2011-2020までの仮想通貨取引所ハッキングの歴史

取引所へのハッキングはほぼ毎日行われており、長い間預けてるのはとても危険なのですが、

それでも何故か取引所に預けつづける人が後を絶たない

預け続けた結果、取引所のハッキングによってどの様な結果を招いたのか
過去の取引所ハッキング事例から振り返ってみましょう。

※ 以下の内容はこちらの英語記事を翻訳したもので、本記事内のリンク先も全て英語です。
・ハッカー・クラッカー・アタッカーなど様々な呼称がありますが、紛らわしいためハッカーで統一します。
・取引所・販売所も取引所で統一します。

2011

6月 – Mt.Gox – 2,643 BTC

後のMt.Goxにとってこれはまだ良心的なハッキングです。このハッキングでは、ハッカーは
Mt.Gox取引所の監査ノードに侵入し、ビットコインの価格を$0.01に下げてから購入しました。

10月 – Bitcoin7 – 11,000 BTC

ロシアと東ヨーロッパから構成されるハッカーが、Bitcoin7のサーバーに侵入
これを踏み台に、ビットコインの主要ストレージサーバーと2つのバックアップウォレットにもアクセス。
Bitcoin7は今でもあからさまなスパムに汚染された形で存続しています。

2012

3月 – Linode – Bitcoinicaから43,000 BTC ・Slushから3,000 BTC

この事件は少し複雑です。Linodeは単なるレンタルサーバーで、
仮想通貨取引所のBitcoinicaとSlushをホスティングしていました。Linode自体もハッキングされ
そのまま膨大な量のビットコインが両取引所から盗まれました。

5月 – Bitcoinica – 18,457 BTC

Bitcoinicaにとっては不運で、2ヶ月後にまた別の攻撃を受けました。多方面から原因の追求にあたりましたが、
Linodeがそもそも先の事件の後セキュリティ強化に最善を尽くしていなかったのでは?
という疑問が浮上しました。
Bitcoinicaのホームページは即座に閉鎖し、取引所も永久に閉鎖することになりました

9月 – BitFloor – 24,000 BTC

BitFloorがハッキングされた当時、BitFloorはアメリカで4番目に大きい取引所でした。
ハッカーはサーバーに侵入後、暗号化されていないウォレットキーを発見
それを用いてそのまま合計25万ドル相当の資産を吸い上げました。

2013

5月 – Vicurex – 1,454 BTC

Vicurexのハッキングは正式には確認されていないですが(内部犯行と思われていた)、
取引所は資産の一部をハッカーの攻撃により失ったと公表。Vicurexは破産寸前になり、
全ての資産をロック。その結果、顧客の何人かと裁判に発展しました

11月 – BitCash – 484 BTC

サーバーへの侵入により、チェコに本部を置く取引所Bitcashはビットコインを奪われました。
ハッカーはそのまま顧客情報も奪い、ユーザーのアドレスにBitcashを装いフィッシング詐欺メールを送信
Bitcashの公式メールと信じたユーザーは知らずにセキュリティ情報を渡してしまい、
その情報が使われウォレットの資産も同時に盗まれる。

2014

3月 – Mt.Gox – 850,000 BTC

被害総額が大きい事で有名な仮想通貨盗難事件の一つです。未だに調査は続行していますが、
どうやら2011年のMt.Goxへのハッキングの際に、一部の秘密鍵も同時に盗難にあったそうです。

Mt.Goxのシステムバグがそもそもの原因だと言われています。取引所は、ビットコインが送信されているのに
受信されていると認識してしまうバグを2年間も認識していませんでした。結果、合計4500万ドルの損害を
ユーザーにもたらしました。Mt.Goxは破産を1ヶ月後に申立し、ビットコインの価格は36%下落。
Mt.Goxの元CEOが2015年に逮捕されたのは、顧客の資産200万ドル相当のビットコインを
勝手に他に移してたと知った後のことです。

2017年11月、ロシア国籍のAlexander Vinnikは盗難にあったビットコインのマネーロンダリングに
関わっていた容疑で逮捕されましたが、事件の全容はまだ明らかになっていません。

3月 – Poloniex – 97 BTC

同月、ハッカーはアメリカのPoloniex取引所に対し、払い戻しコードの間違いを利用した攻撃を実行しました。
取引所は正式に盗難にあった額を公表していませんが、概算額はBitcointalk掲示板で出されています。
この事件は未だに本当にハッキング被害にあったのか内部の犯行なのかは明らかになっていません。

7月 – Cryptsy – 13,000 BTC ・ 300,000 LTC

Lucky7Coinと名乗るハッカーによって、Cryptsy取引所はコード内にトロイウイルスを仕掛けられ、
Lucky7Coin(と恐らくその他数名の共謀者)の手により膨大な資産が持ち去られました。
しかしその後、CryptsyのオーナーであるPaul Vernonは証拠隠滅の嫌疑とビットコインを盗んだ嫌疑で告訴され
820万ドルの賠償金を請求されました。

7月 – MintPal – 800万 VRC

ハッカーは払い戻しシステムのバグをついた攻撃を仕掛け、Vericoinウォレットの権限を入手しました。
その時にBitcoinとLitecoinのウォレットもターゲットになりましたが、盗難には至りませんでした。
取引所で抱えていたVericoinの30%が盗まれ、
Vericoin開発チームによるハードフォークを余儀なくされました。

10月 – MintPal – 3,700 BTC

MintPalは前回のハッキングから2ヶ月後に2回目のハッキング攻撃にあいましたが、
こちらはもう少し複雑で意外な結末です。
7月に起こったハッキングにより、MintPalはMoolah(Moopay Ltd)に買収されました。

Moolahは、「MintPalは閉鎖する予定だがユーザーはまだ利用できる」と公表。
しかし、その後ユーザーのアカウントは凍結され、自分の資産がみるみる内にウォレットから移動され、
他のプラットフォームで売られているのを確認。
その時顧客の資産にアクセスできたのはMoolahのオーナー、Ryan Kennedyだけだったそうです。

Kennedyはその後2016年に強姦罪で投獄され、今はMintPalのハッキング攻撃の首謀の容疑者として起訴されています。

2015

1月 – 796 – 1,000 BTC

仮想通貨取引所796にとって2015年は良い年始ではありませんでした。
中国の取引所796は一部サーバーが攻撃され、ハッカーに顧客の払い戻しアドレスが改ざんされました。

1月 – LocalBitcoins – 17 BTC

ハッカーはLocalBitcoinsのライブチャットを通してマルウェアを拡散し、
規模は小さいですが取引所では17BTCの損害が出ました。

1月 – Bitstamp – 19,000 BTC

Bitstampはヨーロッパで初めて認可された仮想通貨取引所です。
ハッカーは従業員の1人にマルウェアメールを送信し、それを開いてしまったがために
取引所全体に拡散されました。被害総額は510万ドル。

2月 – KipCoin – 3,000 BTC

先ほどでたLinodeですが、ハッカーはセキュリティーホールをついた攻撃でKipCoinサーバーに侵入後、
全プラットフォームを掌握。その後各種パスワードが変更されました。
1ヶ月間かけてやっと管理権限を取り戻せましたが、KipCoinは先のBitstampの事件の事もあり、
ユーザーに公表したのは事態が沈静化した後のことでした

2月 – BTER – 7,170 BTC

中国の取引所にて、コールドウォレットがハッキングされ、150万ドル相当のビットコインが盗まれました。
コールドウォレットはハッキングするのが極めて困難なため、これに対しネットのユーザーはとても懐疑的です。
このハッキング自体は内部の犯行だったのでは?という仮説をたてています。

2016

4月 – ShapeShift – $230,000相当の仮想通貨

この月の間だけで、ShapeShiftは3回ハッキングされました。ShapeShiftのCEO(Erik Voorhees)によると、
全ての原因は1人の元従業員にあると発表しています。

5月 – GateCoin – 250 BTC ・ 185,000 ETH

GateCoinは認可された仮想通貨取引所の一つとして有名になりましたが、
その知名度がハッカー達のターゲットとなりました。ハッカー達はユーザーのウォレットへアクセスし、
結果200万ドル相当の仮想通貨が盗まれました。この損失が痛手となり、GateCoinはそのまま閉鎖。

8月 – Bitfinex – 120,000 BTC

香港にある仮想通貨取引所Bitfinexは、自身の環境は世界で一番セキュアと豪語していました。
しかし、ハッカー達がBitfinexのプロセスサービス(BitGo)から大量のビットコインを盗んだことで、
不運にも全く安全ではないことが証明されてしまいました。その結果ビットコインは下落

2017

4月 – Yapizon – 3,800 BTC

YapizonがYoubitに改名する前に、1回目のハッキング被害に合いました。
ハッカーは取引所から500万ドル相当のビットコインを奪い逃亡。

7月 – Bithumb – $700万相当の BTC & ETH

Bithumbは後でまた出てきます。Bithumbは取引数量でいうと当時世界で4番目に大きい仮想通貨取引所でした。
ハッカーは従業員の個人コンピューターに侵入し、3万人のユーサー情報を入手
直後、ユーザーが預けていた資産は盗まれました。

12月 – Youbit – 不明

Youbitは先ほど登場した韓国の仮想通貨取引所です。ハッカーによる攻撃で、取引所の17%の資産が失われました。
そして同日、Youbitは破産申告をしました。

12月 – NiceHash – 4,736 BTC

NiceHashはハッシュレートを提供するマイニング専門のマーケットプレイスです。
支払いシステムのバグを利用され、その結果ユーザーのビットコインがウォレットから盗まれました。
被害総額はNiceHashから正式には発表されていませんが、
おそらく4,736相当のビットコイン(約6200万ドル相当)が盗まれたと推測されています。
しかし、NiceHashの対応によりうち60%が戻ったそうです。

2018

1月 – Coincheck – 523,000,000 NEM

コインチェックは日本の仮想通貨取引所です。
ハッカーはEmail経由でマルウェアを拡散し、まず秘密鍵を盗み出しました。
コインチェックはマルチシグネチャもスマートコントラクトも使っておらず、
全ての仮想通貨を同じウォレットで管理していました。その結果、一度のハッキングとしては最高額の
5億3000万ドル相当の仮想通貨が盗まれました。ハッキングは北朝鮮による攻撃と思われていましたが、
マルウェアの出処はロシアのハッキンググループによるものでした。

2月 – Bitgrail – 17,000,000 NANO

イタリアの取引所Bitgrailから1億7000万ドルもの仮想通貨が盗まれたのにも関わらず、詳細は曖昧です。
オーナーのFrancesco Firaniがハッカーによる攻撃を受けたと報告したにも関わらず、
なぜか他の従業員はそんな事は起きていないとと否定しています。
これが本当にハッキングによる被害なのか、出口詐欺なのかは未だ答えは出ていません。

4月 – CoinSecure – 438 BTC

インドの取引所CoinSecureでは350万ドル相当のビットコインがハッキングによって盗まれました。
ただこれも内部犯行の可能性があると言われています。CoinSecureのオーナーは、
セキュリティ部門の前責任者が資産を盗んだと主張。後にその前セキュリティ部門の責任者は逮捕されたため、
もしかしたら何かに加担していたのかもしれません。

5月 – Taylor – 2,578 ETH

Taylorは仮想通貨のための投資用アプリで、ICOで成功を収めました。
しかし成功の余韻に浸るまもなく、ハッカーによって企業端末に侵入されパスワードファイルが入手される。
ハッカーはICOで調達した全てのイーサリウムを盗み、被害総額は150万ドルに登りました。

5月 – Bitcoin Gold – $1800万相当の BTG

これは仮想通貨取引所を攻撃した事件ではなく、仮想通貨そのものを攻撃した事件です。
ビットコインゴールドは、分散化のためにビットコインからハードフォークしたマイナーコインです。

ビットコインゴールは51%攻撃の対象となりました。
(ハッカーがブロックチェーンネットワークの演算力のうち50%以上を支配する)
その時点で、ハッカーはユーザーへの支払いプロセスを停止させ、ブロックチェーンの台帳を改ざん。
ビットコインゴールドの事件までは、この51%攻撃は稀なケースでほとんど現実的にありえないと思われていました。

ハッカーはその後ビットコインゴールドを取引所に移し、他の仮想通貨に変えてから法定通貨で引き出しました。

6月- Bithumb – $3100万相当のXRP

Bithumbは2019年の以前にも2018年にリップルを盗まれています。
ハッキングを実行したLazarus Groupは、過去にいくつもの仮想通貨ハッキングを実行した北朝鮮のグループです。

6月 – Coinrail – 1,927 ETH・26億 NPXS・9300万 ATX・8億3000 DENT Coins とその他6コインでも膨大な損害

Coinrailは小さな取引所ですが、ハッカーの興味を引くには十分でした。
実際にどれほどの被害にあったのか詳細な額は不明ですが、取引所は被害総額をおよそ4000万ドルと推測しています。

9月 – Zaif – 5,966 BTC

こちらもハッカーがどの様に盗んだのか手法が不明です。ただZaifが地元警察に提出した報告書によると、
誰が主犯なのかは目星をつけているようです。この日本の取引所でのハッキングでは6000万ドル相当の仮想通貨が失われました。

10月 – MapleChange – 913 BTC

これはハッキングではなくて出口詐欺なのではないかという論争が今でも続いています。
MapleChangeはカナダの小さな仮想通貨取引所で、10月初めのある日異常な取引量の上昇を確認しました。
10月末頃、取引所はハッキング被害に合い、全ての資産が盗まれたと公表し、
その後まもなくMapleChangeは閉鎖。

ユーザーが疑問に思ったのが、MapleChangeはホームページ、SNS、Discord、Telegramの全てを
事件直後すぐ停止した事です。それから公式からの発表がないため、一部の人の間では
MapleChangeは次の対応を考えるため今は一時的な処置として休止しているだけ」という噂も流れました。

その願いは叶わず、MapleChangeはユーザーに返金する事なく、残った少しの資産は開発者へ支払われました。
この件が本当にハッキングだったのか詐欺だったのかは未だに意見が別れています。

12月 – QuadrigaCX – 26,350 BTC

厳密に言えばハッキングではないのですが、この事件は触れずにはいられないほど異質な出来事でした。

QuadrigaCXは当時カナダ最大の仮想通貨取引所です。
オーナーはGerald Cottenで、Cottenだけが取引所のコールドウォレットへのアクセスする方法を知っていました。

12月のある日Cottenはハネムーン先のインドで死亡し、
コールドウォレットのアクセス法も一緒に墓場まで持っていかれました。
QuadrigaCXでは既に破産寸前に追い込まれていましたが、最終的にはCottenの死が取引所の破綻へのトリガーとなりました。
Cottenは実は死んでいなくて、この全ての筋書きが出口詐欺だったという陰謀論まで出てきました。

それから正式にQuadrigaCXへの金融調査が始まると、いくつか不可解な事が浮上。
取引所に紐付かれているコールドウォレットは全部で6つあったのですが、
うち5つが2018年の4月の時点で空になっていたのです。
何故かは分かっていません。
Cottenの妻は、善意でCottenが所有していた不動産から900万ドルをユーザーに返金しました。

2020年では、Cottenの遺体調査のための申立を提出しましたが一度棄却され、
その後資産を損失した被害者による新たな申立がまた提出されました。
同時にFBIも真相の追求のため調査に加わっています。

2019

1月 – Cryptopia – 最低19,390 ETH

始めはCryptopiaユーザーがなかなかアカウントにログイン出来なくなった事が発端でした。
取引所はこれをシステム上の不具合と思っていたのですが、しばらくしてセキュリティ侵害とTwitter上で報告
実際に盗まれた正確な額は不明。

1月 – Cryptopia – 1,675 ETH

Cryptopiaは運がない事に、最初の攻撃から15日後また攻撃を受けました
そして2回めの攻撃がこのニュージーランドの取引所に大打撃を与える結果となったのです。

Cryptopiaの弁済は2020でも継続中ですが、その時に発覚したのは、
どうやらマネーロンダリング防止のためのチェックに不備があったそうです。
90万以上のアカウントがありますが、そのどれもがユーザー名とEmailアドレス以上の情報がなかったのです。

マネーロンダリング防止チェック(AML:Anti-money Laundering)は
顧客情報の正当性を保障するプロセスですが、
1%以下のユーザーがそもそもユーザー情報を入力をしていなかったのです。
300万ドル相当の資産を保有するアカウントの住所は、どれも無人島か存在しない場所でし
その結果、アカウントの個人情報の欠落により、失われた資産のうち大部分は
弁済不可能ということが発覚してしまいました。

2月 – Coinmama – 450,000 ユーザー名・Emailアドレス・ パスワード

このハッキングは他と比べてまだ良心的です。ハッカー達は資産を盗む代わりに、個人情報だけを盗みました。
Coinmamaは最も大きな取引所の一つで、100万以上のユーザーを抱えています。
この事件は個人情報が盗まれただけに留まらず、
Coinmamaはその後ユーザーデータはインターネットの闇市場に流出した事を報告しました。

2月 – Coinbin – 不明

まさかの以前ハッキングされたYoubitがCoinbinにブランド名を改変してビジネスを再開しました。
2回ものハッキング攻撃を受け、Coinbinはセキュリティ強化するであろうと思われましたが、今回は内部の犯行です。

実はYoubitの元CEOもCoinbinで従業員として働いており、会社の資産を横領していたのです。
彼は秘密鍵へのアクセス権を持っており、複数のアカウントから資産を抜き取っていました。
Coinbinはその結果破産を申し立てし、3000万ドルの負債を抱えて閉鎖しました。

3月 – CoinBene – 不明

事態はCoinBene取引所のホットウォレットから資産が移動してる事から表面化しました。
取引所は事情調査のためにサイトを停止したため、アナリストは不測の事態が起きたと不安になっていました。
CoinBeneは何も問題はなかったと公式で発表しましたが、それにも関わらず取引所はまるまる1ヶ月もの間停止

Coinbene’sが問題が起きた事を否定しつづける事を不審に思う人も増え、
それに続きBitwiseのアセットマネージャーがCoinBeneを仮想通貨の市場操作のために
仮装売買をした疑いがあると報告。詳細は曖昧ですが、
100万ドル相当の仮想通貨がハッキングによって盗まれたと信じられています。

3月 – Bithumb – 300万 EOS ・ 2000万 XRP

韓国の仮想通貨取引所のBithumbにて内部犯行が行われたと言われています。
最初に疑わしき通貨の引き出しが行われた直後、取引所は即座に全ての引き出しを停止しましたが、
間に合わなかったようです。ハッキングを実行した人は不明ですが、外部からの侵入の痕跡がないため、
おそらくBithumbの従業員が実行したのだろうと言われています。

3月 – DragonEx – $700万ドル相当の仮想通貨

シンガポールにある仮想通貨取引所DragonExはハッキング攻撃により700万ドルもの被害にあいました。
北朝鮮のハッキンググループLazarusによる犯行です。ハッカーはダミー会社を設立し、
DragonExの従業員を騙してマルウェアをTelegramとLinkedIn経由で会社端末にダウンロードさせました。

DragonExはユーザーが失った資産の返済を保証し、同時に警察による調査も進行中です。

5月 – Binance – 7,000 BTC

ハッキングの手法は単純で、フィッシング詐欺メールとマルウェアによるものです。
結果、4000万ドル相当のビットコインが盗まれました。
Binanceはその後セキュリティを強化することを保障しましたが、ユーザーはまだ警戒しています。

顧客データもその時同時に盗まれた疑いがあったのです。
2019年の8月では、Telegramのチャンネル上でBinanceの顧客と思しきデータが公開されました。
前回のハッキングの時に流出したもので、6万人以上のユーザーの個人情報が抜き取られていたようです。

6月 – GateHub – 23,200,000 XRP

UKとスロバニアの仮想通貨取引所は2019年の夏、
1000万ドル相当のリップルが盗まれるハッキング被害にあいました。
侵入経路は明らかになっていませんが、暗号化された秘密鍵にアクセスしていたようです。

6月 – Bitrue – 930万 XRP ・ 250万 ADA

Bitrueはシンガポールの仮想通貨取引所で、ホットウォレットがハッキングされたようです。
被害にあったユーザー数は90人のみですが、実に500万ドル相当の資産が盗まれました。

7月 – Bitpoint – 1,225 BTC・11,169 ETH・1,985 BCH・5,108 LTC ・ 2800万以上の XRP

資産を移す際にシステム上のエラーを見つけた時、
日本の仮想通貨取引所のBitpointは直ちにサービス停止をしました。しかし間に合わなく、
ハッカーにセキュリティ侵害を利用され、3000万ドル相当の仮想通貨が失われてしまいました。

幸運なことに、そのうち2300万ドルは海外取引所から取り戻す事に成功しています。

11月 – VinDAX – $500,000相当の仮想通貨

VinDAXはベトナムに拠点を置く比較的小さな仮想通貨取引所で、
マイナーなブロックチェーンプロジェクトのためにトークン売買をメインで行っていました。
しかし取引所の規模とは関係なく、ハッカーは50万ドル相当の仮想通貨をVinDAXから奪いました。

11月 – Upbit – 342,000 ETH

韓国の仮想通貨取引所Upbitは大規模な侵害を受け、342,000 ETH(5100万ドル相当)が奪われました。
資産はUpbitのコールドウォレットから奪われたため、人々の間では内部の犯行という噂が流れました。
ただ結局それは間違いだったようです。

話はそこでは終わらなく、その後盗まれた資産は何故かウォレット間で活発に動いていたようです。
何を示唆しているのかはわかりません。
2020年の1月に、Upbitは長いサービス停止期間を経てセキュリティの強化を施しました。

2020

2月 – Altsbit – 6,929 BTC・23,210 ETH・3,924,082 ARRR・414,154 VRSC・1,066 KMD

イタリアの仮想通貨取引所はサービス開始してからわずか2ヶ月後にハッキングされました。
取引所は当初全資産が奪われたと公表しましたが、調査の結果奪われた資産は内の半分でした。

Altsbitは残りの資産では一部しか返済できないと報告し、2020年5月に閉鎖しました。
ハッカー集団のLulzsecは自らが実行したと発表していますが、
どのような経路で実行したかは定かではありません。
合計7万ドル相当の仮想通貨が失われました。

あとがき

事例は2020年までのみですが、取引所に資産を預けることのリスクを知るには十分だったと思います。

  • 取引所ではなく、自分の端末のウォレットで資産管理しましょう
  • 端末で見知らぬWi−Fiにつなげない
  • 端末自体にパスワードを設定する
    • パスワードは強固なものにして頻繁に変える
  • 端末のOSアップデートは怠らない(セキュリティアップデートが含まれるため)
  • ウォレットアプリのアップデートも怠らない
  • ウォレットのパスワードやフレーズなどのクレデンシャルは同じ端末でデジタル管理しない
    • 別で管理すれば端末が盗難・紛失・破損した時でも復元できます
    • 貸金庫などに保管しましょう
    • 保管方法は誰にも共有しないでください。もちろんSNSでも言わない。
  • 資産が大きくなったら複数ウォレットで分散管理する
    • アプリは別にする(YoroiとDaedalusなど)
  • それでも攻撃されるリスクはゼロではないため、セキュリティ対策法は常に最新にアップデートしましょう

カルダノ用ウォレットのインストール方法はこちらで紹介しています。

最後まで読んでいただきありがとうございました!