2021-2023年暗号資産ハッキング被害の完全調査：盗難だけでなく、3割のプロジェクトでトークン価格が半年後に50％下落

2024.08.27

共有先

TechFlow厳選深潮セレクト

2021-2023年暗号資産ハッキング被害の完全調査：盗難だけでなく、3割のプロジェクトでトークン価格が半年後に50％下落

これらの問題に対処するための他の解決策はなく、チェーン上のセキュリティへの投資を通じて業界全体の安全性を段階的に高めていく以外に方法はない。

2024.08.27 - 07:45:00

黑客

Web3業界の深掘り報道に専念し潮流を洞察

著者：Mitchell Amador

翻訳：TechFlow

概要

現時点では、誰もオンチェーン攻撃による予想損失を正確に見積もっていません。これは非常に残念です。しかし、過去数年のハッキング事例を統計的に分析することで、推定値を得ることができます！私は2021年から2023年までのハッキングデータを分析し、オンチェーン攻撃の実際のコストに関する代表的な推定値を算出しました。これを「アマドールのハッキング影響推定」と呼びます。
アマドールのハッキング影響推定：あなたのプロトコルがハッキングされた場合、約1600万ドルの損失が発生すると予想され、トークン価格は時価総額の52％低下し、低迷した価格状態は少なくとも6か月（おそらくそれ以上）続くことになります。また、回復には3か月の時間と労力が必要です。
もし製品がプラットフォーム（L1/L2ブロックチェーンまたは金融基盤プロトコル）である場合、Terra-Luna のような過去の教訓から明らかなように、あなたのプロトコルおよびその依存関係が完全に破壊される可能性があります。
これらの調査結果をこちらにまとめました。ぜひご覧ください！データが利用可能になり次第、さらに多くの統計情報とデータポイントを追加していきます。

オンチェーンハッキングの実際の損害はどれほど深刻なのか？

現時点で、誰も真の答えを知っているわけではありません。しかし、過去のハッキング事例を分析することで、予測的推定値を得ることができます。この記事では、過去数年の歴史的データを振り返り、資金盗難だけでなく、さまざまな影響カテゴリーにおける典型的な将来のハッキングに対する推定値を提示します。ここから、お気に入りのプロトコルにおける典型的なハッキングのコストを推定するためのヒューリスティック（経験則）を作成します。これを「アマドールのハッキング影響推定」と名付けます。

驚くべきことに、過去3年間で暗号業界は数百件のハッキング攻撃を受けてきたにもかかわらず、今日においても適切なハッキング影響の推定値が存在しません。これは、ハッキングの真の影響を測定することの困難さに起因しています。

実際、純盗難額（広く使用されている標準指標）は、実際に発生した損害を大きく過小評価しています。 この指標は、ハッキングによって引き起こされる他のすべての損害形態を無視しており、その多くはハッキング自体よりも大きな財務的損失につながる可能性があります。ただし、これらは定量的に評価するのが難しいという特徴があります。セキュリティ専門家以外にとって、最も認識されていない全体的損害の要因は以下の通りです：

市場への影響： ハッキングが公開取引されているトークン（または仮定上の株式）価格に与える損害を指します。この影響は長期にわたって持続する可能性があります。この影響は、即時の盗難額ほどよく知られておらず、多くのセキュリティ専門家もその重要性を依然として過小評価しています。
依存関係への影響： 初期のハッキングから生じる二次的影響で、他の資産に損害を与えるものです。主に3つのタイプがあります：プラットフォーム依存、金融依存、そして評判への影響。ブロックチェーン自体が攻撃され、その上に構築されたすべての資産／契約が被害を受けるのは、プラットフォーム依存の影響の一例です。Luna 価格の暴落が Terra ステーブルコインの価値を崩壊させたのは、金融依存の良い例です（ただし、これは多くのDeFiハッキングとは異なる種類の攻撃でした）。プラットフォームのセキュリティ不足（例：BNB Chain）によりユーザーの成長や採用が減少するのは、評判への影響の一例です。
人材および組織への影響： この損害は定量化が難しく、通常はハッキング後の対応・回復にかかる時間、金銭、人材の損失として現れます。ハッキングおよびその回復が小型スタートアップチームの数か月分の作業を奪う可能性があることを考えると、組織への影響は常に高コストであり、時には致命的です。極めて予防準備が整った組織を除き、すべての組織がハッキング後にこの影響に対処しなければなりません。

つまり、典型的なハッキングが引き起こす損害は、盗まれた資金だけでははるかに語り尽くせないのです！

この記事の残りの部分では、歴史的中央値を参照するか、データが利用できない場合は筆者の第一手の経験に基づいて、典型的なハッキング状況におけるそれぞれの影響の推定値について説明します。

資金盗難の影響

データによると、2021年に107件、2022年に134件、2023年に247件のハッキングが発生し、2021〜2023年の間に合計488件の公表済みハッキングがありました。

x軸：年、y軸：ハッキング件数

これらのハッキングにより、2021年には2,334,863,067米ドル、2022年には3,773,906,837米ドル、2023年には1,699,632,321米ドルの資金が影響を受け、2021〜2023年の合計は7,808,402,225米ドルに達しました。

x軸：年、y軸：盗難額（米ドル）

明確にするために、「影響を受けた資金」とは、ハッキングや盗難、あるいはその他の方法で失われた資金を指しますが、ホワイトハットハッカーおよび調査員によって返還または回収された資金は含まれません。

これらのデータに基づき、2021～2023年のデータセットに対して簡単な計算を行うと、以下の洞察が得られます：

平均的なハッキングは16,000,824米ドルの資金を盗難しました。
中央値のハッキングは1,000,000米ドルの資金を盗難しました。
ハッキングはべき乗則分布を示しており、多数の小規模攻撃がある一方で、大規模な攻撃が発生した際の損失は中央値の攻撃の100倍以上に達します。

市場への影響

市場への影響の推定は、長年にわたり課題でした。Immunefi は初のレポートを作成し、2022年のハッキングと、63件のハッキングサンプルが価格に与えた影響を分析しました。このサンプルでは、ハッキング後2日で基礎となるトークン価格が平均13％下落し、5日後には平均19.5％下落していることが示されています。

私たちの分析を補強するため、可能な限り多くの2021年、2022年、2023年のハッキングデータでこのデータセットを更新することにしました。ここでは価格変動の中央値を引用します。極端な外れ値が存在する可能性を考慮すると、拡張されたデータセットでは中央値の方が予測可能な推定値となります。

新しいデータセットは176件のハッキングをカバーしています。結果は非常に衝撃的です：

ハッキング当日から2日後、6か月後までのトークン価格の中央値下落：

データは、ハッキング後の中央値の価格下落と長期的な価格圧迫を示しています：

ハッキング後2日で10％下落
ハッキング後5日で19％下落
ハッキング後1か月で27％下落
ハッキング後3か月で43％下落
ハッキング後6か月で53％下落

中央値を超えて、最悪のケースを観察するとさらに驚異的です。ハッキング後3か月時点で、32％のケースでトークン価格が50％以上下落し、11％のケースで90％以上下落しています。ハッキング後6か月では、35％のプロジェクトが50％以上の価格下落を継続しており、16％のプロジェクトが90％以上下落しています。

ハッキング後6か月の価格変動分布。歴史的データは、ハッキング後、トークン価格が強くかつ持続的に圧迫されることを示しています。

これは、ハッキング影響のべき乗則分布を示しており、単一の重大なハッキングが致命的である可能性があることを意味しています。また、影響は時間が経つにつれて悪化し、少なくとも6か月にわたり市場に継続的な影響を与えることも示しています。

市場への影響は1年後もさらに悪化する可能性がありますが、データセットが3年間のハッキングに限定されているため、この仮説を検証するには2024年のデータが完全に集計されるまで待つ必要があります。

注意点： 私たちは、この影響が完全にハッキングによるものだと100％断言できません。トークン価格に下落圧力をかける要因は他にも多くあり、本研究では把握していない要因も存在する可能性があります。最も顕著な混同因子は、トークン価格とマクロ経済環境との相関関係です。しかし、これらのデータはあまりにも深刻かつ有意義であり、主にハッキングが原因と考えるのが妥当です。

すべてのデータを統合すると、典型的なハッキングは、最初の5日間で約-19％の中程度の市場影響を与え、その後6か月かけて-53％まで悪化する（無期限に続く可能性もある）と予想されます。また、16％の確率で、この損害がプロジェクトの時価総額の90％以上に達する可能性があります。

ハッキング後6か月の価格変動分布は、77.8％のプロジェクトが6か月後も価格の圧迫が継続していることを示しています。

明らかに、市場への影響は非常に恐ろしいものになる可能性があります！

多くのトークンプロジェクトが流動性のあるトークンを財務基金や成長の燃料として使っていることに気づけば、なぜセキュリティ専門家が市場影響をこれほど重視するのか理解できるでしょう。ハッキングがあなたに直接的な損害を与えなくても、過度な市場影響は同様に致命的になり得ます。

依存関係への影響（または二次的影響）

十分に認識されていない主要なハッキング影響の一つに、「依存関係への影響」、あるいは「二次的影響」と呼ぶものがあります。これは初期のハッキングによって引き起こされる連鎖的損害を意味します。以下にいくつかの例を示します：

プラットフォーム依存影響：基盤プラットフォームが停止した（例えば、ブロックチェーンでのサービス拒否攻撃）際に、その上で動作するマネートマーケットやペルペット市場などすべてのアプリケーションに破壊的な影響を及ぼす損害です。このような事例は一般的ですが（暗号分野には無数のプラットフォームがあります）、オンチェーンとオフチェーン経済のつながりが限られているため、これまでの発生頻度は制限されてきました。ブロックチェーン技術自体は顕著な耐性を示してきました。しかし、オンチェーンとオフチェーン経済がより密接に結びつくにつれ、こうした影響はより一般的かつ深刻になると予想されます。
金融依存影響：ハッキングが依存資産に与える二次的影響です。金融依存リスクを持つ資産には、ステーブルコイン（MakerDAO、CDP決済など）、流動性ステーキングトークン（LIDO、Rocketpoolなど）、デリバティブプロトコル（Pendleなど）、および流動性プールでペアリングされたほぼすべてのトークンが含まれます。金融依存影響は最も評価が難しいカテゴリの一つであり、簡単に見過ごされがちです。ほとんどすべてのトークン盗難を伴うハッキングは、直接的または間接的に他のトークンへの依存を引き起こします。

依存関係への影響の典型的な例がTerra-Lunaの崩壊です。ステーブルコインプロトコルのエクイティトークンに対する金融攻撃が、ステーブルコインのアンペッグを引き起こし、回復不能な下降螺旋を生みました。Terra-Lunaの崩壊は、400億ドルのLuna株式だけでなく、未償還のUSTステーブルコイン10億ドル、Anchor Protocolの15億ドル相当のエクイティ価値、その他無数のTerraベースのプロトコルなど、Terra-Lunaに関連するすべての分散型金融（DeFi）価値を破壊しました。Terraエコシステムへの被害はほぼ完全であり、現在のTerraエコシステムの価値は99％下落し、実質的に存在しなくなっています。

私と同僚たちは現在、依存関係への影響の実態を理解するために積極的に研究を進めています。この研究は進行中であるため、典型的な依存影響をハッキング影響の法則に組み込むことで早まった結論を導くことは避けます。研究完了後、ここで成果を共有し、本記事を更新します。暫定的には、依存関係への影響は通常理解されているよりもはるかに深刻であるように思われます。

人材および組織への影響

人材および組織への影響は通常、二つの形態を取ります：人材流出と、運営または手続きの変更です。

人材への影響とは、ハッキング後の人員流出を指します。これは、責任や無能さと見なされること、新たなセキュリティ人材の必要性、あるいはハッキング事件による士気の低下などが原因です。いずれにせよ、ハッキングされたプロジェクトが以前のセキュリティリーダーを失うことは珍しくありません。

問題はさらに複雑になります。ハッキング事件は、新たなセキュリティリーダーの採用を困難にします。なぜなら、それは組織の弱点を示しているからです。

もう一つの形態は、ハッキングによって発生する予期しない運営または手続き上の投資（ほぼ常にセキュリティ関連）です。これらの投資は前向きなものですが、貴重な注意力を分散させ、コア製品の進展を遅らせることになります。

ここでの影響の定量化は困難ですが、複数のプロジェクトとの戦況室協働の第一手の経験をもとに推定を行います。

私の経験から、ハッキング後には通常、以前のセキュリティリーダーを失います。これは最高情報セキュリティ責任者（CISO）、セキュリティエンジニア、あるいはセキュリティ役割を担うエンジニアリングリーダーかもしれません。彼らの退職は双方の合意によるものかもしれませんが、自身が責任を負う範囲内でハッキングを経験することは非常に辛い出来事です。あるいは、何らかの理由で解雇されることもあります。また、組織は有効なセキュリティ代替者を採用するのに1.5か月から4か月かかることが多く、被攻撃プロジェクトにとっては時間的損失となります。

ハッキングはしばしばチームにショック状態を引き起こし、それはハッキング自体をはるかに超えます。組織は少なくとも2週間を損害評価と制御に費やし、さらに2〜3か月を是正セキュリティ作業に費やす（突然、それが全員のタスクリストで最優先事項になる）ため、コア製品ロードマップの優先順位が低下します。

上記の数字は比較的楽観的な結果です。人材への影響は、Kyberswapの例のようにプロジェクトの財務的持続可能性に影響を与える可能性があり、さらに深刻です。2023年11月、KyberSwapは4900万ドルの攻撃を受けました。当然ながら、ユーザーへの補償を希望しましたが、そのためチームは会社の運営維持のために従業員の50％を削減し、流動性プロトコル計画とKyberAIプロジェクトを中断せざるを得ませんでした。Kyberがハッカーに提供した10％の報奨金は最終的に役立ちませんでした。

これらの影響を単純な計算式にまとめるのは不可能です。したがって、これらの独自の影響をまとめ、そのまま保持します：あなたがハッキングされた場合、是正セキュリティ作業に3か月、コア製品ロードマップと目標の進捗喪失に3か月、現職のセキュリティリーダーの喪失、および3か月後に代替者の確保に時間を要することが予想されます。まるで3か月分の努力が空中に消えたかのようです。これはどんなスタートアップにとっても相当な損害であり、通常は致命的ではないものの、深刻な打撃です。

では、ハッキングのコストは結局いくらなのか？

すべての情報を統合すると、推定に必要なデータが揃いました。量的損害と深刻度別にまとめましょう：

1. 平均的なハッキングは、攻撃時に約1600万ドルの影響を与えます。

2. 中央値のハッキングでは、基礎となるトークンの時価総額が6か月以内に52％急落します。79％の被攻撃プロジェクトは6か月後も価格の圧迫が続き、ハッキングによる市場影響の最終的な持続期間は不明で、無期限の可能性があります。

3. 中央値のハッキングでは財務的またはプラットフォーム的な依存影響は発生しませんが、それが発生した場合には往々にして絶対的に災害的であり、基盤プラットフォームに依存する資産が完全に破壊されるリスクがあります。依存影響を伴う重大なインシデントでは、典型的な潜在的影響はそのプラットフォーム上で引き出せる価値の合計に達する可能性があります！

4. 推定がより困難ではありますが、中央値のハッキングでは、是正セキュリティ作業、失われたロードマップ時間、チームの離脱と交代、現職のセキュリティリーダーの喪失、そして再びハッキングされないよう保証するための極度の不安などを含め、約3か月分の時間と労力の損失が発生すると予想されます。

これで、オンチェーンハッキングの真のコストを評価するためのシンプルなルールを作成するために必要なすべての情報が揃いました。あなたのプロトコルがハッキングされた場合：

1. 盗難額は約16,000,824米ドルと予想されます。

2. あなたのトークン時価総額は52％下落し、この価格の圧迫は少なくとも6か月間続き、この圧迫からの回復は不可能かもしれません（77.8％の被攻撃トークンが6か月後も継続的な価格抑制を示しています）。

3. 回復と再構築の過程で、3か月分の時間と労力が失われます。

上記の推定と一致する現実の例がIndexed Financeのハッキングです。2021年10月14日に1600万ドルが盗まれました。当時のトークン時価総額は1100万ドルでしたが、6か月後には380万ドルまで下落し、ハッキング後の継続的な価格抑制が示されました。チームはこの出来事から完全に回復できず、Indexed Financeは2022年中頃には実質的に存在しなくなりました。したがって、我々のハッキング影響推定は、ハッキングの影響を効果的に予測しているようです。

もし製品がプラットフォーム（L1/L2ブロックチェーンまたは金融プリミティブプロトコル）であり、ハッキングされた場合、典型的なハッキングの深刻度は絶対的に致命的です。つまり、あなたのプロトコルおよびその依存者は完全に消滅するリスクに直面します。

これは非常に恐ろしいことです。