暗号資産とセキュリティ
はじめに
Project LUCKと書く人
Project LUCKメンバーの大橋です!Project LUCKというのは、株式会社マーキュリー(代表取締役:都木聡)の中で立ち上げたプロジェクトです。そのコアメンバーが日々、自分たちが学んだことや読者の皆さんとコミュニケーションをとりたいと思い、さまざまな記事を書いています。
今回のテーマ
今回は、暗号資産とセキュリティについて書いていきたいと思います。ブロックチェーンはセキュリティが高いと言われているのに、暗号資産流出等の問題が起こるのはなぜなのか?結局、ブロックチェーンや暗号資産って危ないのか、危なくないのか?について、皆さんが考える機会になればと思います。
ブロックチェーンのセキュリティ
まずはブロックチェーンのセキュリティについて、見ていきましょう。
ブロックチェーンのセキュリティが高いと言われている要因として、以下の特徴がありました。
・データの改ざんが困難
・皆でデータを共有しているため、どこか1つのサーバーが止まっても問題ない(障害に強い)
・誰でもデータの閲覧・検証等が可能で、透明性が高い
では、ブロックチェーンのセキュリティが高いと言われているのに、なぜハッキングによる暗号資産の流出等が発生しているのでしょうか?
プラットフォーム別の盗難暗号資産
ハッキングにより盗難された暗号資産について、プラットフォームタイプ別に確認していくと、近年はDeFiからの流出が多いことがわかります。
DeFiからの流出とは、具体的にはDeFiのプログラム(スマートコントラクト)のコードエラーや脆弱性が狙われ、ハッキングされているようです。
また、暗号資産プラットフォームの被害額からみても、80%以上がDeFiプロトコルからの盗難となっています。
特に2022年には、DeFiプロトコルのうち、クロスチェーンブリッジという、暗号資産を特定のブロックチェーンから別のブロックチェーンに移動させるプロトコルからの流出が多発していました。
クロスチェーンブリッジでは、ブロックチェーンから移動させる際に、一度ユーザーの暗号資産を元のチェーン上の スマートコントラクトにロックし、2 番目のチェーン上で同等の暗号資産を発行するという仕組みになっています。
そのため、ブロックチェーンよりセキュリティの低いクロスチェーンブリッジのスマートコントラクトがハッカー達に狙われ、暗号資産を奪われていたという訳です。
31億ドル以上盗難された2022年と比較して、2023年にはDeFiプロトコルの被害額も60%以上減少し、11億ドルとなりました。2023年にDeFiプロトコルのハッキング被害が減ったのは、DeFiプロトコルのセキュリティが向上したからではないかという意見もあり、現在ではクロスチェーンブリッジ以外で、暗号資産を特定のブロックチェーンから別のブロックチェーンに移動させることができる手法も開発されています。
過去の暗号資産ハッキング事件
Ronin Network
2022年3月、ブロックチェーンゲームプラットフォーム「Axie Infinity」をサポートするネットワーク(Ronin Network)がハッキングの標的となり、約6億2500万ドル相当のETHとUSDCが盗難されました。
このハッキングには、北朝鮮の国家支援を受けているハッカー集団「ラザルスグループ」が関与していると言われており、Sky Mavis(Axis Infinityの開発元)は1ヶ月後に盗難された資金570万ドルを取り戻しましたが、史上最大のハッキング事件となっています。
Ronin Networkは、誰でもネットワークに参加できるビットコインやイーサリアム等と異なり、主にSky Mavisにより管理されており、ハッカーはSky Mavisで管理していた秘密鍵を入手し、暗号資産を盗難したと言われています。
Poly Network
2021年8月、ハッカーがPoly Networkの分散型金融プラットフォームの脆弱性を突いて、6億ドル以上を盗み出しました。
プロジェクトの開発者は、盗まれた資金についてX(旧Twitter)で訴えを起こし、その訴えに賛同した正体不明のホワイトハッカー達により、わずか2日後には約3億ドルが回収されました。
Polyスマートコントラクトのアクセス権限の管理ミスによりハッキングを受けたとされています。
Binance BNB Bridge
2022年10月、暗号資産取引所バイナンスがハッキングされ、約5億7000万ドルが盗まれました。
スマートコントラクトのバグにより、クロスチェーンブリッジであるBSC Token Hubがハッカーに悪用された結果、200万枚のバイナンスコイン(BNB)が不正に発行され、引き出されました。
Coincheck
2018年1月、暗号資産取引所コインチェックは、5億2300万ドル相当のNEMコインの盗難に遭いました。ホットウォレットの脆弱性によりハッキングを受けたため、暗号資産をオフラインのコールドウォレットで管理することの重要性が浮き彫りになりました。
なお、NEMの保有者に対しては、2018年3月までに日本円で顧客ウォレットへ返還されています。
このようなホットウォレット (オンライン)で管理していた暗号資産が流出する事案が複数発生したため、2019年に顧客の暗号資産を信頼性の高い方法(コールドウォレット等)で管理することが義務付けられました。
FTX
2022年11月、顧客資産のずさんな管理体制が露呈し、FTXは破産を宣言しました。同社が連邦破産法第11章の適用を申請した日、同社の仮想通貨ウォレットから4億7,700万ドル以上が盗まれました。
なお、創業者のサム・バンクマン・フリード被告は顧客や投資家への詐欺などの罪で米国で訴追され、一審で禁錮25年の判決が下っています。
2024年10月には、FTXの再建計画が米連邦破産裁判所により承認されたため、債権者である顧客への全額払い戻しが実現する見通しです。
FTX破綻時には、親会社であるFTX Trading Limitedの方針に沿って、日本法人であるFTX Japanにおいても、一時、顧客が資産を引き出せない状態となったため、FTX Japanは金融当局から業務停止命令、資産の国内保有命令及び業務改善命令を受け、2023年2月から顧客資産の出金が再開されました。FTX JapanはbitFlyerに売却されたため、2024年7月以降はbitFlyerの完全子会社となっています。
Mt. Gox
2011年、約40万ドル相当の25,000ビットコインを失い、2014年には顧客のビットコイン約65万枚と自社のビットコイン約10万枚を失いました。当時、これは全ビットコインの7%に相当し、その価値は約4億7300万ドルでした。後に、証拠からコインは同社のホットウォレットから盗まれたことが判明しました。
Mt. Goxの破綻をきっかけに、2017年に暗号資産の交換業者が登録制となり、口座開設時における本人確認等が義務付けられ、利用者保護の観点から制度的枠組みが整備されました。
最後に
暗号資産の流出データや事件を踏まえると、ブロックチェーンの技術的問題で暗号資産が流出しているのではなく、運営会社や取引所の秘密鍵・ウォレット管理、スマートコントラクトの設定ミスやバグ等、暗号資産を保有する者のセキュリティ管理が甘かったことにより流出しており、ブロックチェーン自体はセキュリティが高いということがおわかりいただけたかなと思います。
最近では、KADOKAWAがハッキングを受け、約26万人分の個人情報が流出し、4億7000万円相当の身代金を支払ったと一部報道される等、Web3以外の業界でもハッキングが多発しています。
個々のセキュリティ管理の問題でハッキングされるという点では、他の業界と同様ということですね。
Web3業界はまだまだ新しい業界であり、利用者保護等の規制が追いついていないケースも多いため、利用にあたっては個々のセキュリティ管理と判断が重要となります。
セキュリティ管理や利用者保護等の対策が行われているのか、利用にあたって都度調べるのは大変かと思いますが、皆さんも自分の資産を守るために、適切にリスクを把握した上で利用していただけると嬉しいです!
参考文献
bitFlyer「FTX Japan 株式会社の株式取得完了に関するお知らせ」
https://bitflyer.com/pub/20240726-Completion-of-FTX-Japan-K.K.-Share-Acquisition-ja.pdf
NHK「FTXトレーディング日本法人 国内同業大手が買収の方向で調整」
FTX www3.nhk.or.jp/news/html/20240620/k10014487291000.html
金融庁「暗号資産(仮想通貨)に関連する制度整備について」
https://www.fsa.go.jp/policy/virtual_currency/20210407_seidogaiyou.pdf
マーキュリー 会社概要
会社名:株式会社マーキュリー
代表者:代表取締役社長 都木 聡
所在地:
〒150-6221
東京都渋谷区桜丘町1番1号
渋谷サクラステージ SHIBUYAタワー 21階
URL:https://coin-trade.cc/