細かく変換されて追跡を困難にする仕組みが施されています。この高度な資金分散手法は、ハッカー集団の専門性の高さを示しています。

Bybit CEOの初期対応と発表

事件発生当日、BybitのCEOであるBen Zhou氏はSNS上で速やかに状況を説明し、被害がETHコールドウォレット1つに限定されており、他のウォレットや顧客資産は安全であると発表しました。この迅速な情報公開は市場の混乱を最小限に抑える効果がありましたが、同時に暗号資産取引所の抱える潜在的リスクに対する注目も集めることになりました。

Bybitが採用していたSafeマルチシグの脆弱性

調査により、Bybitが利用していたSafe（旧Gnosis Safe）のマルチシグウォレットの運用プロセスに潜む問題点がハッカーに悪用されたことが明らかになりました。マルチシグネチャー技術は本来、複数の承認者による署名を必要とすることで高いセキュリティを提供するはずでしたが、今回の攻撃はその信頼性に大きな疑問を投げかけています。

マルチシグネチャー技術の基本原理

マルチシグネチャー技術は、複数の承認者による署名が必要な仕組みです。例えば、5人の承認者のうち少なくとも3人の許可がなければ資金を移動できないように設定できます。この仕組みにより、単一の秘密鍵が漏洩しても資金は安全に保たれるため、大量の資産を管理する取引所にとって理想的なセキュリティ対策と考えられていました。

ハッカーの高度な攻撃手法

ハッカー集団は複数の承認者を必要とするマルチシグのセキュリティを巧妙に回避しました。彼らはまず、署名者全員の端末にマルウェアを送り込んで感染させました。次に、偽装されたユーザーインターフェース（UI）を表示させることで、承認者に正規の送金取引だと思い込ませ、結果として不正な取引に署名させることに成功したのです。

BybitのCEOを欺いた巧妙な手口

具体的な攻撃の詳細として、CEOのBen Zhou氏が署名を行った際、画面上では正規の送金先アドレスが表示されていましたが、実際には裏でスマートコントラクトのロジックが書き換えられており、資金がハッカーのアドレスに流れるよう設計されていました。この視覚的な欺瞞によって、複数の署名者が気付かないうちに不正送金を承認してしまったのです。

Safe社とBybitの見解の相違

Safe社は自社の公式ウェブサイトやアプリケーションの表面的な部分には不正アクセスの痕跡がないと主張していますが、Bybit側は「Safeサーバーへの侵入可能性」も含めた包括的な調査を進めています。両者の見解の相違は、ウォレットセキュリティにおける責任の境界線が曖昧であることを示しており、業界全体でのセキュリティ標準の見直しが急務となっています。

専門家が指摘する対策の緊急性

セキュリティ専門家たちは、今回の事件を受けてトランザクションの透明性確保やマルチシグプロセスの根本的な改善が急務だと指摘しています。特に、承認プロセスの各段階でのリアルタイム検証や、スマートコントラクトのコード監査強化など、複数層の防御策を組み合わせた対応が必要だと強調されています。

EVMベースのブロックチェーンに共通する脆弱性

今回のハッキング手法は、イーサリアム仮想マシン（EVM）を基盤とするブロックチェーン全体に存在する潜在的なリスクを明らかにしました。EVMはイーサリアムだけでなく、Binance Smart Chain、Polygon、Avalancheなど多くの主要ブロックチェーンで採用されている技術基盤であり、今回の事件は業界全体に警鐘を鳴らす結果となりました。

複数のネットワークに広がるリスク

EVMを採用する多くのネットワークでは、Safeのようなマルチシグウォレットが広く利用されています。これらのネットワークでも署名プロセスやスマートコントラクトの処理方法に共通点があるため、同様の攻撃手法が応用される可能性があります。特に署名検証プロセスやコントラクト更新メカニズムに依存する部分は、今回のBybit事件と類似の脆弱性を抱えている可能性が高いと専門家は指摘しています。

ハッカーが狙う攻撃ポイントの分析

セキュリティ専門家の分析によれば、スマートコントラクトのアップグレード機能や署名プロセスの透明性に依存するシステムが特に攻撃の標的になりやすいことが明らかになっています。アップグレード可能なコントラクトは柔軟性が高い反面、悪意ある変更が紛れ込む余地があり、透明性の欠如は不正な改変の検知を困難にします。今回の攻撃では、こうした特性が巧妙に悪用されました。

業界全体での迅速なセキュリティ対応

Bybit事件を受けて、主要な暗号資産取引所やウォレットプロバイダーは緊急のセキュリティ監査を開始しました。この業界全体での取り組みは、現行のシステムを総点検し、同様の攻撃を未然に防ぐための具体的な対策立案を目指しています。各社は自社のマルチシグウォレットのプロセスを見直し、追加の検証レイヤーを導入するなど、セキュリティ強化策を急ピッチで進めています。

新たなセキュリティ技術の提案と追跡の進展

セキュリティ企業Fireblocks社は、マルチシグに代わる次世代技術としてMPC（マルチパーティ計算）ウォレットの採用を提案しました。MPCはより分散化された署名プロセスを実現し、特定のインターフェースやサーバーへの依存度を低減できるため、今回のような攻撃に対する耐性が高いとされています。同時に、ブロックチェーン分析企業ChainalysisやEllipticは盗まれた資金の追跡を進め、一部がすでに分散型取引所（DEX）やクロスチェーンブリッジで他の暗号資産に変換されていることを特定しています。

顧客資産の保護と出金対応

今回のハッキングによる影響は一部コールドウォレットに限定され、他のシステムは安全と発表されました。
Bybitは大規模ハッキング後も出金サービスを継続維持しました。多くの取引所が同様の事態で防御的に出金を停止する中、Bybitはユーザーの資産アクセスを優先。一時的な処理遅延はあったものの、パートナー企業の協力により速やかにETH準備金を補充し、通常運用を回復させました。

セキュリティ体制の強化

専門家チームが原因究明と見直しを行い、Safe社と連携してマルチシグウォレットの脆弱性に対処しました。
現在、コールドウォレットの管理強化、多層セキュリティの構築、社員教育が進められています。

情報公開と顧客対応

公式発表やCEOのライブ配信で状況を公開し、顧客の質問に回答しました。
サポート体制も強化され、丁寧な対応が続けられています。

暗号資産業界との連携

暗号資産取引所：Antalpha Global, Bitget, MEXC, Galaxy Digital, FalconX これらの取引所はBybitと同様に暗号資産を扱う取引所で、資金支援やハッカーアドレスのブラックリスト化を進めた。

セキュリティ企業：Blockaid, Fireblocks: ハッキングの調査やセキュリティ強化を支援。Blockaidは事件を「史上最大の取引所ハック」と評価し、Fireblocksは原因究明に協力。

オンチェーン分析会社：Chainalysis, Arkham Intelligence: 盗まれた資金の追跡とハッカーの特定を担当。Chainalysisは40億円以上の資金凍結を支援し、Arkhamは北朝鮮のLazarus Groupの関与を確認。

FBIの発表と民間企業への要請

FBIは、15億ドル相当のBybitハッキングが北朝鮮によるものだと発表し、RPCノード運営者、取引所、DeFiサービスなどの民間企業に対し、攻撃者「TraderTraitor」が盗んだ資産の洗浄に使うアドレスとの取引をブロックするよう求めました。

犯人追跡のためのバウンティサイト立ち上げ

Bybitは、15億ドル相当のハッキング事件を受けた後、犯人を捕まえるための新たな取り組みとして、業界初のバウンティサイト「LazarusBounty.com」を立ち上げました。このサイトでは、北朝鮮のハッカー集団「Lazarus Group」と関連する資金の動きを追跡し、凍結に貢献したホワイトハッカーや情報提供者に報酬を提供しています。詳細は公式サイト（https://www.lazarusbounty.com）で確認できます。

報酬プログラムの詳細

バウンティプログラムでは、盗まれた資産の追跡や凍結に成功した個人や団体に対し、回収額の5～10％を報酬として支払うと発表されています。仮に全額が回収された場合、最大1億4000万ドルもの報酬が分配される可能性があり、業界全体での協力が期待されています。参加方法はこちらからご覧ください。

業界との連携強化

Bybitは、このプログラムを通じて、ブロックチェーン分析企業や他の取引所と連携し、盗まれた資金の流れを透明に追跡する仕組みを構築しています。CEOのBen Zhou氏は「この事件を業界のセキュリティ向上の転機にしたい」と述べており、積極的な対応が注目されています。最新情報はLazarusBounty.comで更新されています。

ブロックチェーン上での透明な追跡

盗難されたETHはブロックチェーン技術の特性により、その全ての動きが公開台帳上で追跡可能な状態にあります。ブロックチェーンは銀行取引の明細書に似た公開デジタル記録であり、どんな資金移動も永続的に記録され、誰でも閲覧できる透明性を持っています。この特性により、セキュリティ分析官たちはハッカーが使用するウォレットアドレスを特定し、資金の流れをリアルタイムで監視することが可能になっています。専門の分析チームが24時間体制で監視を続け、新たな動きが検出されるたびに関係機関や取引所に通知するシステムが構築されています。

ハッカーによる資金分散と隠蔽手法

ハッカー集団は盗んだETHを追跡困難にするため、複数の高度な資金隠蔽技術を駆使しています。まず、大量のETHを数百の異なるウォレットアドレスに小分けにして分散させ、監視の目を逃れようとしています。さらに、Tornado Cashなどの「ミキシングサービス」を利用して資金の出所を不明確にする試みも確認されています。これらのサービスは複数のユーザーの資金を一つのプールに集め、その後別のアドレスに送金することで、どの資金がどこから来たのかを特定しにくくする仕組みです。しかし、ブロックチェーン分析技術の進化により、こうした手法を使っても完全に追跡から逃れることは難しくなっています。

大手取引所による協調的なブラックリスト対応

世界中の主要暗号資産取引所は、ハッカーのウォレットアドレスを共有データベースに登録し、これらのアドレスからの入金や関連取引を自動的にブロックするシステムを導入しています。Binance、Coinbase、Krakenなどの大手取引所は独自の監視システムを運用するとともに、業界団体を通じて情報共有を行い、盗まれた資金が正規の金融システムに流入するのを防いでいます。これにより、ハッカーが盗んだETHを法定通貨に換金することが非常に困難になっており、資金の実質的な凍結状態が続いています。

イーサリアム巻き戻し提案とブロックチェーンの原則

BitMEXの共同創設者アーサー・ヘイズ氏は、今回の事件の重大性を踏まえ、ブロックチェーンの記録を過去に戻す「巻き戻し（ハードフォーク）」を提案しました。2016年の「The DAO」事件では同様の対応が成功した例がありますが、当時と比べてイーサリアムのエコシステムは格段に複雑化しており、現在では実現が技術的にも倫理的にも非常に困難とされています。「不変性」と「分散化」はブロックチェーン技術の根幹を成す原則であり、こうした特別措置はその基本理念に反するため、コミュニティ内での激しい議論を引き起こしています。大多数の専門家は、巻き戻しよりも現行の法執行機関やブロックチェーン分析による追跡・凍結を支持しており、技術の根本原則を守りながら被害回復を目指す方向性が主流となっています。

FBIの捜査進展と今後の展望

FBIは北朝鮮のサイバー犯罪グループ「TraderTraitor」による本事件の捜査を最優先事項として位置づけ、国際的な法執行機関ネットワークと連携して追跡を進めています。すでにハッカーが使用している一部のアドレスから資金移動が確認されていますが、それらの動きも監視下に置かれています。業界関係者の間では、ハッカーが長期的に資金を保持し、監視の目が緩んだ将来に少額ずつ資金化を試みる「待機戦略」を取るのではないかとの見方が強まっています。一方で、Bybitと協力企業による懸賞金プログラムは新たな情報提供のインセンティブとなっており、時間の経過とともに追跡・回収の可能性が高まることも期待されています。