2兆ウォン規模のBybitハッキング:運用セキュリティ失敗の時代が到来

 (blog.trailofbits.com)
3 ポイント 投稿者 GN⁺ 2025-02-23 | 1件のコメント | WhatsAppで共有
  • 2025年2月21日、Bybit取引所でマルチシグのコールドウォレットがハッキングされ、約15億ドル相当の暗号資産が流出
  • ハッカーは複数の署名者のデバイスを侵害し、ウォレットのインターフェース上で署名者が見る内容を改ざん
  • 署名者は通常の取引を実行していると誤認したまま、ハッカーが望む署名データを提供
  • これは、最近の中央集権型取引所へのハッキング手法が、コードの脆弱性ではなく、運用面および人的セキュリティの弱点を狙う方向へ変化していることを示唆している

最近の類似ハッキング事例

  • WazirX取引所(2024年7月):2億3,000万ドルの損失
  • Radiant Capital(2024年10月):5,000万ドルの損失
  • Bybit取引所(2025年2月):15億ドルの損失

北朝鮮のハッカー組織との関連性

  • Arkham IntelligenceおよびZachXBTの分析によると、今回の攻撃は北朝鮮のハッカー組織に関連していることが確認されている
  • 北朝鮮の偵察総局(RGB)傘下のTraderTraitor、Jade Sleet、UNC4899、Slow Piscesなどの国家支援型ハッカーグループが関与
  • RGBハッカー組織の攻撃手法
    • ソーシャルエンジニアリング・キャンペーンを通じて、システム管理者、開発者、財務チームの従業員を標的にする
    • カスタマイズされた採用詐欺およびフィッシング攻撃で主要人材を感染させる
    • マルチプラットフォーム対応マルウェアを用いて、Windows、MacOS、さまざまな暗号資産ウォレットを感染させる
    • ユーザーが見る取引画面を改ざんして署名を誘導

既存のセキュリティシステムが無力化される理由

  • 攻撃者は反復的な攻撃を通じて、ツールや手法を継続的に改良している
  • 一般的なセキュリティ対策で防御が難しい理由:
    • 運用セキュリティが不十分な組織は大きなリスクにさらされる
    • マルチシグシステムでさえ改ざん可能
    • 従来のセキュリティソリューション(EDR、ファイアウォールなど)では検知が難しい形態の攻撃手法が使われる

暗号資産セキュリティの新たな現実

  • 従来のスマートコントラクトのセキュリティ強化だけでは不十分
  • 運用セキュリティの失敗が最大の脅威要因となっている
  • 企業は、ハッキングされる可能性を前提としたセキュリティ戦略を構築しなければならない

企業が必ず導入すべきセキュリティ戦略

  • インフラの分離
    • 取引署名システムは、通常の運用ネットワークから物理的・論理的に分離する必要がある
    • 専用ハードウェアとネットワーク、厳格なアクセス制御を適用
  • 多層防御(Defense-in-Depth)
    • ハードウェアウォレット、マルチシグ、取引検証ツールを組み合わせて、複合的なセキュリティシステムを構築
    • 単一の対策ではなく、重層的なセキュリティ戦略が必須
  • 組織レベルの備え
    • 運用面および技術面の脅威モデリングを実施
    • 外部セキュリティ監査および評価を定期的に実施
    • セキュリティ訓練およびインシデント対応シミュレーションを定期的に実施
    • 具体的なインシデント対応計画を策定し、定期的にテストする

Trail of Bitsのセキュリティガイド

結論:もはや従来のセキュリティでは防御不能

  • Bybitハッキング事件は、暗号資産セキュリティが新たな局面に入ったことを示している

  • 運用セキュリティの強化なしに大規模ハッキングは回避できない

  • セキュリティ研究者Tayvanoの強い言葉が、現在の状況を端的に表している:

    "一度デバイスが感染したら終わりだ。もし鍵がホットウォレットやAWSにあるなら、即座にハッキングされる。鍵がコールドウォレットにあっても、ハッカーは少し多く努力するだけだ。いずれにせよ、最終的にはハッキングされる。"

企業が今すぐ取るべき措置

  • 運用セキュリティリスク評価を実施
  • Air-Gapped署名インフラを導入
  • 国家支援型ハッカー組織への対応経験を持つセキュリティチームと連携
  • インシデント対応計画を策定し、定期的にテスト

"次の10億ドル規模のハッキングは時間の問題であり、備えなければ被害は避けられない"

関連記事

1件のコメント

 
GN⁺ 2025-02-23
Hacker Newsの意見

  • 最近の関連事件: Bybitがハッキングで15億ドルを失った

    • 攻撃者はマルチシグのコールドストレージウォレットから約15億ドルを盗み出した
    • 攻撃者は複数の署名者のデバイスを侵害し、ウォレットのインターフェース上で署名者が見ている内容を改ざんすることで、署名者が通常の取引を行っていると信じている間に必要な署名を集めた

  • ハッカーがリモートアクセスによって「署名者がウォレットインターフェースで見ている内容を改ざん」できるなら、それはコールドストレージには見えない

  • マルチシグのやり取りでハッキングされうる方法は3つある:

    • マルチシグのスマートコントラクトが侵害される
    • 署名するコンピューターが侵害される
    • 使用しているハードウェアウォレット(Ledger、Trezor)が侵害される

  • Gnosis Safeというマルチシグ契約は非常に堅牢であることが示されており、ハードウェアウォレットを攻撃するのは非常に難しい。現在の弱点はコンピューターだ

  • 暗号資産企業は、署名専用のより閉じたデバイスに移行し、ハードウェアウォレットの画面に表示される内容を実際に確認することでこの問題を解決すべきだ

  • オンラインセキュリティの世界は非常に混沌としている。他の工学分野では、外国国家が作ったものを明示的に標的にすることはほとんどない

    • たとえば、高層ビルは継続的な砲撃に耐えるようには設計されていない
    • 自動車も戦車砲に耐えるようには設計されていない
    • 北朝鮮がミサイルで人を殺したり小さな建物を破壊したりすれば、大衆の怒りと迅速な軍事対応が起きるだろう

  • しかしオンラインでは状況が違う。北朝鮮は望むままにシステムを攻撃でき、主な反応は「もっと安全なシステムを構築しておくべきだった」というものだ

    • Bybitの人々はもっと慎重になれたかもしれないが、オンライン環境がどれほど混沌としているかを認識する必要がある

  • この投稿には、ハッキングがどのように起きたのかについての詳細が不足している

    • ツールについて語っているのを見ると、人々をだまして悪意のあるソフトウェアをダウンロードして実行させた、という理解で合っているのか気になる

  • 攻撃者は複数の署名者のデバイスを侵害し、ウォレットのインターフェース上で署名者が見ている内容を改ざんすることで、署名者が通常の取引を行っていると信じている間に必要な署名を集めた

    • 署名者が何人いたのか知っている人がいるのか気になる

  • 暗号資産についてほとんど知らない立場からの真面目な質問: この攻撃で実際にお金を失ったのは誰なのか? 多くの個人なのか?

  • 9年前に5000万ドルが盗まれたとき、ETHがハードフォークしたのを覚えている

  • 私の理解では、このマルチシグが失敗した理由は、多くのセキュリティ問題と同じく、全員が「はい」を押し、連絡も調査も質問もしなかったからだ。これはマルチシグの目的を無意味にしてしまう

  • なぜこれを複数の独立したウォレットに分割しないのか、本当に理解できない