インド最大級の仮想通貨取引所が衝撃のハッキング被害—4420万ドルが消失
仮想通貨業界に激震が走った。インドを代表する仮想通貨取引所が、大規模なサイバー攻撃に遭い、約4420万ドル(約63億円)相当の資産が流出したことを公表した。
■ セキュリティの盲点を突かれる
同取引所は「マルチシグネチャウォレットを含む複数の防御層を突破された」と説明。仮想通貨の『銀行』を自称しながら、伝統的金融機関並みのセキュリティ投資を怠っていた皮肉な結果となった。
■ 業界全体に波及する影響
この事件は、規制が追いつかないインド市場の脆弱性を露呈。当局が「投資家保護」を叫ぶ一方で、仮想通貨の自己保管派たちは「Not your keys, not your coins」と冷笑する。
暗号通貨の未来は明るい—だが、その道のりにはハッカーたちの『寄付箱』が待ち構えているようだ。
内部運用ウォレットが標的となった攻撃
今回の攻撃で標的となったのは、提携取引所との流動性供給にのみ使用される内部の運用ウォレットであった。
CoinDCXのスミット・グプタCEOは、顧客資産は安全なコールドウォレットインフラで保護されており、全ての取引活動とINR出金が完全に稼働していると強調している。
同氏は高度なサーバー侵害により内部運用アカウントが侵害されたと説明し、影響を受けたアカウントを隔離して迅速に対応したと明かした。
運用アカウントは顧客ウォレットから分離されているため、露出は特定のアカウントのみに限定され、損失は同社の自社財務準備金から完全に吸収されている。
内部セキュリティチームと運用チームが主要なサイバーセキュリティパートナーと連携し、脆弱性の修正と資金移動の追跡を進めている状況。
しかし、流出したウォレットはタグ付けされておらず、取引所の準備金証明レポートにも含まれていなかったため、専門家による手作業での追跡が必要となった。
取引所側からの情報開示が外部の指摘より大幅に遅れたことで、Web3ウォレットの透明性に対する信頼が揺らぐ事態となっている。
インド取引所を狙う攻撃の継続
この事件は、競合取引所であるWazirXが昨年7月18日に2億3,500万ドルのハッキング被害を受けてからちょうど1年後に発生した。
WazirXの攻撃は北朝鮮の国家支援ハッカー集団Lazarus Groupによるものとされており、今回のCoinDCX攻撃においても同一グループの関与が疑われている。
インドの新しい仮想通貨エコシステムが抱える、繰り返されるセキュリティ上の課題を浮き彫りにした。
CoinDCXは現在、取引所パートナーと協力して資産の凍結と回復に取り組んでおり、近日中にバグバウンティプログラムの開始も予定している。
グプタCEOは「すべてのセキュリティインシデントは学習の機会であり、業界のサイバー脅威との戦いに勝利するため専門家と協力して取り組む」と表明。
このハッキング事件は、中央集権型取引所に対する規制当局の監視を一層強めるきっかけとなる可能性が高い。
若林 英明
日本語版CryptoDnesライター。2021年に仮想通貨投資を始める。以降、同分野での専門的な知識を深めながら自身のブログ・ライターとしても活動。仮想通貨に関する深い理解を活かして複数のメディアで多くの記事を執筆。初心者に寄り添った簡潔な解説を得意とする。
