2025年2月、仮想通貨業界に激震が走りました。世界第2位の取引量を誇る仮想通貨取引所「Bybit(バイビット)」が、史上最大規模となるハッキング被害に遭い、14億6000万ドル(約2250億円)相当の仮想通貨が盗まれたことが明らかになりました。
この事件の背景、犯行手口、そして今後の対応について詳しく見ていきましょう。
🔐攻撃の手口:イーサリアムコールドウォレットを狙った巧妙な手法
Bybitの公式発表によると、被害はETH(イーサリアム)のコールドウォレットを経由して発生しました。本来セキュリティ性の高いコールドウォレット(オフライン保管)から、ウォームウォレット(オンライン管理)への送金が不正に操作されたというもの。
複数署名(マルチシグ)による送金承認を悪用した「署名マスク型の高度な攻撃」により、セキュリティが突破され、資金が未知のアドレスへと転送されました。
この時点で、すでに約14億6000万ドル分の仮想通貨が盗み出されていたことになります。
🌍犯人は北朝鮮系ハッカー集団「ラザルスグループ」との見方
ブロックチェーン分析を専門とするイギリスのElliptic社は、今回の犯行について「北朝鮮政府と関係があるとされるLazarus Group(ラザルスグループ)」の関与を強く示唆しています。
ラザルスグループは過去にも、数億ドル規模のハッキング事件に関与したとされ、国家ぐるみのサイバー攻撃集団として国際的に警戒されています。
彼らは盗んだ資産の追跡を逃れるため、以下のような「資金ロンダリング」の高度な手口を用いています:
- トークンを即座にETHやBTCなどに交換
- 少額に分割(1万ETHずつ)して多数のウォレットに分散
- 洗浄プロセス「レイヤー化」により追跡困難に
Ellipticによれば、今回も同様の手口で約50のウォレットに資金を拡散し、すでに1億9500万ドル(約292億円)以上が移動済みとのことです。
🛡️Bybitの対応:顧客資産は全額保証、協力者には報奨金を提供
BybitのCEOであるベン・チョウ氏は、ユーザー資産について次のようにコメントしています。
「万が一、被害資産が完全には回収できなくても、顧客の資産はすべて1対1で保証されており、Bybitには支払い能力があります」
加えて、盗難資産の回収に協力した専門家やホワイトハッカーには「被害総額の10%」を報奨金として提供する方針を表明しました。これは、1億4600万ドル(約225億円)という巨額の報奨金となる可能性があります。
📈事件の深刻さ:過去最大の暗号資産ハッキング事件に
仮想通貨業界ではこれまでにも大規模なハッキング被害が発生してきましたが、今回のBybit事件は被害額で過去最大と見られています。
| 年度 | 事件名 | 被害額 |
|---|---|---|
| 2021年 | Poly Network | 約6億1100万ドル |
| 2022年 | Wormhole | 約3億7000万ドル |
| 2025年 | Bybit(本件) | 約14億6000万ドル ←最大 |
これまで最大とされていたPoly Network事件では、最終的に全額が返還されたことで話題を呼びました。しかし、今回の犯人は国家支援型とされ、返還の可能性は極めて低いと見られています。
💸仮想通貨のリスクと今後の影響
今回の事件は、仮想通貨取引における「資産の安全性」がいまだに大きな課題であることを浮き彫りにしました。
ユーザー側としては以下のような対策が改めて求められます:
- 二段階認証などの強固なセキュリティ設定
- ウォレットの分散保管
- 実績と保険制度のある取引所の利用
- 過去のセキュリティ事件の有無のチェック
一方で、Bybitのように大規模なハッキングでも「全額補償を明言」できる取引所がどれほどあるかは疑問であり、業界全体でのセキュリティ強化が急務です。
📝まとめ:最大級の仮想通貨ハッキング事件から何を学ぶか?
Bybitの事件は、暗号資産取引の未来に暗い影を落とす一方で、業界の透明性・セキュリティ・法規制における重要性を改めて示しました。
- 取引所がどれだけ堅牢であっても、国家級のサイバー攻撃には脆弱
- ブロックチェーンの透明性と匿名性が、同時にリスクにもなり得る
- 報奨金制度は「攻撃に報酬を与える懸念」もあるが、現実的な対策ともいえる
仮想通貨はこれからも成長していく分野であり、今回のような事件はその「成長痛」と言えるかもしれません。しかし、同じ悲劇を繰り返さないためにも、ユーザー・企業・国家が連携してセキュリティの基盤を強化していく必要があるでしょう。
コメント