ChainalysisとImmunefiの報告に基づくベトナムブロックチェーン協会(VBA)研究開発部の統計によると、2020年から2025年2月25日までの期間に世界では657件の暗号通貨取引所のハッキングが記録され、最大128億ドルの損失が発生しており、世界的なサイバーセキュリティリスクの警告となっている。
2022年は219件のサイバー攻撃が発生し、約38億ドルの損失が発生したため、「ピーク」の年とされています。2025年はまだ最初の2ヶ月ですが、市場では20件のハッキングが発生し、総額約25億ドルに達しています。
2020年から2025年初頭にかけての有名なハッキング
2025年初頭には、Bybitが15億ドルの盗難被害に遭い、直近では大きな打撃を受けました。その後、Roninハッキング事件(2022年)が発生し、クロスチェーンブリッジの脆弱性によりゲーム「Axie Infinity」のネットワークに影響が及び、6億1500万ドルの損失が発生しました。
 |
過去5年間で3番目に大きなハッキングはPoly Network(2021年)で、6億1000万ドルが盗まれましたが、ハッカーは交渉の末、資産の大部分を返還しました。
DMM Bitcoin (2024)への攻撃により、取引所から3億ドルの純流出が発生しました。この事件は秘密鍵の侵害に端を発し、DMM Bitcoinは即時閉鎖に追い込まれました。
第5位は、Kucoin取引所への攻撃(2020年)で、金額は2億8,100万ドルで、主にイーサリアムとビットコインを標的とし、ブロックチェーンコミュニティにパニックを引き起こしました。
一般的な攻撃の形態
VBA研究開発部門の統計によると、2020年から2025年2月25日までの間に、暗号通貨分野では、秘密鍵の侵害、クロスチェーンブリッジ攻撃、スマートコントラクトの悪用という3つの主な攻撃形式がありました。
秘密鍵の侵害はハッキング全体の36%を占め、235件のインシデントが発生し、損失額は56億ドル(総損失額の44%)に上りました。これらの攻撃は、通常、中央集権型取引所(CEX)や個人ウォレットで発生し、ハッカーは秘密鍵を盗んで資産を掌握します。2024年には、サイバー犯罪者はこの方法で13億4000万ドルを盗みました。
クロスチェーンブリッジへの攻撃も甚大な被害をもたらしました。このカテゴリーのハッキングは79件で、全体の12%を占め、損失額は推定12億5000万ドルに上りました。これは、セキュリティ保護されていないブロックチェーンネットワーク間の取引がもたらす重大なリスクを浮き彫りにしました。
一方、スマートコントラクトの脆弱性を悪用したハッキングはブロックチェーン分野で最も一般的な手法であり、ハッキング全体の58%を占め、最大69億5000万ドルの損失をもたらしました。ハッカーはスマートコントラクトコードの脆弱性を悪用して攻撃を仕掛け、分散型金融プロトコルから資産を盗み出しました。2022年には、この種のハッキングが合計150件発生し、24億ドルの損失が発生し、盗難総額の82.1%を占めました。
 |
| ベトナムブロックチェーン協会の技術専門家、ABAII研究所の科学評議会メンバー、ド・ヴァン・トゥアット博士 |
スマートコントラクトがしばしば標的となる理由について、ベトナムブロックチェーン協会の技術専門家であり、ABAII研究所の科学評議会メンバーでもあるド・ヴァン・トゥアット博士は、スマートコントラクトとは、ブロックチェーンネットワーク上の様々なアプリケーション(Dapps)向けにプログラムされ、展開される取引ルールであると説明しました。ブロックチェーンは非常に安全ですが、そのアプリケーション(例えば、分散型金融(DeFi))のセキュリティは、契約で規定された一連の運用ルールにも依存します。ルールに欠陥や脆弱性があると、安全性が低下し、悪用され、金銭的損失につながります。これは、現実世界の民事契約やビジネス契約と同様です。
「スマートコントラクトは膨大な資産を保有し、毎日数十億ドル規模の取引を処理します。また、誰でも契約を読み、操作できるため、ハッカーにとって格好の標的となります。Bybit、Ronin、Poly Networkへの攻撃に戻ると、これらのプラットフォームは資産をマルチシグネチャ・スマートコントラクトに保管しているという共通点があります。つまり、資金を引き出すには、契約を管理する多くの人々からの同時承認のデジタル署名が必要になります。これらのコントラクトはオープンソースであり、徹底的に監査されており、非常に人気があります」とトゥアット博士は述べています。
Bybitハッキング事件について簡潔に説明したThuat博士は、オープンソースのマルチシグネチャウォレットSafeを使用した契約において、ハッカーがスマートコントラクト管理者(秘密鍵を持つ各人が契約に署名する権限を持つ)を実際に攻撃したと説明しました。ハッカーは「洗練された」方法で管理者の情報を入手し、彼らを騙して、窃盗犯に資金を引き出させました。スマートコントラクトは厳重に施錠された資産倉庫のようなもので、窃盗犯は鍵を破ることはできませんが、鍵の所有者を騙して扉を開けさせ、侵入して資金を盗むことができます。
技術的な側面をさらに深く掘り下げると、ユーザーインターフェース(UX/UI)は、クラウドプラットフォーム上の従来のITシステム(Web2など)を通じて管理・運用されることが多いです。ハッカーはAWS上のSafeのサーバー脆弱性を悪用し、悪意のある情報を注入して隠蔽し、管理者の主観性を高め、契約ルールを変更する許可をハッカーに与え、そこから資金を引き出すことに成功しました。
「この攻撃はベトナムを含む世界中の多くの権威ある治安部隊によって分析されている」とトゥアット博士は述べた。
 |
| ベトナムブロックチェーン協会Web3委員会委員長グエン・チュン・タン博士 |
ベトナムブロックチェーン協会Web3委員会のグエン・チュン・タン委員長は、トゥアット博士と同様の見解を示し、攻撃の実行は容易ではなく、多くの条件が必要であると述べた。攻撃者は、システムの弱点、特にWeb2コンポーネントと人的要因を特定するために、注意深く、粘り強く、綿密に監視を行っている。
「これらの脆弱性は常に存在するわけではなく、ゴーライブ(製品を実際の環境に導入するプロセス)、人材管理、オープンソースコード管理などのプロセスに不備があった場合、あるいは「信頼できる」と思われているにもかかわらず攻撃を受けたサードパーティの製品を使用した場合にのみ発生する可能性があります。一部の脆弱性は長い間存在していたものの、発見・修正が間に合わなかった可能性があります。ハッカーがこれらの脆弱性を発見すると、侵入を実行するための悪用の標的となります」とタン博士は評価しました。
ベトナムブロックチェーン協会の技術専門家であり、米国シアトルのVeramine Inc.の共同創設者兼副社長であるグエン・デュイ・ラン博士は、暗号通貨攻撃は脆弱性の悪用とソーシャルエンジニアリングの手法を組み合わせ、Web 3とWeb 2の両方のシステムの異なる弱点を狙うことが多いと分析しました。Web 3では、スマートコントラクトの論理エラー、例えば特殊なケース(コーナーケース)の安全でない処理、金銭の加算と減算の演算におけるエラー、暗号の脆弱性などが悪用されることが多いと指摘しています。
「一方、Web 2 部分は様々な方法で攻撃を受ける可能性があり、多くの場合、ユーザー、管理者、またはブリッジの秘密鍵が標的となります。これらの鍵がハードウェアセキュリティ管理システム(HSM)やコールドウォレットなどのハードウェアセキュリティデバイスで保護されている場合、盗難はほぼ不可能になりますが、予測可能な鍵を生成する可能性のある暗号化エラーに対する対策は依然として必要です。攻撃者は主に、鍵を管理するソフトウェアシステムに侵入し、システムと管理者を欺くマルウェアをインストールすることで、これらの鍵の保護機能にアクセスしたり、それを回避したりすることを狙っています」とラン博士は評価しました。
ベトナムの将来にとっての解決策は何でしょうか?
ハッカーによる攻撃はますます巧妙化し、市場に大きな影響を与え、投資家の心理にも影響を与えています。しかし、トゥアット博士は、主な原因はスマートコントラクトの管理者が騙されていることであり、コントラクト自体に脆弱性があることではないと断言しました。ほとんどのコントラクトは依然として安全であり、スマートコントラクトを通じたブロックチェーン応用の可能性は依然として非常に大きく、将来性に富んでいます。
ハッキングされるリスクを最小限に抑えるために、VBA の技術専門家は、契約開発者とオペレーター (秘密鍵を保持) は常に安全性を最優先し、情報セキュリティおよびシステム セキュリティ ユニットに相談してハッカーを防ぎ、リスクを最小限に抑える必要があると考えています。
「セキュリティツールの開発、テストの実施、監査、侵入テストなど、技術、人材、セキュリティプロセスへの投資は不可欠です。また、アクティビティ監視システムを構築し、異常を検知するために人工知能(AI)を活用することも必要です。セキュリティは、設計から導入まで、暗号通貨システムの開発プロセス全体に統合する必要があり、従来の情報技術業界のセキュリティプロセスから学ぶことができます」と、グエン・デュイ・ラン博士は述べています。
グエン・チュン・タン博士は、情報セキュリティの分野で絶対的な安全性を確保することは不可能であり、リスクを最小限に抑え、起こりうる状況に備えることしかできないという意見を述べました。
「テクノロジーへの投資は軽視すべきではありません。短期的にはコスト削減につながるかもしれませんが、セキュリティへの配慮を怠れば、長期的には深刻な結果を招くことになります。ベトナムブロックチェーン協会の著名な会員は、大企業がデジタル資産の安全性を確保できるよう、常に寄り添い、支援する用意があります」とタン博士は述べています。
ベトナムブロックチェーン協会のファン・ドゥック・チュン会長は、暗号資産取引所への最近のハッキング事件を受け、ベトナムに対し、情報セキュリティ基準と暗号資産管理の迅速な確立を求めた。「デジタル資産市場が成長を続ける中で、明確な法的枠組みの欠如は投資家を脆弱にするだけでなく、ブロックチェーン業界の可能性を制限しています。法律を基盤として初めて、ユーザーを保護し、イノベーションを促進する信頼できる暗号資産エコシステムを構築することができます」とチュン会長は強調した。
コメント (0)