14億ドル強奪事件から学ぶセキュリティの教訓
TechFlow厳選深潮セレクト
14億ドル強奪事件から学ぶセキュリティの教訓
Web3.0の黄金時代は、ハッカーの祭典であってはならない。
Web3業界の深掘り報道に専念し潮流を洞察執筆:CertiK
先日、CertiKの最高ビジネス責任者(CBO)であるJason Jiang氏がCointelegraphの人気ポッドキャスト『The Agenda』に登場し、Bybit事件を題材にWeb3.0のセキュリティについて深く語りました。14億ドル相当の資産が一夜にして消失したこの出来事は、業界全体を震撼させただけでなく、デジタル資産の安全性に関心を持つすべてのユーザーにとって衝撃的な出来事でした。これは暗号通貨史上最大の盗難事件であると同時に、急成長する業界の裏側に潜むリスクを浮き彫りにするものでもありました。
ブロックチェーンセキュリティ分野のリーダーであるCertiKは、こうした脅威に対する分析を常に続けています。Bybit事件発生後、CertiKは直ちに技術的分析を実施し、「ブラインド署名(Blind Signing)」という問題の存在を指摘しました。対談の中でJason氏は、ブラインド署名が発生する理由を説明し、ユーザーに対して取引アドレスを少なくとも3回確認することを強く推奨しています。
THORChainの検証ノードが取引のロールバックを拒否した際、Jason氏は「我々はまるで西部劇のような無法地帯にいるようだ」と率直に述べました。しかし同時に、規制との調和こそがWeb3.0業界の成熟への道だと強調しました。数億ドル規模のハッキング攻撃に対して、わずか4,000ドルのバグ報酬では到底釣り合わず、業界はセキュリティ投資の不足に真剣に向き合う必要があります。なぜなら、Web3.0の黄金時代は、決してハッカーたちの祝祭の場であってはならないからです。
Bybitの14億ドル盗難事件を受け、CertiK幹部が語る暗号資産の安全性向上策
今年2月、中心化取引所Bybitが受けたハッキング攻撃は、業界に大きな衝撃を与えました。報道によると、北朝鮮のハッカー集団Lazarus Groupが、Bybitが運用していたマルチシグウォレット「SafeWallet」を通じて、14億ドル相当のイーサリアム関連トークンを盗み出しました。これはこれまでで最も大規模な暗号通貨盗難事件となりました。
今回の事件の余波は、多くの疑問を呼び起こしました。「どこに問題があったのか?」「自分の資金は本当に安全なのか?」「このような出来事を二度と起こさないために、どのような対策が必要なのか?」
ブロックチェーンセキュリティ企業CertiKのデータによれば、この大規模な盗難事件は、2月の総損失額の約92%を占めています。この一件により、2月の暗号通貨関連の損失総額は1月と比べて実に約1500%も急増しました。
Cointelegraphの第57回『The Agenda』ポッドキャストでは、司会のJonathan DeYoung氏とRay Salmond氏がCertiKの最高ビジネス責任者Jason Jiang氏を迎え、Bybitのハッキング事件の詳細、その影響、そしてユーザーおよび取引所が取るべきセキュリティ対策について議論しました。
Bybitの盗難事件後、暗号資産ウォレットはまだ安全なのか?
Jason氏によれば、Lazarus GroupがBybitに対して大規模なハッキングを成功させることができたのは、マルチシグウォレット「SafeWallet」を管理する複数の署名者の端末を全て乗っ取り、さらに彼らを騙して悪意ある取引を「正当なもの」と思い込ませて署名させたためです。
それでは、SafeWallet自体がもはや信頼できないのか? Jason氏はそう単純ではないと述べます。「開発者のPCが侵入された場合、そこからさらなる情報が漏洩している可能性があります。ただし、個人ユーザーにとっては、このような状況に陥るリスクは極めて低いと考えられます。」
彼は、一般ユーザーが暗号資産の安全性を高める方法として、資産をコールドウォレットに保管することや、SNS上でのフィッシング攻撃に注意を払うことを挙げました。
LedgerやTrezorといったハードウェアウォレットも同様に悪用される可能性があるか、という質問に対して、Jason氏は再び「一般ユーザーにとってはリスクは小さい」と答えました。ただし、十分なデューデリジェンスを行い、取引には慎重になる必要があると強調します。
「今回の事件の原因の一つは、署名者が取引先アドレスの全体を確認せずに、盲目的に署名してしまったことです」と彼は補足します。「送金先アドレスが本当に自分が送りたい相手かどうか、特に大口の取引では必ず繰り返し確認してください。念には念を。」
「今回の出来事をきっかけに、業界全体として改善を試み、署名プロセスの透明性と可視性を高めていくことになるでしょう。もちろん他にも学ぶべき教訓は多くありますが、これは間違いなく重要な一つです。」
次なる数十億ドル規模の取引所ハッキングを防ぐには?
Jason氏は、包括的な規制とセキュリティ体制の欠如が、今回のハッキング被害の拡大要因の一つだったと指摘します。実際に、クロスチェーンプロトコルTHORChainの一部の検証ノードが、Lazarus Groupによる盗難資金のビットコインへの交換を阻止またはロールバックすることを拒否したことは、分散型ネットワークの限界と責任の所在について、業界内で激しい議論を巻き起こしました。
「ようこそ、西部開拓時代へ」とJason氏は皮肉を交えて言います。「これが、今の私たちの現実です。」
「私たちの見解では、暗号通貨が真に発展していくためには、規制を受け入れる必要があります。より多くの人々に受け入れられるようにするためにも、主体的に規制に近づき、業界全体のセキュリティを高める方法を見つけるべきです。」
Jason氏は、BybitのCEOであるBen Zhou氏が事件後の対応を迅速に行ったことに敬意を表しつつも、一方で事件前まで同取引所が提供していたバグバウンティプログラムの報酬がわずか4,000ドルだった点に疑問を呈しました。彼は、サイバーセキュリティ専門家の多くが金銭だけを動機としていないとはいえ、バグバウンティの報酬を引き上げることは、取引所のセキュリティ水準を維持・向上させる上で有効だと述べます。
取引所やプロトコルが、優秀な人材をどのようにして惹きつけ、そのシステムの安全性を守り続けることができるのか、という問いに対して、Jason氏はセキュリティエンジニアが十分な評価を受けていない現状に言及します。
「多くの人が、一線級の人材は開発職に流れると言います。なぜなら、そこで最も多くの報酬を得られるからです。しかし、それは果たしてセキュリティエンジニアをどれだけ重視しているかにもかかっています。彼らは非常に重大な責任を負っているのです。」
「彼らの負担を適切に軽減し、より多くの評価とインセンティブを与えるべきです。金銭的な報酬であろうと名誉表彰であろうと、私たちができることの範囲内で、適正なリターンを提供すべきなのです。」
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
CertiK
