事件の概要
2025年2月21日、暗号資産取引所「Bybit」は、ハッカーによる大規模な攻撃を受け、約49.1万ETH(当時のレートで14.6億ドル相当)が外部に不正送金されるという前例のない被害に見舞われました。
この事件は、技術的な脆弱性よりも人為的な操作ミスや社会工学的アプローチ(ソーシャルエンジニアリング)に起因しており、業界に大きな衝撃を与えました。
発覚の経緯
最初に異常を察知したのは、Bybit自身ではなく、ブロックチェーン調査者として知られるZachXBT氏でした。彼はX(旧Twitter)上で、Bybit関連のウォレットから多数の不明なアドレスへの大規模送金をリアルタイムで検知し、即座に警告を発しました。
その後、PeckShield、SlowMistなど複数のブロックチェーンセキュリティ企業が同様の異常を確認。Bybitもこれを受けて正式に被害を認め、調査に乗り出しました。
攻撃の手口
今回の攻撃の核心は、Bybitが使用していた「マルチシグ・コールドウォレット」のセキュリティを、ハッカーが巧妙に突破した点にあります。
通常、3人の上層管理者が順に署名する必要があるマルチシグ形式ですが、ハッカーは最初の署名者のPCを標的に、偽の送金UIを表示するマルウェアを仕込みました。そのUIは本物そっくりであり、署名者は自分が正当な送金処理をしていると思い込んでしまったのです。
これにより、3段階の署名すべてが騙されて実行され、大量のETHがハッカーのアドレスに送信されました。
ラザルス・グループの関与
この攻撃の手口や履歴、過去の類似事件から判断し、複数のセキュリティ企業は北朝鮮の国家支援型ハッカー集団「Lazarus Group(ラザルス・グループ)」による犯行の可能性が高いとしています。
Lazarus Groupはこれまでにも、以下のような攻撃を行っています:
- 2014年:Sony Picturesへのサイバー攻撃
- 2022年:Axie InfinityのRoninブリッジから6.21億ドル相当の流出
- 2024年:DMM Bitcoin(日本)から4,500BTC盗難
今回のBybit事件は、その中でも金額的に最大規模であり、ターゲットを明確に絞った高精度の攻撃である点が特徴です。
市場への影響
事件発覚直後、ETH価格は最大8%下落し、約4億ドル相当のポジションが清算されました。FTX崩壊時を想起させるようなパニックが市場を覆いましたが、Bybitの迅速な対応と、BinanceやBitgetなどの他社からの流動性支援により、ETH価格は24時間以内に回復基調を見せました。
資金の行方と懸念
現在、盗まれたETHの多くは市場で売却されておらず、ブロックチェーン上ではミキサーやクロスチェーンブリッジを通じて追跡を困難にする動きが確認されています。
また、多くのブリッジがこれほどの規模の資金移動に対応できるだけの流動性を持っておらず、短期間での大規模換金は困難だと見られています。
技術的な教訓:Ethereumの構造的リスク
この事件を通じて、Ethereumのスマートコントラクトの柔軟性が裏目に出るリスクも改めて浮き彫りになりました。
マルチシグに用いられるSafeのような複雑なスマートコントラクトは、柔軟な反面、攻撃対象が多くなるという欠点を抱えています。
- チューリング完全性=無限の可能性と無限の攻撃面
- UI偽装に弱い署名プロセス
- 物理的なセキュリティ(ハードウェアウォレット)との連携不足
今後は、署名時に内容を確認できる「二次視覚確認」や、ハードウェアによる認証の必須化などの改善が必要になるでしょう。
今後の課題と提案
- 業界全体でのセキュリティプロトコルの見直し
- クロスチェーン・ブリッジの資金耐性向上
- ハッカー資金のブラックリスト化と共有システム構築
- 保険制度の検討(取引所向けセキュリティファンド)
まとめ
今回のBybitハッキング事件は、暗号資産業界に対して「コールドウォレットは完全ではない」という現実を突きつけるものでした。
ハッカーはシステムを壊すのではなく、人を騙して「自ら鍵を開けさせる」ことができる。ソーシャルエンジニアリングという古典的かつ最も有効な手法が、最先端の暗号技術を凌駕した瞬間でした。
読者の皆様にも、ウォレット管理や署名操作時のセキュリティについて、今一度見直すきっかけとなれば幸いです。