【要約】
・Bybitハッキング事件では、約15億ドル相当の暗号資産が盗まれ、現時点で20.6万ETH(約1.7億ドル相当)が洗浄済み
・Safeウォレット(Safe{Wallet})のAWS S3に注入された悪意あるJavaScriptコードが攻撃の根本原因
・Bybit側のインフラ侵害は確認されておらず、引き続き調査が進行中
2025年2月21日に暗号資産取引所のBybitが攻撃を受け、約15億ドル相当の資産がハッカーによって不正に引き出されるという前代未聞の「Bybitハッキング事件」が発生しました。被害の中心となったのは大量のETH(イーサリアム)で、その総量は49.9万ETH以上にのぼります。今回の事件はWeb3史上でも最大級のハッキングとされ、暗号資産市場に大きな衝撃を与えました。
暗号資産追跡の専門家である余烬(@EmberCN)のモニタリングによると、このBybitハッキング事件の犯人は、2月22日午後から2月27日までの間に合計20.6万ETHを他のウォレットやブロックチェーンに移転し、徐々に資金洗浄を進めていることが判明しています。そのうち、直近24時間で7.1万ETH(約1.7億ドル相当)がさらに送金されており、平均すると毎日約4.5万ETHが別の形で動かされている計算になります。
犯人が所有するウォレットには、なお29.2万ETH(約6.85億ドル相当)が残されているとされ、今後も継続的なマネーロンダリングが行われる可能性が高いとみられています。こうした犯罪者の行動はチェーン上の複数の資産へ換金・分散させることで、資金の追跡を困難にする目的があると推測されます。
今回のBybitハッキング事件をより深く解明する上で、Safeウォレット(Safe{Wallet})が大きな注目を集めています。SygniaがBybitの依頼を受けて実施した取引調査によると、SafeウォレットのAWS S3に配置されたリソースに、悪意あるJavaScriptコードが直接注入されていたことが攻撃の直接的な原因だったといいます。
このSafeウォレットは多重署名を利用しているため、通常であれば高度なセキュリティを誇るはずでした。しかし、ウォレットが提供していたJavaScriptファイルが改変され、署名が行われるタイミングで取引内容をすり替えるコードが組み込まれていたことが確認されています。これは、ウォレット利用者が正規の取引と信じて署名してしまうよう仕向ける、極めて巧妙な手口です。
Sygniaの初歩的な取引調査報告書によれば、以下の点が明らかになっています。
調査の結果、今回の「Bybitハッキング事件」はBybitの内部インフラの脆弱性が原因ではなかったとされています。Sygniaによる取引調査では、Bybit側が管理するシステムやホストに侵入された形跡は一切見つかっていません。そのため、Safeウォレットの提供元インフラ、具体的にはAWS S3のセキュリティ管理体制に重大な問題があった可能性が高いと見られます。
今回の攻撃規模は約15億ドルという巨額で、Web3史上最大級とされています。暗号資産市場ではDeFiプラットフォームやマルチシグウォレットなどの多様なサービスが台頭している一方、セキュリティ体制の整備が追いついていない現実も浮き彫りになりました。ハッキングが与える信用不安は、投資家やユーザー、そして取引所全体に大きな波紋を広げます。
一連の調査から浮かび上がった事実は、複雑化するブロックチェーン技術とともに、セキュリティ上の隙を突く攻撃も高度化しているという現実です。今回のBybitハッキング事件で鍵となった「Safeウォレット」のように、本来は安全とされる多重署名ウォレットであっても、運用インフラや外部リソースへの改ざんによって攻撃が可能であることが明らかになりました。
業界内ではすでにAWSなどのクラウドサービスで提供されるリソースのセキュリティ強化が急務と考えられており、より厳格なアクセス制御や監査体制の導入が求められています。また、利用者側もウォレットのソースコードや署名プロセスの変化を常に検証し、公式リポジトリとの差分を定期的にチェックするなど、高度なセキュリティ意識を持つことが重要です。
セキュリティ企業やブロックチェーン関連プロジェクトは今後、このような大規模攻撃に対処できる新たな手法を提案・検討していくことが予想されます。すでに発生した巨額流出事件を教訓に、各取引所やウォレット事業者は、同種の攻撃を未然に防ぐための具体策を加速させる段階に入っているといえるでしょう。