仮想通貨取引所バイビットが、仮想通貨業界で 過去最大のハッキング被害 を受け、14億6000万ドル以上のリド・ステークドETH(stETH)、マントル・ステークドETH(mETH)などのERC-20トークンが不正流出した。

アナリストによると、このハッキングは高度なサイバー攻撃に対して、強固なセキュリティ対策を備えた中央集権型取引所であっても依然として脆弱であることを浮き彫りにした。

ブロックチェーンセキュリティ企業アーカム・インテリジェンスやオンチェーン分析を手掛けるZachXBT氏は、このハッキングが北朝鮮のハッカー集団ラザルスと関連していると 指摘している 。

アーカムは、この攻撃の実行者または関与した組織を特定するため、5万ARKMトークン(約3万1500ドル相当)を報奨金として提供するプログラムを開始した。

トレザーのアナリストであるルシアン・ボルドン氏はコインテレグラフに対し、「この事件は、どれほど強力なセキュリティ対策が施されていたとしても、人為的ミスによってすべてが崩れる可能性があることを改めて示した」と話す。

ボルドン氏によると、攻撃者は巧妙なソーシャルエンジニアリング手法を用いて署名者を欺き、不正なトランザクションを承認させ、バイビットのコールドウォレットの1つから仮想通貨を流出させたという。

バイビットのハッキング被害額は、2021年8月に発生したPolyネットワークの 6億ドル流出事件 の2倍以上となり、仮想通貨取引所における過去最大の被害規模となった。

ブラインドサイニング攻撃か

サイバーセキュリティ企業サイバーズの共同創設者兼最高技術責任者(CTO)であるメイア・ドレブ氏によると、今回の攻撃は、2024年に発生したワジールXの 2億3000万ドル流出事件 やラディアント・キャピタルの5800万ドルの ハッキング事件 と類似点があるという。

「バイビットのイーサリアム・マルチシグ・コールドウォレットは、署名者を騙そうとする不正なトランザクションによって侵害されたようだ。署名者は、不正なスマートコントラクトのロジック変更を知らずに承認させられた可能性が高い」とドレブ氏は指摘した。

「これにより、ハッカーはコールドウォレットのコントロールを取得し、すべてのETHを未知のアドレスに転送した」と、ドレブ氏はコインテレグラフに語った。

今回の14億6000万ドルのハッキングは、仮想通貨業界にとって大きな打撃となった。特に、2024年に 発生した 仮想通貨関連のハッキング被害総額23億ドルのほぼ半分を占める規模である。

セキュリティ強化の必要性

サイバーズなどの仮想通貨セキュリティ企業は、将来的な攻撃を防ぐための事前対策に取り組んでいる。サイバーズのGTM戦略担当副社長であるマイケル・パール氏によると、新たに注目されている「オフチェーントランザクション検証」という手法が、将来のハッキングや詐欺の99%を防ぐ可能性があるという。

「この技術は、ブロックチェーン上でのトランザクションを事前にオフチェーン環境でシミュレーションし、検証することで、悪意のある取引を未然に防ぐことができる」と、パール氏は コインテレグラフに語った 。