暗号資産業界では、ブロックチェーンの透明性とユーザーのプライバシー保護が常に緊張関係にあります。2022年から2023年にかけて、数多くのプライバシーおよびセキュリティに関する重大事件が発生し、業界全体にその対策の重要性を改めて突きつけました。
以下では、この期間に起きた主要な事件を取り上げ、それぞれの概要と影響を整理します。これらの事件は、ブロックチェーンプロジェクトの設計やセキュリティ対策、さらには規制のあり方にも大きな影響を与えています。
Ronin Network ハック(2022年3月)
人気のNFTゲーム「Axie Infinity」のサイドチェーンであるRonin Networkが、北朝鮮のハッカー集団「Lazarus Group」によってハッキングされました。攻撃者は、バリデーターノードの秘密鍵を不正に取得し、偽のトランザクションを作成することで、約5億5,200万ドル相当のEthereumとUSDCを盗み出しました。
この事件の被害額は、その後のETH価格の変動により6億2,200万ドルに達したとも報告されています。特に衝撃的だったのは、ハッキングが実行されてから約1週間もの間、運営側が被害に気づかなかった点です。これは、バリデーターの分散化が不十分であったことや、モニタリング体制の不備が原因とされています。
Ronin Networkは事件後にセキュリティを大幅に強化し、バリデーターの数を増やすなどの対策を講じました。また、被害を受けたユーザーへの補償も段階的に実施されています。
Binance Smart Chain(BNB Chain)ハック(2022年10月)
世界最大の暗号資産取引所Binanceが運営するBNB Chain(旧Binance Smart Chain)のクロスチェーンブリッジ「BSCトークンハブ」が攻撃を受けました。攻撃者は、ブリッジの検証ロジックの脆弱性を悪用して偽の引き出し証明を作成し、約200万BNB(約5億6,600万ドル相当)を不正に生成しました。
Binanceは事態を認識した後、BNB Chainのバリデーターと連携してネットワークを一時停止するという異例の対応を取りました。この迅速な対応により、盗まれた資金の約80〜90%は凍結され、実際に流出した被害は約1億ドル程度に抑えられました。しかし、ネットワークを停止できたということ自体が、BNB Chainの中央集権性を示すものとして議論を呼びました。
Mixin Network ハック(2023年9月)
ピアツーピアの暗号資産トランザクションを提供するMixin Networkが、クラウドサービスプロバイダーのデータベースへの攻撃を通じてハッキングされました。約2億ドル相当の暗号資産が盗まれ、ビットコイン、イーサリアム、USDTなど複数の資産が被害を受けました。
Mixin Networkは事件後、全ての入出金を一時停止しました。この事件の特徴は、ブロックチェーン自体のスマートコントラクトが攻撃されたのではなく、オフチェーンのクラウドインフラが侵害されたという点です。ブロックチェーンプロジェクトにおいても、従来型のITインフラのセキュリティが同様に重要であることを示す事例となりました。
Atomic Wallet ハック(2023年6月)
非カストディ型ウォレットサービスであるAtomic Walletが攻撃を受け、推定3,500万ドルから1億ドル相当の暗号資産が盗まれました。この攻撃もLazarus Groupによるものと指摘されています。攻撃の原因としては、秘密鍵の暗号化処理における脆弱性や、アプリケーションのセキュリティ設計の不備が挙げられています。
被害を受けたユーザーの中には、資産の全額を失った個人投資家も多く、非カストディ型ウォレットのセキュリティに対する信頼が大きく揺らぎました。Atomic Walletはその後、セキュリティ監査の強化やバウンティプログラムの実施を発表しましたが、被害者への直接的な補償は限定的なものにとどまっています。
Tornado Cash制裁(2022年8月)
アメリカ財務省外国資産管理局(OFAC)は、Ethereumベースのミキシングプロトコル「Tornado Cash」を制裁対象に指定しました。Tornado Cashは、トランザクションの送信元と受信先のリンクを切断するプライバシーツールとして広く利用されていましたが、北朝鮮のハッカー集団による資金洗浄にも使用されていたことが制裁の理由とされました。
この制裁により、Tornado Cashのスマートコントラクトとのあらゆるやり取りがアメリカ人に対して禁止され、開発者の一人であるAlexey Pertsevがオランダで逮捕されました。オープンソースのコードを書いた開発者が責任を問われたことは、Web3業界全体に衝撃を与え、プライバシー技術の開発に対する萎縮効果が懸念されています。
まとめ
2022年から2023年にかけて発生したこれらの事件は、暗号資産業界におけるプライバシーとセキュリティの課題を多角的に浮き彫りにしました。クロスチェーンブリッジの脆弱性、バリデーターの分散化不足、オフチェーンインフラへの依存、プライバシーツールに対する規制など、それぞれ異なる問題を提起しています。業界がさらに成熟していくためには、技術的なセキュリティの強化と、プライバシー保護と規制遵守のバランスをいかに取るかが重要な課題であり続けるでしょう。