Bybitハッキングで15億ドル流出:Safeウォレットに潜むAWS S3の脆弱性が露呈

【要約】
・Bybitハッキング事件では、約15億ドル相当の暗号資産が盗まれ、現時点で20.6万ETH(約1.7億ドル相当)が洗浄済み
・Safeウォレット(Safe{Wallet})のAWS S3に注入された悪意あるJavaScriptコードが攻撃の根本原因
・Bybit側のインフラ侵害は確認されておらず、引き続き調査が進行中

Contents
  1. Bybitハッキング事件の全貌:未曾有の被害規模
  2. 継続する資金洗浄:20.6万ETHが既に移転済み
  3. Safeウォレットは「Safe」ではなかった?攻撃手法の核心
  4. Sygniaの取引調査が明らかにした攻撃プロセス
  5. Bybitインフラには侵害の痕跡なし
  6. 大規模ハッキングの波紋:暗号資産業界への影響
  7. 今後の展望と対策

Bybitハッキング事件の全貌:未曾有の被害規模

2025年2月21日に暗号資産取引所のBybitが攻撃を受け、約15億ドル相当の資産がハッカーによって不正に引き出されるという前代未聞の「Bybitハッキング事件」が発生しました。被害の中心となったのは大量のETH(イーサリアム)で、その総量は49.9万ETH以上にのぼります。今回の事件はWeb3史上でも最大級のハッキングとされ、暗号資産市場に大きな衝撃を与えました。

継続する資金洗浄:20.6万ETHが既に移転済み

暗号資産追跡の専門家である余烬(@EmberCN)のモニタリングによると、このBybitハッキング事件の犯人は、2月22日午後から2月27日までの間に合計20.6万ETHを他のウォレットやブロックチェーンに移転し、徐々に資金洗浄を進めていることが判明しています。そのうち、直近24時間で7.1万ETH(約1.7億ドル相当)がさらに送金されており、平均すると毎日約4.5万ETHが別の形で動かされている計算になります。

犯人が所有するウォレットには、なお29.2万ETH(約6.85億ドル相当)が残されているとされ、今後も継続的なマネーロンダリングが行われる可能性が高いとみられています。こうした犯罪者の行動はチェーン上の複数の資産へ換金・分散させることで、資金の追跡を困難にする目的があると推測されます。

Safeウォレットは「Safe」ではなかった?攻撃手法の核心

今回のBybitハッキング事件をより深く解明する上で、Safeウォレット(Safe{Wallet})が大きな注目を集めています。SygniaがBybitの依頼を受けて実施した取引調査によると、SafeウォレットのAWS S3に配置されたリソースに、悪意あるJavaScriptコードが直接注入されていたことが攻撃の直接的な原因だったといいます。

このSafeウォレットは多重署名を利用しているため、通常であれば高度なセキュリティを誇るはずでした。しかし、ウォレットが提供していたJavaScriptファイルが改変され、署名が行われるタイミングで取引内容をすり替えるコードが組み込まれていたことが確認されています。これは、ウォレット利用者が正規の取引と信じて署名してしまうよう仕向ける、極めて巧妙な手口です。

Sygniaの取引調査が明らかにした攻撃プロセス

Sygniaの初歩的な取引調査報告書によれば、以下の点が明らかになっています。

  1. AWS S3リソースへの直接改ざん
    SafeウォレットがAWS上に設置していたS3バケットのJavaScriptファイルに、攻撃者が悪意あるコードを注入。ファイルの最終変更日時やインターネット上のアーカイブ情報から、実際に改ざんが行われたタイミングが特定されています。
  2. 取引内容のすり替え
    注入されたJavaScriptコードは、ウォレットでの署名プロセスを実行中に取引内容を改ざんする役割を果たします。結果的に、ユーザーが気づかないうちに盗難用のアドレス宛へ送金が行われてしまいました。
  3. 限定的な条件でのコード実行
    悪意あるスクリプトには「特定の2つのコントラクトアドレスのいずれかに由来する取引」でのみ動作する仕組みが組み込まれていました。そのうち1つはBybitのコントラクトアドレスで、もう1つは攻撃者がテスト的に利用していたとみられる未確認のアドレスでした。
  4. 証拠隠滅のためのファイル置換
    不正取引が完了してから約2分後、改ざんされたJavaScriptファイルは新しいバージョンに差し替えられ、悪意あるコードが削除されました。

Bybitインフラには侵害の痕跡なし

調査の結果、今回の「Bybitハッキング事件」はBybitの内部インフラの脆弱性が原因ではなかったとされています。Sygniaによる取引調査では、Bybit側が管理するシステムやホストに侵入された形跡は一切見つかっていません。そのため、Safeウォレットの提供元インフラ、具体的にはAWS S3のセキュリティ管理体制に重大な問題があった可能性が高いと見られます。

大規模ハッキングの波紋:暗号資産業界への影響

今回の攻撃規模は約15億ドルという巨額で、Web3史上最大級とされています。暗号資産市場ではDeFiプラットフォームやマルチシグウォレットなどの多様なサービスが台頭している一方、セキュリティ体制の整備が追いついていない現実も浮き彫りになりました。ハッキングが与える信用不安は、投資家やユーザー、そして取引所全体に大きな波紋を広げます。

今後の展望と対策

一連の調査から浮かび上がった事実は、複雑化するブロックチェーン技術とともに、セキュリティ上の隙を突く攻撃も高度化しているという現実です。今回のBybitハッキング事件で鍵となった「Safeウォレット」のように、本来は安全とされる多重署名ウォレットであっても、運用インフラや外部リソースへの改ざんによって攻撃が可能であることが明らかになりました。

業界内ではすでにAWSなどのクラウドサービスで提供されるリソースのセキュリティ強化が急務と考えられており、より厳格なアクセス制御や監査体制の導入が求められています。また、利用者側もウォレットのソースコードや署名プロセスの変化を常に検証し、公式リポジトリとの差分を定期的にチェックするなど、高度なセキュリティ意識を持つことが重要です。

セキュリティ企業やブロックチェーン関連プロジェクトは今後、このような大規模攻撃に対処できる新たな手法を提案・検討していくことが予想されます。すでに発生した巨額流出事件を教訓に、各取引所やウォレット事業者は、同種の攻撃を未然に防ぐための具体策を加速させる段階に入っているといえるでしょう。

関連記事

トップページに戻る

最近の投稿

https://twitter.com/LaboNft
ページ上部へ戻る