
史上10大中央集権取引所のハッキング事件を振り返る
TechFlow厳選深潮セレクト

史上10大中央集権取引所のハッキング事件を振り返る
本稿は、中央集権型取引所に対する過去最大規模のハッキング攻撃における最も重大な脆弱性について考察しています。
執筆:Beosin
近年、Mt. GoxやWazirXのような中央集権型取引所(CEX)は外部からのハッキング攻撃により多大な損失を被っており、一方でFTXなど他の取引所は内部での資金の不正使用によって崩壊しました。業界の大手であるバイナンスやコインベースですら、世界最強の金融規制当局からの存続への脅威に直面しています。
非中央集権型取引所(DEX)は、CEXを長年悩ませてきた「ハッキング」「詐欺」「過剰規制」という3大脅威に対して効果的に防御できる可能性を秘めています。「ハッキング」以外にもさまざまなリスクがあります。たとえば、FTXの破綻は経営陣による顧客資金の管理不全および悪用が原因でしたが、DEXではその構造上、透明性とユーザー主導のコントロールが促進されるため、こうした問題は発生しにくいです。
本稿では、暗号資産界が経験してきた著名なハッキング事件から体系的な脆弱性までを振り返り、中央集権型取引所における過去最大級のセキュリティ侵害の歴史を探ります。ここでは、最も重大なCEXハッキング事件トップ10を紹介します。
10. Bithumbのハッキング:繰り返される被害
Bithumbは2014年に設立され、登録ユーザー数800万人以上、累計取引高1兆ドルを超える規模となり、韓国の暗号資産市場の基盤的存在へと急成長しました。しかし、高い知名度とは対照的に、Bithumbは度重なるサイバー攻撃の標的となってきました。
2017年以降の主な被害は以下の通りです。
-
2017年2月:ハッカーが700万ドル相当を盗難。
-
2018年6月:従業員の個人情報が悪用され、約3200万ドル相当の暗号資産が流出。
-
2019年3月:再び侵入され、EOSおよびXRPで約2000万ドルの損失が発生。預け入れおよび引き出しを一時停止。
-
2019年6月:再度攻撃を受け、3000万ドル相当のデジタルトークンが盗まれました。

2018年6月のBithumbハッキング時に報告された盗難資産
度重なるセキュリティ違反に対し、韓国科学技術情報通信部(MIC)が徹底調査を行い、主な問題点として以下を指摘しています。
-
ネットワーク分離が不十分。
-
監視システムが弱く、通常活動と疑わしい活動を区別できない。
-
暗号鍵およびパスワード管理が不適切。
9. WazirXの暗号資産ハッキング事件
2024年に発生した108件の事件において、ハッキングおよび詐欺によって4.73億ドル超の暗号資産が失われました。そのうち、WazirX単体で7月のハッキングによる損失総額の86.4%を占めました。
インドのCEXであるWazirXは、2024年7月18日に引き出しを一時凍結すると発表し、同日、同社のイーサリアム上にあるマルチシグウォレットが重大な脆弱性により攻撃され、2.3億ドル以上の暗号資産が不正に移転されました。
盗まれた資産は、SHIB(シバ)が1億ドル以上、MATICトークン2000万個(1100万ドル)、PEPEトークン6400億個(750万ドル)、USDT 570万個、GALAトークン1.35億個(350万ドル)に上りました。
ハードウェアウォレットやアドレスホワイトリストといった高度なセキュリティ対策を採用していたにもかかわらず、WazirXは複雑な攻撃にさらされました。この事例は、包括的なセキュリティ監査とデジタル資産保護策の継続的改善の必要性を示しており、秘密鍵の集中管理に伴うリスクが明確になりました。
8. バイナンスのハッキング事件:暗号資産の脆弱性への警鐘
2019年、世界最大級の暗号資産取引所バイナンスが、大型のCEXハッキング攻撃を受けました。5月7日、悪意ある攻撃者がフィッシング攻撃およびマルウェアを用いて、ユーザーの二段階認証コードとAPIキーを窃取しました。
これにより、攻撃者は一度の取引でホットウォレットから7,074BTCを盗み出しました。当時の価値は4000万ドル以上でした。
事件後、CEOのチャンペン・ジャオ(CZ)は、極端な状況下でもユーザー資産を保護するための「ユーザーセキュリティアセットファンド(SAFU)」を設立すると発表しました。しかし、2022年10月にはまた新たな重大なセキュリティ課題に直面。クロスチェーンブリッジ「BSC Token Hub」が悪用され、200万枚のBNB(約5.7億ドル相当)が不正生成・盗難されました。
7. KuCoin:ハリウッド映画さながらの盗難劇
2020年9月、KuCoinはまるでハリウッド映画のような大胆な盗難事件に見舞われました。これはCEXハッキング史上屈指の大規模なものでした。ハッカーは巧妙な攻撃でビットコインとイーサリアムを謎のウォレットに送金。さらに、KuCoinのホットウォレットの秘密鍵を取得することで、金庫へのアクセスを完了させました。
翌日、CEOのジョニー・リュー(Johnny Lyu)がライブ配信で全世界に声明を発表する頃には、暗号コミュニティはすでに緊張状態にありました。KuCoinチームは迅速に対応し、残りの資金を新しいホットウォレットに移動、被害を受けたウォレットを無効化し、すべての顧客取引を一時凍結してさらなる損害を防ぎました。
調査の結果、BTC、ETH、LTC、XRPなど複数の暗号資産が関与し、合計損失額は約2.81億ドルに達しました。甚大な被害であったものの、KuCoinが講じた迅速な措置により、数週間以内に約2.04億ドル相当の資産を回収できました。
注目すべきは、KuCoinが国際法執行機関と連携し、このサイバー攻撃の背後に北朝鮮系ハッカー組織がいると特定したことでした。
6. BitGrail:内部要因による崩壊
イタリアの暗号資産取引所BitGrailは、1.2億ユーロ(1.4655億ドル)相当の資産がプラットフォームから盗まれたことで物議を醸しました。イタリア警察は運営責任者Firano(通称「FF」)がハッキングに関与したか、または脆弱性を発見した後に適切なセキュリティ強化を行わなかったと疑っています。
この一連の出来事により約23万人のユーザーが資金を失い、Firanoはコンピュータ詐欺、詐欺的破産、マネーロンダリングなどの罪で起訴され、これはイタリア史上最大級の金融不正事件の一つとなりました。
事件後、イタリア破産裁判所は迅速に行動し、FiranoおよびBitGrailの破産を宣言。さらに、被害者に可能な限り多く資産を返還するよう命じました。
また、裁判所はFiranoの保有資産(100万ドル超の個人物品およびBitGrail口座内の数百万ドル相当の暗号資産)の差押えを承認しました。BitGrailのプラットフォームにはソフトウェアの欠陥があり、不正な出金要求が何度も可能となっていたことが判明しています。
BitGrailのようなCEXでは、すべての資産およびセキュリティ対策が集中管理されているため、ハッカーにとって極めて魅力的な標的となります。
5. Poloniex:2度のハッキング
Poloniexは2度の重大なセキュリティ侵害を受けました。
2014年3月、ハッカーはソフトウェアの脆弱性を突き、97BTCを盗み出しました。これは当時、取引所が保有するBTCの12.3%に相当しました。打撃を受けながらも、Poloniexは完全に復旧し、被害を受けたユーザーに全額補償しました。
時を経て2023年11月、再び攻撃を受けました。今度はより深刻な被害で、北朝鮮関連のラザルスグループとされる攻撃者が秘密鍵を盗み出し、Poloniexのホットウォレットから約1.26億ドルを不正に持ち出しました。
犯行手法にはソーシャルエンジニアリングとマルウェアの使用が含まれており、ハッキング後の資金洗浄には、特定アドレスへの異なるトークンの送金、DEXを利用したマネーロンダリングなど、追跡および回収を困難にする複雑な戦略が用いられました。
4. Bitstampの盗難事件
サイバー犯罪者はBitstampのシステム管理者であるルカ・コドリッチ(Luka Kodric)を標的にし、彼が気づかぬうちに悪意あるファイルをダウンロードさせ、取引所のセキュリティを危機にさらしました。このマルウェアは無害な文書に隠されており、スクリプトを起動してサーバーを感染させ、wallet.datファイルとパスワードへのアクセスを可能にしました。
Bitstampは脆弱性を認識するとすぐに緊急対応チームを立ち上げ、全社に警告を発令しました。しかし、ハッカーはすでにホットウォレットから18,866BTCを盗み出してしまい、当時の損失額は約500万ドルに上りました。
事件後、Bitstampはプラットフォームを根本から再構築することを決定。パッチ適用ではなく、完全な刷新を選択しました。インフラを欧州のアマゾン安全クラウドサーバーに移行し、マルチシグウォレットを導入。さらに冷蔵庫管理(コールドウォレット管理)のためにXapoを採用しました。
3. Bitfinexの盗難事件
2016年8月、Bitfinexがサイバー攻撃を受けました。攻撃者はBitGoが提供するマルチシグセキュリティシステムの脆弱性を悪用。セキュリティプロトコルを操作し、Bitfinexのホットウォレットから12万BTCを不正に引き出しました。
ハッキング後、Bitfinexは財務的損失について透明性を保ちました。損失はすべてのユーザー口座に36%ずつ按分されました。これを補填するため、Bitfinexは被害を受けたユーザーにBFXトークンを発行。これは米ドルまたはiFinex Inc.の株式と交換可能であり、段階的な回復を促進しました。
2. Coincheck盗難事件
2018年1月末、日本の有名暗号資産取引所Coincheckは、史上最悪級のCEXハッキングの一つに見舞われました。ハッカーは取引所のホットウォレットに侵入し、5.23億枚のNEMトークン(当時約5.34億ドル相当)を盗み出しました。
それ以前のハッキング事件からの教訓があったにもかかわらず、Coincheckは多数の資産をホットウォレットに保管しており、十分なマルチシグ保護もありませんでした。攻撃発覚後、取引所は即座にすべての入出金を停止し、盗難資金の流動を阻止しようとしました。
暗号コミュニティは速やかに団結し、盗難された資産の清算を阻止。ShapeShiftなどの取引所は盗難NEMの取引を禁止し、関連アドレスをブラックリストに登録してさらなる取引を防止しました。こうした努力にもかかわらず、資金の完全な回収は実現できませんでした。
1. Mt. Gox:忘れられないハッキング事件
Mt. Goxのハッキング事件は、その規模と発生時期から、今なお最も悪名高く、注目を集める暗号資産盗難事件といえます。これはCEXハッキング史上の象徴的な出来事です。
2011年、当時世界最大のビットコイン取引所だったMt. Goxは初の大規模なセキュリティ侵害を受け、25,000BTCを失いました。2014年には状況がさらに悪化し、最終的に約85万BTCが盗まれるという壊滅的な事件に至りました。
このハッキングの影響は大きく、ビットコイン価格だけでなく、世界中の暗号資産コミュニティの信頼をも揺るがしました。「私はほぼすべてを失った。私のデジタル通貨に対する安全観は、永遠に変わってしまった」とあるフォーラムユーザーが語り、この事件が個人および財政面に与えた深い影響を浮き彫りにしています。
取引所のセキュリティ対策
近年、重大なセキュリティ事故や内部問題により取引所が倒産または資金を失うケースが相次いだことから、取引所のセキュリティは暗号資産業界全体の焦点となっています。安全性を高めるために、取引所はさまざまな対策を講じることが可能です。
例えば、大部分の資産をオフラインのコールドウォレットに保管し、日常の取引需要に対応するためだけに少量の資金をオンラインのホットウォレットに残す方法があります。これにより、ハッカーが大量の資金を盗むリスクを大幅に低減できます。また、複数の署名が必要なマルチシグネチャ方式を採用すれば、単一の秘密鍵の漏洩による資金損失を防げます。
専門のブロックチェーンセキュリティ企業を雇い、システム全体のセキュリティ監査を実施することで、潜在的な脆弱性を特定・修正できます。特にスマートコントラクトの監査は、バグによる資金損失を未然に防ぐ上で重要です。
リアルタイムのモニタリングと脅威検出:ネットワーク活動を常時監視することで異常を早期に発見し、攻撃を未然に防ぐことができます。厳格なKYC(本人確認)およびKYT(トランザクション確認)を実施することで、違法資金の流入を防ぎ、マネーロンダリングのリスクを低減できます。また、専門セキュリティ企業と協力し、定期的にシステムのセキュリティ評価やペネトレーションテストを行うことで、潜在的なサイバー脅威から取引所を守ることができます。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News












