執筆:邵詩巍
本稿はWeb3の六大分野から出発し、Web3業界が本来抱えるセキュリティリスクや、これらの分野がマネーロンダリングのツールとして利用される可能性について解説する。業界内の潜在的脅威を明らかにし、関係者によるアンチマネーロンダリング(AML)意識および法的コンプライアンス意識の重要性を喚起することを目的としている。
パブリックチェーン、クロスチェーンブリッジ、取引所、ウォレット、DeFi、NFTはWeb3業界の六大主要分野であり、2023年には合計435件のセキュリティインシデントが発生し、約79.83億ドル(人民元換算で約578億元)の損失が生じた。
パブリックチェーン
概要:
パブリックチェーンとは、ブロックチェーン技術を用いて構築された分散型クラウドサーバーであり、各種分散型アプリケーション(DApps)のホスティングや実行を目的としており、Web3の基盤ネットワークサービスである。代表例にはBTC、ETH、BSC、SOLなどがある。高い分散性、強固なセキュリティ、高性能の3つを同時に満たすことはすべてのパブリックチェーンの目標だが、これは「不可能三角」とも言われる。例えば、BTCは性能を犠牲にして分散性と安全性を確保しており、ETHは安全性を犠牲にして分散性と性能を実現している。
不完全な統計によると、2023年12月時点で世界には194のパブリックチェーンが存在する。エコシステムの時価総額で見ると、coingeckoのデータによれば、イーサリアム、BNBチェーン、ソラナのエコシステムが上位3位を占めている。現在、パブリックチェーン全体の時価総額は1兆ドルを超えている。2023年12月までの統計では、パブリックチェーン分野でのセキュリティインシデントは13件発生し、累計損失額は2.8億ドルを超えた。
現在、多数のパブリックチェーンがクロスチェーンブリッジ技術によって相互接続されており、あるチェーンに問題が発生すると、それが他の接続されたチェーンに迅速に波及し、連鎖反応を引き起こす。この急速な伝播は問題の深刻さだけでなく、対処の難しさも増しており、パブリックチェーン全体のエコシステムの安定性と安全性に重大な脅威を与えている。
典型的ケース:
2022年10月7日、スマートコントラクトプラットフォームのバイナンスチェーン(BNB Chain)がハッキングされ、わずか2時間のうちにハッカーが200万枚のBNBを無から増発し、他チェーンへクロスチェーン転送した。その後、各チェーン上のDEX市場で増発された「偽のBNB」を現金に交換し、7億ドル以上の利益を得た。
クロスチェーンブリッジ
概要:
各パブリックチェーンは互いに接続されていないため、投資家が異なるチェーン上で投資やステーキングを行う際、資産の統合や移転が必要になる。しかし、それぞれのチェーンが異なる合意形成メカニズムを持つため、資産移転にはクロスチェーン技術が必要となる。ここでいうクロスチェーンブリッジとは物理的な橋ではなく、プロトコルと技術を通じて異なるパブリックチェーン間での資産移転を可能にする「橋」である。2022年上半期に発生した7件のクロスチェーンブリッジ攻撃事件では、合計で約11億3599万ドルの損失が報告されている。
Chainalysisのデータによると、2023年には違法行為者がブリッジプロトコルを利用してマネーロンダリングを行うケースが大幅に増加した。特に暗号通貨の盗難事件において顕著である。図に示すように、2023年にブリッジプロトコルが違法アドレスから受け取った暗号通貨は7億4380万ドルに達し、2022年の3億1220万ドルと比べて大きく増加した。例えば、北朝鮮のハッカー集団Lazarus Groupは、クロスチェーンブリッジとミキサー技術を組み合わせることで、マネーロンダリングの重要な手段としている。

典型的ケース:
1. Roninチェーン上の資金盗難
2022年3月29日夜、ブロックチェーンゲームAxie Infinityの背後にあるRoninチェーン上で資金が盗まれた。盗難は3月23日に発生していたが、3月29日になってようやく発覚した。今回の攻撃により約6.24億ドル(173,600 ETHおよび2,550万USDC)が失われ、これはクロスチェーンブリッジ史上最大規模のセキュリティ事故となった。盗まれたRoninの資金は回収できず、最終的にAxie InfinityおよびRoninチェーンの開発会社Sky Mavisがユーザーへの補償を行った。
2. クロスチェーンプロジェクトのマネーロンダリング利用
2022年8月10日、ブロックチェーン分析企業Ellipticは、クロスチェーンプロトコルRenBridgeが少なくとも5.4億ドルの違法資金のマネーロンダリングに使用されたと指摘した。
2023年5月21日、著名なクロスチェーンプロジェクトMultichainのCEO趙軍氏が中国国内の警察に自宅から逮捕され、グローバルMultichainチームとの連絡が途絶えた。公開報道によると、Multichainは犯罪組織のマネーロンダリングに関与し、巨額の資金が動いたとされている。
取引所
概要:
取引所、すなわち仮想通貨取引所または暗号資産取引所は、主に以下の機能を提供している:ユーザー向けの仮想通貨売買サービス、仮想資産の保管・管理、仮想資産の貸借サービスなど。coingeckoのデータによると、2023年12月時点で世界に887の暗号通貨取引所があり、そのうち中心化取引所(CEX)が224、非中心化取引所(DEX)が663、派生商品取引所が94存在する。2023年には、暗号通貨取引所で19件のセキュリティインシデントが発生し、累計損失額は12億ドルを超えた。
典型的ケース:
2023年11月21日、米司法省公式サイトは、世界最大の暗号通貨取引所Binance.comを運営するバイナンスホールディングス社(Binance Holdings Limited、略称Binance)が、マネーロンダリング、無許可送金、制裁違反の疑いで有罪となり、43億ドルの罰金支払い(25億ドル没収+18億ドル刑事罰金)に同意したと発表した。また、バイナンス創業者兼CEOの趙長鵬氏は、有効なアンチマネーロンダリング体制を維持できなかったことを認め、CEO職を辞任した。

同日午後4時36分、バイナンス創業者の趙長鵬氏はTwitterで、「本日CEOを辞任しました。私は間違いを犯した、責任を負わなければなりません」と投稿した。

米司法省は、バイナンスが有効なAML体制を導入していなかったと指摘した。長年にわたり、バイナンスはユーザーがメールアドレス以外の身分情報なしに口座開設や取引を行うことを許容していた。また、米国の制裁法では、米国人がイランなど全面的制裁対象地域の顧客と取引することを禁止しているが、バイナンスは米国ユーザーとイランユーザーの取引を阻止する措置を講じなかった。2018年1月から2022年5月まで、バイナンスの故意の怠慢により、通常イランに居住するユーザーとの間で8.98億ドルを超える取引が行われた。
「バイナンスは利益追求の過程で法的義務を無視した。彼らの故意の怠慢により、テロリスト、サイバー犯罪者、児童虐待者へ資金が流れ込んだ。」と米財務長官ジャネット・イエレン氏は述べた。「米国金融システムの恩恵を受けたい機関は、どこにあろうと、我々全員をテロ、外国敵対勢力、犯罪から守る要請を遵守しなければならず、そうでなければ結果を被ることになる。」と語り、今回の歴史的制裁と監督はバーチャル通貨業界のマイルストーンであるとした。科技メディアGeekWireによると、ジョーンズ裁判官は裁判所で、バイナンスの連邦銀行秘密法違反行為は「件数、規模、範囲のいずれにおいても前例がない」とし、潜在的なテロ資金供与や麻薬取引に対して「基本的に目をつぶっていた」と批判した。
2024年4月30日、バイナンス創業者兼元CEOの趙長鵬氏は、取引所のマネーロンダリング防止に失敗したとして4か月の懲役刑を宣告された。
ウォレット
概要:
Web3ウォレット、すなわち暗号通貨ウォレットまたはデジタル資産ウォレットは、デジタル通貨を保存・管理・使用するためのツールである。2023年12月時点での統計によると、デジタルウォレットプロジェクトは153件存在する。2023年にはデジタルウォレットに関するセキュリティインシデントが35件発生し、累計損失額は6億ドルを超えた。
デジタルウォレットに関連するマネーロンダリング犯罪は主に二つの側面で現れる。一つはウォレット自体のセキュリティ不足によるハッキング被害とユーザー資産の喪失。もう一つは、KYC不要、アドレス(一連の数字と文字のコード)のみで利用可能であり、銀行などの仲介機関を必要としないことから、匿名性と越境性という特徴が、犯罪者のマネーロンダリングツールとして好都合であることである。
典型的ケース:
1. ホットウォレットの盗難
Alphapoは、ギャンブル、電子商取引、サブスクリプションサービスなどオンラインプラットフォーム向けに中心化型暗号通貨決済サービスを提供する企業である。2023年7月23日、Alphapoのホットウォレットがハッキングされ、Ethereum、TRON、BTCなどを含む約6,000万ドル相当が失われた。盗まれた資金はまずイーサリアム上でETHに交換され、その後AvalancheおよびBTCネットワークへクロスチェーンされた。
2. 中国初のデジタル人民元を用いたマネーロンダリング事件の検挙
2021年11月2日、河南省新密市の公安当局は、通信ネット詐欺グループがデジタル人民元を使ってマネーロンダリングを行い、捜査を逃れていた事件を解決した。これは中国におけるデジタル人民元試験導入以降、全国初のデジタル人民元を用いたマネーロンダリング事件の検挙例である。
DeFi:ブロックチェーンにおけるマネーロンダリングの重災地
概要:
DeFi(Decentralized Finance:去中心化金融)とは、オープンな金融システムを構築するための分散型プロトコルである。現在のDeFiエコシステムでは、取引、貸借、資産管理、ステーブルコイン、金融インフラ、保険、デリバティブ、取引所など多様な機能を持つプロジェクトが存在する。統計によると、Web3各分野の中で、DeFiは最も攻撃を受けやすい領域である。2023年のDeFi関連セキュリティインシデントは282件にのぼり、全体の60.77%を占め、損失額は7.73億ドルに達した。

DeFiの多くの製品はスマートコントラクトと相互作用プロトコルに基づいて構築されており、コードは一般的にオープンソースである。拡大するDeFiエコシステムの中で、複数のDeFi製品が組み合わさって資産を共有するケースが増え、それによって生じるセキュリティ問題も増加している。海外ブロックチェーン企業Chainalysisの報告によると、違法アドレスから暗号資産サービス機関へ送信された資金総額のうち、DeFiが占める割合はますます高まっている。2021年には、DeFiプロジェクトが受け取った違法資金は前年比で約1900%増加し、監視対象の違法資金全体の19%を占めた。2022年には、DeFiプロトコルが違法資金の最大受取先となり、犯罪活動関連アドレスからの送金のうち69%を占めた。

典型的ケース:
北朝鮮ハッカーによるDeFiプロトコルを用いたマネーロンダリング
Chainalysisが2021年に提示した事例によると、北朝鮮ハッカー集団Lazarus Groupは、中心化取引所から9,100万ドル超の暗号資産を盗んだ後、複数のDeFiプロトコルを用いてマネーロンダリングを行った。ハッカーは当初、さまざまなERC-20トークンを盗み、次にDeFiプロトコルを使ってそれらをイーサリアム(ETH)に交換した。さらにETHをミキサーに送り、再びDeFiプロトコルでビットコイン(BTC)に交換し、最後にBTCをいくつかの中心化取引所に移動して現金化した。

NFT
概要:
NFT(Non-Fungible Token:非代替性トークン)とは、ブロックチェーン上に記録された唯一無二で希少性を持ち、分割不可能な特性を持つデジタル資産である。主にゲーム、アート作品、ドメイン名などに応用されている。不完全な統計によると、2023年12月時点でNFT分野では44件のセキュリティインシデントが発生し、累計損失額は約6,200万ドルであった。
典型的ケース:NFTのウォッシュトレード
Chainalysisの統計によると、2021年第3・第4四半期には、NFT関連の違法暗号資産の大部分が詐欺関連アドレス由来であり、これらのアドレスは暗号通貨でNFTを購入していた。また、大量の盗難資金がNFTマーケットプレイスに送金されていた。

分析データから特定されたウォッシュトレード実施者の利益状況によると、習慣的にNFTのウォッシュトレードを行うアドレスは262あり、そのうち152は利益を得ておらず、残り110はウォッシュトレードにより約890万ドルの利益を得ていた。

注:本記事のデータ統計はOKLink、零時科技、SlowMist、成都鏈安、知帆科技などの業界調査報告より引用。











