Bybitで15億ドル超が盗難!? 北朝鮮系ハッカー「Lazarus Group」が仕掛けた史上最大級ハッキングの全貌

【要点】
・暗号資産(仮想通貨)取引所Bybitが約15億ドル相当のETHを盗まれる大規模ハッキング被害
・朝鮮(北朝鮮)政府支援のハッカー集団「Lazarus Group」が関与した可能性が高い
・偽装されたUIを用いた巧妙なマルチシグウォレットの実装契約切り替え攻撃が主な原因
・他取引所からのブリッジローンによりBybitはユーザー資金を補償する方針
・一部コミュニティではEthereumのハードフォーク(分岐)を要求する意見も上がる

Contents
  1. 史上最大級のハッキング被害とは?
  2. 攻撃元とされる北朝鮮系ハッカー組織
  3. Bybitの公式見解とセキュリティ対策
  4. 他取引所による支援とブリッジローン
  5. 攻撃手法:偽装UIとマルチシグの盲点
  6. セキュリティ専門家の反応
  7. イーサリアムハードフォークへの議論
  8. 今後の展望と注意点

史上最大級のハッキング被害とは?

2025年2月21日深夜、オンチェーン分析家のZachXBT氏がBybitから不審な資金流出を探知しました。流出総額は約14.6億ドル相当とされ、現在はさらに被害額が増加し最終的に約15億ドルに達したと推定されています。これは暗号資産の歴史上でも最大級の盗難被害額とみなされており、かつての「The DAOハッキング」や「イラク中央銀行盗難事件」を上回る規模だと指摘されています。

攻撃元とされる北朝鮮系ハッカー組織

暗号資産の解析企業ArkhamやZachXBT氏による追加調査によれば、今回のBybitハッキングは北朝鮮政府から支援を受けているとされる「Lazarus Group」の犯行の可能性が非常に高いとのことです。過去にもLazarus Groupは暗号資産関連の大規模なハッキング事件で名前が挙がっており、今回も同様の手口が確認されています。

Bybitの公式見解とセキュリティ対策

BybitのCEOであるBen Zhou氏は、攻撃の経緯として「ETHマルチシグコールドウォレットからホットウォレットへ転送する際、署名者全員に正規アドレスを表示するUIが表示されたが、実際はウォレットの実装契約が悪意あるコントラクトへすり替えられていた」という事実を公表しました。こうしたUI偽装により、ウォレットの署名者が気づかないうちにコントラクトの論理が差し替えられ、最終的に巨額のETHが不正アドレスへ送金されてしまったとされています。

また、Bybitは他のコールドウォレットやホットウォレットについては「侵害されていない」と強調し、ユーザーの資産はすべて安全であると説明しています。出金リクエストが急増しているものの、引き続き通常どおり処理を行っており、過度なパニックを避けるよう呼びかけています。

他取引所による支援とブリッジローン

CoinbaseのConor Grogan氏によると、BinanceやBitgetなど複数の取引所がBybitのコールドウォレットへ数万ETHを直接送金した動きが確認されています。特にBitgetの動きは顕著で、同社が保有するETHの4分の1をBybitへ移していたことが判明しています。これはユーザー資金とは別の、Bitget自身の資産を使った支援であると公式に発表されています。

BitgetのCEOであるGracy氏は、「Bybitは尊敬すべき競合かつパートナーである」とし、今回の損失額はBybitの1年分の利益に相当すると指摘しつつも、ユーザー資金を守るための連携に前向きな姿勢を示しました。Bybitも当面はこのようなブリッジローンを活用してユーザー資金を補償する考えを示しており、ETHの大量購入などは検討していないと発表しています。

攻撃手法:偽装UIとマルチシグの盲点

今回のハッキングでは、通常は安全だとされるマルチシグウォレットが逆手に取られた点が注目されています。

  1. 悪意のある実装コントラクト:攻撃者はまず自前のコントラクトを用意し、それを正規ウォレットの実装先にすり替えることを目指しました。
  2. 偽装された取引内容:署名画面では正規の転送先アドレスが表示されており、署名者は通常の送金だと思い込みます。しかし実際にはコントラクトの実装先を書き換えるためのコードが含まれており、署名された瞬間にウォレットが乗っ取られる仕組みでした。
  3. 社会工学的アプローチ:発端としては、署名者のPCやブラウザ拡張機能などが何らかの形でマルウェアに感染していた可能性があります。取引所側が複数の承認者を設定していても、発起者の端末が乗っ取られていれば、他の承認者はただの「承認」だと勘違いして署名を進めてしまいます。

セキュリティ専門家の反応

ブロックチェーンセキュリティ企業のSlowMist(慢霧)やDilation Effectなど多くの専門家は、このようなUI偽装やコントラクトのすり替え手口が近年高度化している点を警告しています。マルチシグウォレットであっても、複数の承認者全員の環境が十分に安全でなければ防ぎきれないリスクがあるという見方です。

また、Safe(旧Gnosis Safe)のチームも、「公式フロントエンドが改ざんされた形跡は現時点で見つかっていないが、調査を継続する」と表明しました。結果が出るまでは一部機能を停止するなど、慎重な対応が取られています。

イーサリアムハードフォークへの議論

かつて「The DAO事件」が発生した際、イーサリアムはハードフォークを実行し盗難資金を事実上無効化する措置を取りました。今回のBybitハッキングを受け、「再度ハードフォークすべきではないか」という声が一部で上がっています。実際に、CoinbaseのConor Grogan氏やArthur Hayes氏らが、この問題について議論の可能性を示唆しました。ただし、イーサリアム全体のコンセンサスを得るのは容易ではなく、実施されるかどうかは不透明です。

今後の展望と注意点

Bybitはすでに複数の当局に通報しており、チェーン解析企業とも連携して不正アドレスの追跡と回収を試みる意向を示しています。被害発生後、Bybit独自のステーブルコインUSDeが急落(フラッシュクラッシュ)した場面もありましたが、一時的なパニックが収まった後は価格がやや回復しています。

巨大な資金を扱う取引所が標的となるハッキングは、近年ますます高度化しています。今回のBybitハッキング事件では、単にマルチシグを導入しているだけでは十分なセキュリティ対策とは言えないという実例が示されました。大規模な資金を管理する企業や投資家は、ハードウェアウォレットやオフライン端末の徹底保護、マルチレイヤー監査など追加の安全策を検討すべきだという声が高まっています。

関連記事

トップページに戻る

ページ上部へ戻る