クリプトマッスル

時系列で追う仮想通貨関連ハッキング事件一覧

どうも!こんにちは!

クリプトマッスルです!

今日はこれまでに起きている仮想通貨関連のサイバー攻撃を時系列でまとめてみたいと思います。

2017年以前

2011年6月、2014年3月:Mt.Gox(マウントゴックス)

被害額:約470億円(合計)

おそらく最も有名な仮想通貨関連事件であるMt.Gox(マウントゴックス)事件は2011年6月19日に発生しました。

Mt.Goxは当時、全世界で70%のビットコイン取引を処理する最大のビットコイン取引所でした。

このMt.Goxは合計で2度のハッキングの被害に遭っています。

最初のハッキングは2011年6月、当時のビットコインの価格は1BTCにつき約17ドルでしたが、不正によって1ドル以下まで下落しました。

原因はハッカーがMt.Goxの監査人資格を不正に取得し、任意の価格で大規模な注文を繰り返したためでした。

2度目の攻撃は2014年3月に起き、前回を遥かに超える75万BTCが奪われたとされ、Mt.Goxは業務を維持出来ないために2014年2月28日に破産申請を行っています。

Mt.Gox事件では消失した資産の払い戻しは行われなかったため、取引所にビットコインを保管していた多数の投資家は膨大な資産を失いました。

この事件以降、こういった事件を『GOXする』などと呼ばれるなど、一部ユーザーから揶揄されています。

 

2012年9月 BitFloor(ビットフロアー)

被害額:約155億円

BitFloor(ビットフロアー)はアメリカの取引所で、この事件では、ユーザーのウォレットの秘密鍵のバックアップをオンラインで保管しており、しかもそれが暗号化されていませんでした。

そして、ハッカーが取引所のバックアップに侵入することで秘密鍵を入手、結果として24000BTCが取引所から盗まれてしまいました。

その後、失った資産を何とか全額払い戻すも、2013年に閉鎖してしまいました。

 

2014年3月 Poloniex(ポロニエックス)

被害額:約6000万円

アメリカの大手取引所Poloniex(ポロフィネックス)ですが、2014年3月にハッキングの被害に遭いました。

このときの手口というのが、取引所の出金システムに問題があり、その部分をハッカーに狙われ、97BTCが失われました。

問題後すぐにポロフィネックスは、ビットコインの凍結を行いましたが、自社では失った資産を返済することができないから、全ユーザーの資産を12.3%削減するという発表をしました。

現在は全てのユーザーに返済は完了したという報告を発表しています。

 

2015年1月 Bitstamp(ビットスタンプ)

被害額:約12億円

セキュリティに強い取引所としてスロベニアで始まったBitstamp(ビットスタンプ)でしたが、ここもハッキングによって、資金の不正送金の被害に遭い19,000BTC失いました。

原因ですが、ビットスタンプで利用されていたシステムの「楕円曲線デジタル署名アルゴリズム(ECDSA)」の乱数パターンを解析されたことによるものではないかと言われています。

その後、マルチシグなどを搭載した更に高いレベルでのセキュリティを備えて、現在も引き続き営業しています。

 

2016年8月 Bitfinex(ビットフィネックス)

被害額:約76億円

香港にある世界最大級の取引規模を誇るの取引所です。

ハッカーはビットフィネックスとセキュリティ企業BitGo(ビットゴー)の採用しているマルチシグのシステム脆弱性を狙って攻撃したと言われています。

この攻撃によって12万BTCが奪われ、この額はビットフィネックスの資産の36%に比敵すると言われています。

一時は取引所閉鎖の危機もありましたが、ビットフィネックスは独自通貨である「BFXトークン」を発行し、少しずつユーザーの資産の返済を行い、2017年4月には失った全ての資産を完済しています。

2017年

2017年7月 Bithumb(ビッサム)

被害額:約1億1000万円

Bithumb(ビッサム)はビットコインとイーサリアムを扱っている韓国の取引所で、ハッキングの被害にあった当時、全世界の20%ものイーサリアムの取引が行われており、大規模の取引所でした。

その取引所では2017年7月、3万人分のユーザーアカウントが漏洩し、約1億1,000万円分の仮想通貨が不正送金されてしまいました。

公式発表によると原因は本社のサーバーではなく、従業員が自宅で使っているパソコンがハッキングの被害にあったと言われています。

 

2017年7月 Coindash(コインダッシュ) ICO

被害額:約8億2000万円

決済・輸送サービススタートアップのCoinDashは2017年7月にICOを行ったのですが、そのイーサリアムアドレスをハッキングされ、企業は730万ドル(8.2億円)を集めましたが、それら全てが不明のユーザーに奪われることとなりました。

最終的に企業はICOを廃止し、寄付金を贈与したサポーターに企業のネイティブトークンCDTを与えると約束しました。

その後、一部の投資家はハッキングされたアドレスに寄付をし続け、結果として盗まれた資金を超える額の1000万ドル(11.2億円)の資金を集めることに成功しました。

この事件はICOに関与する不正問題を顕著にすることとなりました。

 

2017年7月 Parityウォレット

被害額:約34億円

仮想通貨ウォレットのParity社は、2017年7月、英国ベースのスタートアップからv1.5ウォレットソフトウェアの脆弱性を指摘され、結果としてユーザーの口座から15万イーサリアムが盗まれることとなりました。

バグはParityのマルチシグネチャウォレット内で発覚し、複数の企業のICOを巻き込みました。

当時の計算で、盗まれたイーサリアムは約3000万ドル(34億円)でした。

Parity社CTO Gavin Wood氏は、三つのハッキングされたアドレスを発表し、今後同じ事件が起きないように最善を尽くすと声明を出しています。

事件後、7万イーサリアムは既に現金化され、二度と戻ってこないとういことが明らかになっています。

 

2017年8月 EnigmaICO

被害額:1500イーサリアム

ブロックチェーンスタートアップEnigma社はウェブサイト、メールリスト、管理者のSlackチャネルがハッキングされ、その後ハッカーによって偽のトークンセールが行われてしまい、投資家から1500イーサリアムがだまし取られてしましました。

その後、Enigma社運営チームはアカウントを正常に戻すことを成功しましたが、ハッカーに利用されたウォレットは空となり、資金が戻ることはありませんでした。

 

2017年9月 EtherDelta(イーサデルタ)

被害額:約800万円

EtherDelta(イーサデルタ)は、通常の取引所のように運営者がいなく、完全に個人対個人による取引をする場所というのが分散型取引所です。

ブロックチェーンで管理されている分散型取引所はハッキングに強いのが売りでしたが、フィッシングサイトを利用したハッキングの被害に遭ってしまいます。

この時は、EtherDelta(イーサデルタ)にアクセスすると自動的に別のサイトに飛ばされて、そこでIDやパスワードを入力するとその情報が盗まれてしまうという流れです。

これによって305ETHが不正に送金されてしまい、管理者不在ということで失われてしまった資産は戻ってきませんでした。

 

2017年11月 Tetherトークン

被害額:約33億8000万円

2017年11月、米ドルペッグ制仮想通貨Tetherから3000万ドル(33.8億円)が盗まれました。

Tether社は約3100万ドル(35億円)分のトークンが不明のビットコインアドレスに送られたと主張しており、Tetherブロックチェーンの基盤であるOmniプロトコルを通し、盗まれたトークンをブラックリストに載せました。

しかし、この問題は未だに解決していません。

 

2017年4月、12月 Youbit(ユービット)

被害額:1度目約4000BTC、2度目との合計は不明

Youbit(ユービット)は韓国の小規模な取引所が2017年4月と12月で2度のハッキング被害に遭いました。

実は韓国にはYobit(ヨービット)と呼ばれる似た名前の取引所も存在するのですが、こちらの取引所は大規模なために一時混同し、大混乱に陥りました。

具体的な被害総額は明らかになっていませんが、総資産の17%が奪われたとされています。

その後、ユービットは破産し、ユーザーは預けていた資産の75%までを引き出すことができましたが、残りは戻ってきませんでした。

なお、この事件は北朝鮮政府が管理するのハッカー集団によるものだと言われており、国家レベルでのハッキングとの噂も流れています。

 

2017年12月 NiceHash(ナイスハッシュ)

被害額:約88億円

仮想通貨マイニング事業NiceHashは2017年12月にハッキングされ、4,700ビットコインで当時の損害額は7800万ドル(88億円)が失われました。

事件後、従業員のパソコンがハッキングされた事が原因だと発覚し、そこからハッカーはマーケットシステムに侵入し、企業の口座からビットコインを奪ったとされています

2018年

2018年1月 Coincheck(コインチェック)

被害額:約620億円

Coincheck(コインチェック)は2014年に操業を開始した日本最大の仮想通貨販売所・取引所で、2017年にはビットコイン取引高日本国内1位を獲得しています。

コインチェックの記者会見によると、2018年1月26日にコインチェックのホットウォレットから5億4000万XEM(約620億円)が盗まれ、仮想通貨取引所のハッキング被害のなかで過去最大額となります。

ハッキングの原因は、常時ネットに接続されていたホットウォレットによる管理だとされています。

その後、コインチェックはNEMの全額返金を行い、倒産には至りませんでした。

コインチェック:620億円以上が不正に引き出される被害が発生か

 

2018年 1月 Stellar Lumens(ステラルーメン)

被害額:約4400万円

オープンソースのオンラインStellarウォレットのBlack Walletは今年1月にハッキングの被害に遭いました。

原因は、blackwallet.coのホスティングプロバイダを対象としたフィッシング攻撃であったとされています。

このようなハッキングにより、WebWalletは安全ではないということが明らかになり、My Ether Wallet(MEW)のようなクライアント側のみのウォレットの出現をもたらしました。

Stellar Lumensで$400,000のハッキング被害

 

2018年 4月、5月 Verge(ヴァージ )

被害額:約2億1400万円

仮想通貨Verge(ヴァージ)は人気アダルトサイト、Pornhubとの提携により、注目を浴びた匿名性の高いコインで、最近2度も51%攻撃の標的となりました。

1回目の被害は今年4月で、25万枚のVerge(XVG)が持ち去られた。

2度目は5月中旬で、3500万Verge(XVG)で170万ドル(日本約2億円)に相当するコインがハッカーにだまし取られた。

このようなハッキングは仮想通貨のプロトコルの土台となるコードを少し操作するだけで可能とされており、Verge(XVG)はより使い勝手の良い仮想通貨をデザインしようとして、ブロックの承認時間など一部に変更を加えたが、これにより攻撃に対して弱くなってしまったとされています。

 

2018年4月 MEWハッキング

被害額:約1600万円

これはフィッシング詐欺によって秘密鍵を盗むというものでした。

現在MEWは復旧し、再度利用できるようになっています。また、MEWはフィッシング対策についてまとめたガイドブックを配布し、利用者に対して注意喚起を行なっています。

 

2018年5月 Taylor(テイラー)

被害額:約1億5000万円

仮想通貨取引アプリのテイラー(Taylor)は、5月22日にサイバー攻撃を受け、テイラーがICOで調達した資金をハッカーはすべて持ち去ったとのことです。

取引アプリTaylor社がイーサリアム(ETH)を盗まれる

 

2018年6月 Coinrail(コインレール)

被害額:約44億円

韓国の仮想通貨取引所Coinrail(コインレール)が今年6月にハッキングの被害に遭い、4000万ドル(日本円約44億円)相当の仮想通貨を失いました。

コインレールは、自社が管理するコインの70%はオフラインウォレットに移動させているので、そのコインの安全性は確保できていると主張しており、さらに、残りの30%のコインも、3分の2は凍結もしくは回収したとしています。

原因についての詳細は明らかになっていません。

 

マッスルまとめ

かなり長くなってしまいましたが、有名なものだけでもこれだけあり、この他にもまだたくさんの仮想通貨関連のサイバー攻撃はあります。

年々セキュリティは強くなってきているにも関わらず、ハッカーはまた新たな手法で攻撃を仕掛けてくるというまさにイタチごっこ状態になっています。

それでも、やはり自分の資産は守らなければなりません。

  • 資産を別々の取引所で保管
  • 長期投資の通貨は自分のウォレットに保管
  • ウォレットもセキュリティの高いものを選ぶ

このように色々と対策を取って、常にアンテナを張って情報を集め、自分の資産は自分でしっかりと守りましょう。

 

 

その他の記事はこちらから

[npc width=”70″ height=”70″]