Crypto.comのハッキング事件について
今回は、2022年1月に起きた暗号通貨取引所 Crypto.com がハッキングされた事件を紹介します。
事件の概要
2022年1月17日、暗号通貨取引所 Crypto.com は、「2FA(二要素)認証操作がユーザーによって入力されることなく取引が承認されていた」という疑わしい活動を検出していました。サイトは問題を調査するために 14 時間すべての引き出しを停止しました。この被害によって発生した被害は以下のとおりです。
ETH(イーサリアム):1500 万ドル(約 17 億円)
BTC(ビットコイン):1900 万ドル(約 21 億 6400 万円)
その他の通貨:6 万 6200 ドル(約 750 万円)
ブロックチェーンセキュリティプロバイダーの PeckShield(ペックシールド)は資金の約半分(おそらく ETH に限った話)が Tornado Cash(トルネード・キャッシュ)に送られて「洗浄」されていると主張しています。
Tornado Cash は、イーサリアムのブロックチェーン上で「非保護の匿名取引(つまり、暗号資産がどこに送られたかを隠すことができる
)」を提供しているサービスです。
また、ブロックチェーンデータ会社 OXT Research の別のアナリスト(ErgoBTC 氏)は、被害にあったビットコインは、ビットコインタンブラー(Bitcoin tumbler)を介して「洗浄」されていたとの報告がありました。
Bitcoin tumbler とは顧客が複数の取引を組み合わせることができ、ビットコインの追跡を困難にするサービスです。
17日に「少数のユーザー」が不審な取引を行った後、Crypto.com は出金を停止しました。その後、Crypto.com は出金を再開し、ユーザーの資金が「安全」であることを確認したが、その後、4600ETH(1500万ドル)を失いました。
今後の対応
Crypto.com は今回の事案からセキュリティ強化のため、2FA から「真の多要素認証」に移行する計画を発表したが、この変更の予定スケジュールは示していません。また、2月1日から「一部のマーケットで Worldwide Account Protection Program(WAPP)」を導入すると発表しました。
WAPP とは、不正引き出しが発生した場合「認定ユーザー」に対して最大 25 万ドル(約 2800 万円)まで資金を回復するプログラムです。
まとめ
Crypto.com は CoinGecko によると世界第7位の暗号通貨取引所であり、信頼スコアも満点を獲得していました。この信頼スコアも何をもとに計算しているかわかりませんが、やはり取引所のみでウォレットを管理せず、コールドウォレットを使用して自分の資産を守ることが大切だと改めて思いました。