暗号資産(仮想通貨)について調べていると「ハッキングにより〇〇億円が流出!」なんてびっくりなニュースを見かけます。実際に2018年には国内の暗号資産取引所が相次いでハッキング被害に遭いました。私たちの日常では考えられないほどの大金がほんの一瞬でインターネットの闇に消えていったわけです。
なかなか暗号資産投資に踏み切れない人のなかには、当時のイメージをそのままに暗号資産は危ないと考えている人も多いかと思います。ハッキング事件をきっかけに暗号資産投資をやめてしまった人もいることでしょう。確かに今でも暗号資産のハッキング事件は毎年のように起きています。
つい最近も、暗号資産がハッキングによって奪われる事件が発生しました。ところが、攻撃を受けた先の顧客資産のほとんどが犯人の手にわたることなく守られました。なぜ被害を防ぐことができたのでしょうか。
今回は8月に起きたポリネットワークとリキッド、2つのサービスに対するハッキング事件をもとに、現在の暗号資産ハッキング対策について解説します。
業界最大規模のDeFiハッキング事件を解決したのは?
8月半ば、ポリネットワークという分散型金融(DeFi)サービスで被害額が600億円を超える業界最大規模のハッキング事件が起こりました。DeFiとは特定の管理者なしにプログラムに従って様々な取引をおこなう金融サービスを指します。
取引所の中央管理システムをねらったハッキング事件とは違い、DeFiではプログラムの不具合(バグ)が原因となってハッキング事件が起こります。今回もポリネットワークにおけるバグが事件の原因となりました。
しかし、この事件は発生から1週間もたたずして解決に向かいました。ポリネットワークは被害が発覚してすぐ、資産の流出先となった犯人のアドレスを特定し、業界内の取引所やマイナー(採掘者)、セキュリティ会社などに協力を求めました。すると協力者によって犯人のアドレスはブラックリスト化され、流出資産の一部は凍結。また、データ分析によって犯人の身元を特定したとの発表もされました。
このような業界の連携した動きは2018年にはほとんど見られませんでした。しかし今では、取引所をはじめとする暗号資産関連業者が協力しあうことによって、ハッキングの被害をくいとめる動きが増えています。
今回の事件ではポリネットワークの素早い呼びかけによって犯人が資産を自由に取り出すことが難しい状況が作り出されました。その後、犯人はもとからお金には興味がなかったと主張していますが全額を返還しました。
実は、DeFiではこれまでも数億円から数十億円規模のハッキング事件が度々起きています。DeFiはコードが公開されていることも多いためバグが見つかった場合には攻撃されやすいという問題があります。
また、特定の管理者がいない場合には、ハッキングによってユーザーが資産を失っても、企業などの主体が責任をとることもありません。このように、DeFiのハッキングは暗号資産の新しい脅威として対策が求められています。
国内の取引所でもハッキング事件が発生
同じく8月の後半には、国内の暗号資産取引所リキッドでも100億円規模のハッキング事件が発生しました。リキッドは日本の取引所ではありますが海外をメインに事業を展開しています。
今回は海外事業の中心であるシンガポール法人が被害に遭いました。2018年のコインチェック事件でも原因となった、ホットウォレットというオンラインのウォレットから資産が盗まれました。
一般に暗号資産取引所は、自己資産と顧客資産を分けて管理することはもちろん、ホットウォレットと、コールドウォレットというオフラインのウォレットで資産を分けて管理しています。ホットウォレットは資産の移動がしやすいですが、ハッキングのリスクが高まります。一方のコールドウォレットはセキュリティは高いですが、資産の移動に時間がかかります。
日本では、取引所のホットウォレットをねらったハッキング事件が次々に発生したことから、今では取引所が顧客資産の95%以上をコールドウォレットで管理することが法的に義務付けられています。また、ホットウォレットで管理する分についても、万が一に備えて顧客資産の同種同量をコールドウォレットで保管しなければなりません。つまり、国内の取引所は顧客資産の100%をコールドウォレットで管理しています。
2018年には国内の取引所でこれらの分別管理が徹底されていなかったためハッキングによって顧客資産が大量に失われることとなりました。しかし、今回被害に遭ったリキッドは、事件の詳細は調査中ではあるものの、顧客資産については分別管理によって守られていると報告しています。
このように現在は、取引所のハッキングに対して規制を含めた様々な対策が講じられているのです。
<文:暗号資産アナリスト 松嶋真倫>