暗号資産は多くの好機を提供していますが、その新しさと莫大な金額が関わることから、ハッカーにとって非常に魅力的な存在となっています。暗号資産の歴史には、何百万、あるいは何十億もの損失をもたらした大規模なハッキング事件が数多く存在します。悲しいことに、多くの企業、新興企業、投資家がすべての暗号資産をハッカーに奪われてしまいました。
では、どのようにして暗号資産はハックされるのでしょうか?また、人々はデジタル資産を守るために何ができるのでしょうか?暗号資産のハッキングについてさらに学ぶことで、大切な暗号資産を守る助けになります。
ブロックチェーン技術には、ハッカーが改ざんしにくい多くのセキュリティ機能が組み込まれています。暗号資産のハッカーはブロックチェーン自体を乗っ取ることもできますが、ウォレットや暗号資産取引所などのソースからトークンを盗む可能性の方が高いです。
なぜブロックチェーンを攻撃するのがそれほど難しいのでしょうか。まず、ブロックチェーンは単一点障害がなく分散して稼働しています。また、暗号資産は高度な暗号化技術、公開台帳、コンセンサスメカニズムを利用してセキュリティを強化しています。
ビットコイン(BTC)などのブロックチェーン上の全ての取引は公開されています。実際、ビットコインのブロックチェーン上でノードを運用したい人は、ビットコインの全取引履歴をダウンロードする必要があります。この高い透明性が、不正な取引の送信を防ぐ助けとなっています。
プルーフ・オブ・ワーク(PoW)やプルーフ・オブ・ステーク(PoS)などのコンセンサスメカニズムは、ブロックチェーン参加者が第三者に頼らず取引を検証することを可能にします。PoWでは、コンピュータが新たな取引をブロックチェーン上で確認するために難解なアルゴリズムのパズルを解く必要があります。一方PoSでは、バリデータはブロックチェーン上に暗号資産をロックして新たな取引を承認します。
マイニングやステーキングを行うブロックチェーンの参加者は、ルールを遵守するインセンティブがあります。バリデータやマイナーは任務を果たした場合のみトークン報酬を受け取ります。実際、多くのPoSチェーンでは、ネットワークが無効なトランザクションを検知するとバリデータの暗号資産が“スラッシュ”されます。
誰かがPoWチェーンを改ざんしたい場合、ネットワークの半分以上を支配できるだけのコンピュータパワーが必要となります。PoSの場合は、ハッカーが全ステーキングプールの半分以上をステークする必要があります。
このように、ブロックチェーンのハッキングは理論上は可能ですが、ビットコインやEthereum(ETH)のような大規模なネットワークではほぼあり得ません。もし暗号資産のハッカーがブロックチェーンを改ざんするのであれば、より小規模なアルトコインプロジェクトを狙うでしょう。
覚えておいてください、暗号資産ハッカーはブロックチェーンの半数以上を制御しなければトランザクション履歴を改ざんすることはできません。この暗号資産のハッキングは「51%攻撃」として知られています。
暗号資産の歴史において成功した51%攻撃の多くは、小~中規模のブロックチェーンで発生しています。たとえば2020年には、ハッカーがEthereum Classic(ETC)のマイニングパワーの51%を3回以上奪うことに成功しました。これにより、ハッカーは何千ものETCブロックのデータを改ざんし、数百万ドルを持ち去りました。
これらの51%攻撃が小規模ブロックチェーンでしか現実的でない理由は、ネットワーク乗っ取りのコストが低いからです。ビットコインのネットワークは非常に大きいため、持続的な51%攻撃を維持するには巨額のハードウェア費用や電力費がかかります。
51%攻撃以外にも、熟練したハッカーはブロックチェーンのコードに見つけた脆弱性を悪用することが可能です。ブロックチェーン開発者がプロジェクトをコーディングする際にミスをするリスクは常にあります。開発者がこれらの欠陥にタイムリーに気付かなかった場合、何百万ドルもの損失につながる可能性があります。
しかし、ビットコインのような実績あるブロックチェーンは、小規模ブロックチェーンよりバグ悪用への耐性が高いです。たとえば北朝鮮のハッカーは2022年に新しいRoninブロックチェーンを悪用し、6億2,000万ドル以上を盗み出しました。ベトナムのSky Mavis社はこのEthereumサイドチェーンを開発し、人気のplay-to-earnゲームAxie Infinityのガス代削減を目的としていました。
ブロックチェーンの攻撃が比較的困難なため、多くの暗号資産ハッカーは暗号資産エコシステム内の他の側面に焦点を当てています。以下は暗号資産ハッカーがよく狙う主な標的の例です:
多くの暗号資産ハッカーは、ソフトウェア暗号資産ウォレットのコードの脆弱性を悪用しようとします。たとえば2022年には、Slopeウォレットのバグにより、ハッカーがSolana系ウォレットの資金を奪うことに成功しました。この攻撃による投資家の損失はおよそ800万ドル相当のSolanaトークンと見積もられています。
暗号資産ウォレットへの直接攻撃に加えて、ハッカーはフィッシング攻撃を用いてウォレット保有者から個人情報を入手することもあります。たとえば人気のMetaMaskウォレット利用者は2022年にフィッシングメールを受け取ったことがありました。こうしたフィッシングメッセージでは、しばしばユーザーに暗号資産ウォレットの秘密鍵を要求し、ハッカーが暗号資産資金へアクセスできるようにしています。
中央集権型暗号資産取引所(CEX)は、数十億ドル規模の暗号資産を保管しているため、ハッカーの格好の標的となっています。Mt. Goxのハッキングは、CEXのハッキングとして最も有名な事例です。
2014年、ハッカーがMt. Gox交換から850,000BTCを盗み出し、最終的にMt. Goxの経営陣は破産申請を余儀なくされました。Mt. Goxハッキング被害者が失った暗号資産の一部を請求できるようになったのは2022年になってからです。
Mt. Goxハッキングの規模の大きさから、CEXはより強固なセキュリティや保険措置を導入するようになりました。多くの著名なCEXは、暗号資産をコールドストレージに保管しており、二要素認証など、さらなるセキュリティ対策も採用しています。
しかし、CoinbaseやBinance、Crypto.comといった主要な交換でも近年大規模なハッキングの被害が発生しています。CEXはあなたが資産をプライベートウォレットに引き出すまで技術的にあなたの暗号資産の所有者です。また、一部のCEXは保険による補償を用意していますが、ハッキング時に必ず顧客に返金される保証はありません。
スマートコントラクトは、ブロックチェーン上で動作し、人の介入なしで様々な機能を実行できるプログラムです。設計されたスマートコントラクトは、あらかじめ決められた条件が満たされた時に動作し、その任務を果たすことが求められます。主な用途としては、分散型取引所(DEX)でのトークン交換や、NFT(非代替性トークン)の発行などが挙げられます。
ブロックチェーンと同様に、スマートコントラクトのセキュリティもコードの品質次第です。開発者がスマートコントラクトの細部を見落とせば、ハッカーにコードを改ざんされ暗号資産を引き出される恐れがあります。
最も重大なスマートコントラクトのハッキングのひとつは、“DAOハッキング”です。DAO(分散型自律組織)は、分散型金融(DeFi)で広く使われているスマートコントラクトベースのガバナンス構造です。このDAOハッキングでは、DAOとはEthereum上で分散型ベンチャーキャピタル資金調達プロジェクトを指します。
2016年、ハッカーはスマートコントラクトの脆弱性を突いてこのDAOから約60,000,000ドルを盗みました。この事件を受け、Ethereum開発者たちは投資家への補償のため新たなブロックチェーンへのフォークを行いました。Ethereum Classicがもとのブロックチェーンであり、フォークされたEthereumは世界で2番目に大きなデジタル通貨となりました。
クロスチェーンブリッジは、トークンをあるブロックチェーンから別のブロックチェーンへ移動させるために設計されています。クロスチェーンブリッジの目的自体は単純ですが、その裏側の技術は完全なものとは言えません。近年、多くの注目を集めた暗号資産のハッキングはこの新技術で発生しています。
たとえば、SolanaからEthereumへのWormholeブリッジでは2022年に約300,000,000ドルがハッカーに盗まれました。その後、Harmonyブロックチェーン上のクロスチェーンブリッジでも100,000,000ドルの損失が発生しました。
インサイダーハッキング
暗号資産は匿名性が高いため、ハッカーも匿名です。多くの人が、ハッカーは実際にはプロトコルの開発者自身であると推測しています。つまり、意図的に脆弱性を残し、盗める数量/保有量が増えるのを待ってから悪用する、というわけです。ハッカーの正体を特定するのは非常に困難です。
暗号資産が攻撃を受けることは予測できませんが、デジタルトークンをハッカーやサイバー犯罪者に奪われるリスクを軽減する方法はいくつか存在します。ここでは暗号資産を失うリスクを減らすためのヒントをご紹介します:
Worldcoinは、分散化やプライバシーといった価値を犠牲にすることなく、Web3の安全性向上に取り組んでいます。Orbテクノロジーにより、個人IDなしで暗号資産ウォレットがAIではなく一人の人間によって所有されていることを認証することが可能です。Worldcoinが暗号資産のハッキングや詐欺削減とサイバーセキュリティ向上に努める活動について詳しく学ぶには、当ブログの購読を登録してください。