見たい情報を1箇所に!
ニュージーランドの仮想通貨取引所クリプトピアのハッキング事件は、2019年最初の大きなハッキング事件でした。
クリプトピアハッキング事件においては、ハッキングの手法がどうやらこれまでと異なる点、クリプトピアの反応の悪さに注目と批判が集中しました。クリプトピアのセキュリティレベルが低かったことが、ハッキングの大元の原因のようです。
不明点がいまだに多い事件ではありますが、現状出揃っている情報を元に本事件を振り返ってみたいと思います。
| 取引所名 | Cryptopia(クリプトピア) |
|---|---|
| 取引所の本拠地 | ニュージーランド クライストチャーチ |
| 原因 | ・ホットウォレットへの仮想通貨の保管 ・外部からのハッキング |
| 被害にあったユーザー数 | 約220万人 |
| 被害にあった仮想通貨種類と数量 | ・ETH 3,570,124ドル ・Dentacoin 2,446,211ドル ・Oyster Pearl 1,948,223ドル ・Lisk ML 1,718,610ドル ・Centrality 1,148,144ドル ・その他コイン 5,170,795ドル |
| 被害総額 | 時価総額16,002,108ドル |
クリプトピアのハッキング事件の珍しい点は、その手法です。日本のCoincheckハッキング事件やZaifハッキング事件のように秘密鍵が漏れたわけでも、DAO事件のようにシステムの穴をついたわけでもありません。
どのような方法で行われたかはまだ明らかにされていませんが、犯人はクリプトピアが保有する76000以上ものホットウォレットに自由にアクセスすることができたということです。つまり、アクセスできる全てのウォレットの鍵を個別に持っていたということになります。
通常の秘密鍵ハッキングの場合、一つのウォレットの鍵が破られても、ハッカーが次のウォレットを破るにあたって時間がかかります。ですので、その間に取引を停止したり、防御策を実行することが可能なのが普通です。
しかし、今回はハッカーが鍵を保有しているため、ウォレットにいつでも出入りできる状態でした。
さらにハッカーはクリプトピア側が自社のウォレットにアクセスできないように細工をした可能性もあります。そのためクリプトピアは5日間にもわたり、ハッカーから資金が盗まれているのを眺めていることしかできませんでした。
5日間で2回のハッキングがあり、トータルでの被害額は時価総額16,002,108ドル、日本円にして17.5億円相当に上りました。
珍しい手法で行われたクリプトピアへのハッキングですが、被害額が拡大したそもそもの原因は資産をオンラインのホットウォレット上で保管していたことです。Binanceハッキング未遂事件のようにコールドウォレットに保管していれば、このような被害になることはおそらくなかったでしょう。
クリプトピア事件ではハッキング被害の発表直前に不可解な巨額の出金があったことが、クリプトピアのウォレットで確認できることから、「自作自演の出口詐欺ではないか」とも疑われました。現在はニュージーランド警察の調査も終わり、その疑いはどうやら晴れたようです。クリプトピア事件を時系列で追っていきましょう。
2019年1月13日にイーサリアムが約240万ドル分、セントラリティー が約118万ドル分、クリプトピアから外部のウォレットに送金されています。これ自体は特に不正な取引ということはありませんが、ハッキングが発生したことをクリプトピアが発表したのが15日だったことで、疑いの声が上がります。
「自作自演のハッキングによる資産流出で債務不履行を装い、顧客の資産を持ち逃げするつもりでは?4億円の送金はその準備では?」というのです。
2018年に入り、各国で取引所の出口詐欺が頻発しています。債務不履行を理由に、一方的にサービスを終了し、預けてあった顧客の資産を持ち逃げするというものです。
今回のクリプトピア事件もそれにあたるのではないかという疑いが起こりました。
結局4億円の送金はハッカーがウォレットに侵入し、外部に送金をしたということのようです。なぜ、ハッカーの操作と分からなかったかというと、ハッカーが秘密鍵を入手していたため特にクラッキングすることなく、正常なログインから送金を行なったからということです。
1月15日クリプトピアは「セキュリティ侵害によって重大な損失が発生した」と発表します。この時点で、サイトはメンテナンス状態に入り一般ユーザーの取引はできなくなりました。
この時点でのクリプトピアによる被害額の発表は、前述の4億円程度でした。しかし、事態はこれで終わりませんでした。トータルで5日間に渡って、犯人はクリプトピアのウォレットから自由に出金していきます。
エレメンタス社の発表によると、クリプトピアのウォレットから1月13日〜1月17日の間に計5回、トータルで17億5000万円の不正出金があったということです。
クリプトピアが一般向けにサービス停止したのが1月15日ですので、まず1月13日から15日の3日間は顧客はハッキングに気づかず入金を行なっています。ですのでこの間に入金された資金も盗まれる対象になってしまいました。
さらにサービスを停止した1月15日〜17日も、ハッカーは秘密鍵を持っていたためサーバーには侵入し放題、出金し放題です。
犯人はまず1月13日にクリプトピアの2つのコアなウォレットから出金を始めます。さらにそのウォレットを空にすると、その下の階層のウォレット計76,000アカウントから出金を始めました。このプロセスが1月17日まで行われたことになります。
とどめに1900万円相当のイーサリアムが1月17日に出金され、被害額が17億5000万円に達したところで、攻撃は終了になりました。
Update: The police have now given us access back to our building, while they continue their investigations. Our staff are working relentlessly to evaluate the funds that were stolen.
— Cryptopia Exchange (@Cryptopia_NZ) February 14, 2019
ニュージーランド警察は2月13日の時点で捜査が終了し、いつでもクリプトピアが業務を再開できるとコメントしています。しかしこの時点ではクリプトピアに動きはありません。
その後長らく沈黙していたクリプトピアですが、2月27日にtwiter上で久々に発言します。
ざっくり上記のような内容でした。 この時点では取引所としての運営を再開する意志があったことが伺えます。しかし、顧客への補償については触れられないままでした。
Update:
— Cryptopia Exchange (@Cryptopia_NZ) 2019年2月27日
We are continuing to work on assessing the impact incurred as a result of the hack in January. Currently, we have calculated that worst case 9.4% of our total holdings was stolen. Please keep an eye on our page for further updates today.
3月18日にクリプトピアのロブ・ドーソン氏によって今後の方針が語られます。
Hacked Cryptopia Plans Compensation Scheme
The troubled New Zealand-based cryptocurrency exchange Cryptopia is reportedly working on a compensation scheme for users who have suffered losses as a result of a hack in January which cost users an estimated USD 23 million.
Co-founder of the exchange Rob Dawson said in an update that there will be “a rebate for customers who unfortunately lost funds.”
“You may have heard various comments about this event being an exit scam but rest assured we are 100% committed to reopening the exchange, bigger and better and to continue trading,” Dawson said.
The statement explained the details as follows:
“If you held balances in coins that were lost in the event you will start to see Withdraws on your account for those coins. The TXID for the withdraw will not exist on the network but will detail how the coin was impacted in the event. For each withdraw you will also see a subsequent deposit of Cryptopia Loss Marker (CLM) […]”
The exchange further said that “CLM is not a coin,” and that it cannot be traded yet. However, it supposedly represents the user’s loss in New Zealand dollar at the time of the hacking.
The company promised more updates on the rebates and the projected dates for trading to be active again by the end of March.
In February, the company said that "worst case 9.4% of our total holdings was stolen."
A similar scheme was also put in place to compensate users after the 2016 hack of the large Hong Kong-based crypto exchange Bitfinex. Bitfinex then set out to create a new token, called BFXCoin, which would a face value of 1 BFX for every 1 dollar lost. This token was then distributed to users who had suffered a loss as a result of the hack. Within eight months, all BFXCoin holders were able to redeem their tokens at this rate.
As reported, the Cryptopia’s website is in the read-only mode at the moment. It shows balances as at the 14th of January 2019. Also, the ability for users to cancel their standing orders is also live now. The exchange has also reminded its users that “as a result of the new wallets please immediately refrain from depositing funds into old Cryptopia addresses.” Blockchain analysis protocol and platform Elementus said earlier that Cryptopia no longer has the private keys to their Ethereum wallets and the hacker does.
Meanwile, ether address, involved in Cryptopia's hack has almost ETH 30,790, or USD 4.22 million on its balance.
【日本語訳】ハッキングされたクリプトピア計画の補償スキームについて
ニュージーランドに本拠を置く暗号通貨取引所Cryptopiaは、ハッキング事件により損失を被ったユーザーの補償制度に取り組んでいると伝えられています。
取引所の共同設立者ロブ・ドーソンは、更新で「残念ながら資金を失った顧客への補償」があると述べました。「このイベントが出口詐欺であるというさまざまなコメントを聞いたことがあるかもしれませんが、取引を再開し、より大きく、より良く、取引を継続することに全力を尽くしています」とドーソン氏。
このステートメントでは、詳細を次のように説明しました。 「イベントで失われたコインの残高を保持している場合、それらのコインの口座に引き出しが表示され始めます。引き出しのTXIDはネットワーク上に存在しませんが、イベントでコインがどのように影響を受けたかを詳述します。引き出しごとに、クリプトピアロスマーカー(CLM)のその後のデポジットも表示されます」。
取引所はさらに、「CLMはコインではない」と述べ、まだ取引できないと述べました。ただし、ハッキング時のユーザーのニュージーランドドルでの損失を表していると考えられます。
同社は、3月末までにリベートおよびトレーディングの予定日がさらに更新されることをさらに約束しました。 2月、同社は「最悪のケースで保有資産の9.4%が盗まれた」と述べました。
2016年に香港を拠点とする大規模な暗号交換Bitfinexがハッキングされた後、ユーザーに補償するために同様のスキームも導入されました。次に、BitfinexはBFXCoinと呼ばれる新しいトークンの作成に着手しました。BFXCoinは、1ドル損失するごとに額面1 BFXになります。その後、このトークンは、ハッキングの結果として損失を被ったユーザーに配布されました。 8か月以内に、すべてのBFXCoin保有者は、このレートでトークンを引き換えることができました。
報告されているように、CryptopiaのWebサイトは現在、読み取り専用モードになっています。 2019年1月14日時点の残高が表示されます。また、ユーザーが継続注文をキャンセルできるようになりました。取引所はまた、ユーザーに、「新しいウォレットの結果、古いCryptopiaアドレスに資金を入金しないでください」と思い出させました。ブロックチェーン分析プロトコルとプラットフォームElementusは、CryptopiaにはEthereumウォレットとハッカーはそうします。
Cryptopiaのハッキングに関係するエーテルアドレスであるMeanwileの残高は、ほぼETH 30,790、つまり422万ドルです。
Fredrik Vold
出典:『Hacked Cryptopia Plans Compensation Scheme』/Cryptopia News
補償に関しては、預けていた資産に相当するニュージーランドドルに換金できるトークンを配布することを検討しているという内容でした。この方式は2016年に香港のビットフィネックスがハッキングにあった際の補償と同じ手法になります。
取引については3月18日に、40組の取引ペアに限り再開しています。この再開にあたり、クリプトピアは新しいウォレットの35%の容量にあたる仮想通貨を確保したということです。
3月末までに補償について内容を知らせるとしていたクリプトピアですが、4月に入り、HairCutした上で顧客に保証のトークンを配布しました。HairCutとは会社の資産で足りない分を顧客に負担させるということで、簡単にいうと足りない分は我慢してくださいねという内容です。この時点では資金の出金は可能でしたが、経営が相当苦しいことが感じられます。5月15日に再開していた取引を停止、破産手続きに入ることが発表されました。
破産手続きに入ったことで、顧客への補償に関しては完全に白紙となってしまいました。取引が再開される見込みもないということです。
クリプトピアから盗難された資金は、バイナンスなどの大手取引所を介してすでに9630万円相当を換金済みです。残った16億5000万円相当の資金のうち9億円相当のイーサリアムなどが複数の取引所に5月20日時点で送金されたことがわかっています。
クリプトピアはハッキングに対して、5日間の長期に渡って無策だったことに批判が集まっています。これまでの取引所のハッキング事件とは手口が異なるのは確かですが、クリプトピアは予定にないメンテナンスが頻発する取引所でした。仮想通貨取引所を運営する技術力が欠けていたのではという声があります。
もともとクリプトピアは金融業出身者ではなく、仮想通貨黎明期にエンジニアが個人で運営を始めたというギークな取引所です。つまり、日本でいうとZaifに成り立ちが似ています。
クリプトピアのいいところは600種類以上の取引銘柄(主に「草コイン」と呼ばれるアルトコイン)があること、さらにクリプトピア内のチャットに投げ銭ができることでした。この投げ銭はカルマシステムという名称で、ネーミングに厨二病っぽさやネット民のセンスを感じます。
ここ最近では急激に利用者数が増え、取引所の運営が追いついていなかったというのが実情のようです。今回のハッキングにあたっては資産は全てホットウォレットに保管されていたということでした。これまで発生したほとんどのハッキングで取引所の資産はホットウォレットに保管されており、散々その危険性は叫ばれていました。クリプトピアの危機感の欠如が今回のハッキング被害を招いたと言っていいでしょう。
クリプトピアの状況として
— ニイタク@BTCFX (@niizeki_BTC) 2019年6月1日
100万を超える顧客の内
ほとんどがNZ以外で
その多くは米国
有担保債権者はdellやコカ・コーラ
未払いの従業員給与32万ドル
無担保債権者243.9万ドル
顧客支払いは最後#Cryptopia #クリプトピア #GOX #ハッキング #仮想通貨 #暗号資産 #取引所https://t.co/9JpOsGrsJ2
【衝撃】ハッキングにあったCryptopiaの創業者が新たにAssetylene(アセッチレン?)という取引所を創設www https://t.co/PhTF9MW9Oa pic.twitter.com/oH8bX8ASaf
— しずか☆クリプト女子彡仮想通貨リップルガチホ (@shizukawpmh) 2019年5月26日
cryptopiaの創設者が新たな取引所を開設する動き。cryptopiaは未だ事件後の方向性も未定な状況下でなかなか利用者には理解できない動き。…ただ創設者はハッキング事件前まで一時期運営を離れていたような…
— エア銭形 (@akashi_riot) 2019年5月26日
どんなCEXは使うならどんな人間が運営しているのか知ったほうがいいね https://t.co/HarwvS3aCh
ついにクリプトピアが飛んでしまった、、、
— Krèva-Amsterdam (@KrevaAmsterdam) 2019年5月16日
前回のハッキングから復旧した直後、あまり良い予感がしなかったのですぐにハードウエアウォレットにコインを移動させといてよかった。#cryptopia https://t.co/o2WDqgLQwQ
BTC数万円分まだのこってたのに~🤣
— みずたま@資産運用トラリピ (@ripplegirls) 2019年5月16日
ハッキング騒ぎしばらく後にログインはしてみた。でも出金手続きができずホールドされたままで心配しててコレ。あきらめるしかないのか~。この数万あれば自転車新調できたのになあ。#Cryptopia #仮想通貨 https://t.co/kU0I92FYVd
クリプトピアで被害額が最も大きかったのはイーサリアムですが、事件直後にハッキングによる影響はほぼありません。特徴のない推移を描いています。4億円が引き出された翌日に一旦下がっているくらいです。
5月20日に破産手続きの開始が発表されてからも特に特徴はありません。むしろイーサリアムとしては価格は上昇傾向です。これは4月下旬からのビットコインの急騰に引っ張られていることが原因でしょう。
今回ハッキングの対象になった通貨にビットコインが含まれていなかったことが、市場に影響が出なかった要因になっていることも考えられます。
現在クリプトピアのホームページは顧客へ入金しないように要請するメッセージが表示されるのみです。破産管財人には大手監査法人のグラントソントンが指定されています。破産手続きには数カ月を要するため、顧客への保証等の発表はそれ以降となります。
クリプトピア事件は、まだまだセキュリティへの危機感が欠如している取引所が存在するという危機感をユーザーに与えてくれます。ここ1、2年で開設したような大手取引所はそもそも運営母体がしっかりしている場合が多いようですが、クリプトピアのような古い中堅の取引所は資金力や開発力が乏しいケースがあるのです。特に海外の取引所の場合は怪しい運営のケースもあるので、取引銘柄が多かったりそれなりの歴史があっても、あまりに大量の資産を塩漬けにしておくのは危険です。
また、新しいタイプのハッキングということで、その手法の解析が望まれます。いくつかのハッキング事件で背後に資金力のある組織や国家の影が感じられるため、ハッキングの手口も予想を上回る技術で行われる案件が今後増えるでしょう。セキュリティをめぐる戦争は激化しそうです。
| インシデント発生日 | 被害にあった取引所/暗号資産名 | 原因 | 被害者数 | 被害 | |
|---|---|---|---|---|---|
| コイン数 | 円換算額 | ||||
| 2011年6月19日~2014年(複数) | Mt.GOX(マウントゴックス) | 内部横領の疑いおよび外部からのハッキング | 127,000人 | 850,000 BTC | 470億円(2014年当時) |
| 2012年9月4日 | Bitfloor | 秘密鍵の窃取 | 0人 | 24,000 BTC | 約2500万円 |
| 2016年5月28日 | THE DAO | システムのバグを利用した攻撃 | 不明 | 364万 ETH | 約50億円 ※ハードフォークにより最終的に被害額はなし |
| 2016年8月2日 | Bitffinex | マルチシグの脆弱性 | 不明 | 12万 BTC | 約70億円 |
| 2017年4月 | Youbit/韓国 | 外部からのハッキング | 不明 | 3,800 BTC +α | 約18億円 |
| 2017年7月3日 | Bithumb | 詳細不明だが内部犯行の疑いあり | 0人 | ・EOS:300万 ・XRP:2000万 |
約21億円 |
| 2017年12月6日 | nicehash | 外部からのハッキング | 約75万人 | 4700BTC | 時価総額76億円(2017年当時) |
| 2017年12月20日 | EtherDELTA(イーサデルタ) | フィッシング | 不明 | 305 ETH | 約1200万円 |
| 2018年1月6日 | zaif(ザイフ) | 内部横領の疑いおよび外部からのハッキング | 730,000人(Zaif に開設済みの個人口座数) | ・BTC:5966.1 ・MONA:623万6810.1 ・BCH:4万2327.1 |
約67億円(2017年当時) |
| 2018年1月26日 | Coincheck | ・ホットウォレットへの仮想通貨の保管 ・外部からのハッキング |
260,000人 | 523,000,000 XEM | 580億円(2018年当時) |
| 2019年1月13日 | Cryptopia | 外部からホットウォレットのハッキング | 約220万人 | ・ETH 3,570,124ドル ・Dentacoin 2,446,211ドル ・Oyster Pearl 1,948,223ドル ・Lisk ML 1,718,610ドル ・Centrality 1,148,144ドル ・その他コイン 5,170,795ドル |
時価総額16,002,108ドル |
| 2019年5月7日 | Binance | フィッシング詐欺で入手したユーザーのAPIキー等を使用し、不正出金 | 0人 | 当初7,000BTC相当のアルトコインと報道 ※最終的に被害なし |
0円 |
![[03] 日本でICOは違法?法律上の「仮想通貨(暗号通貨)」とICOの実施可能要件を探る](https://hubexchange.info/wp-content/uploads/wordpress-popular-posts/1104-featured-1x1.png){kind=small}
![[4] 暗号資産の法規制について振り返る](https://hubexchange.info/wp-content/uploads/wordpress-popular-posts/1979-featured-1x1.png){kind=small}
【後編】フランス革命が起きた本当の理由 <恐るべきミシシッピ計画とは?!>
【前編】フランス革命が起きた本当の理由 <恐るべきミシシッピ計画とは?!>
[06] Cryptopia(クリプトピア)ハッキング事件 <暗号資産ハッキング探偵>
[05] ナイスハッシュ(Nice Hash)ハッキング事件 <暗号資産ハッキング探偵>
暗号資産取引所『BINANCE』…覇権へ王手?!各国法定通貨対応を推し進める理由とは<暗号資産取引所動向>
なぜFacebook「Libra(リブラ)」は各国政府から嫌われるのか?!<暗号資産リブラ特集>
2018年3月6日 BINANCE(バイナンス)ハッキング・ショック<BTC下落率24%>
[4] 暗号資産の法規制について振り返る
2018年11月14日 ビットコインキャッシュ(BCH)のハードフォークでBTC激震!31%も下落した「巻き込み型暴落相場」はなぜ起きたのか?
2017年12月 ビットコイン…史上最高値220万円からの大暴落はなぜ起きたのか?!
