Crypto.comのハッキング事件について

今回は、2022年1月に起きた暗号通貨取引所 Crypto.com がハッキングされた事件を紹介します。

事件の概要

2022年1月17日、暗号通貨取引所 Crypto.com は、「2FA（二要素）認証操作がユーザーによって入力されることなく取引が承認されていた」という疑わしい活動を検出していました。サイトは問題を調査するために 14 時間すべての引き出しを停止しました。この被害によって発生した被害は以下のとおりです。

• ETH（イーサリアム）：1500 万ドル（約 17 億円）

• BTC（ビットコイン）：1900 万ドル（約 21 億 6400 万円）

• その他の通貨：6 万 6200 ドル（約 750 万円）

ブロックチェーンセキュリティプロバイダーの PeckShield（ペックシールド）は資金の約半分（おそらく ETH に限った話）が Tornado Cash（トルネード・キャッシュ）に送られて「洗浄」されていると主張しています。

Tornado Cash は、イーサリアムのブロックチェーン上で「非保護の匿名取引（つまり、暗号資産がどこに送られたかを隠すことができる
）」を提供しているサービスです。

また、ブロックチェーンデータ会社 OXT Research の別のアナリスト（ErgoBTC 氏）は、被害にあったビットコインは、ビットコインタンブラー（Bitcoin tumbler）を介して「洗浄」されていたとの報告がありました。

Bitcoin tumbler とは顧客が複数の取引を組み合わせることができ、ビットコインの追跡を困難にするサービスです。

17日に「少数のユーザー」が不審な取引を行った後、Crypto.com は出金を停止しました。その後、Crypto.com は出金を再開し、ユーザーの資金が「安全」であることを確認したが、その後、4600ETH（1500万ドル）を失いました。

今後の対応

Crypto.com は今回の事案からセキュリティ強化のため、2FA から「真の多要素認証」に移行する計画を発表したが、この変更の予定スケジュールは示していません。また、2月1日から「一部のマーケットで Worldwide Account Protection Program（WAPP）」を導入すると発表しました。

WAPP とは、不正引き出しが発生した場合「認定ユーザー」に対して最大 25 万ドル（約 2800 万円）まで資金を回復するプログラムです。

Crypto.com | Securely Buy, Sell & Trade Bitcoin, Ethereum and 250+ Altcoins

Crypto.comの不正流出は最大3300万ドルか、オンチェーンアナリストが示唆

Crypto.com Admits $35 Million Hack

二要素認証の危殆化でハッキングされた暗号資産取引所Crypto.com、被害は約38.7億円以上に | TechCrunch Japan

Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める | TechCrunch Japan

まとめ

Crypto.com  は CoinGecko によると世界第7位の暗号通貨取引所であり、信頼スコアも満点を獲得していました。この信頼スコアも何をもとに計算しているかわかりませんが、やはり取引所のみでウォレットを管理せず、コールドウォレットを使用して自分の資産を守ることが大切だと改めて思いました。

Crypto.com Exchange Trade Volume, Trade Pairs, and Info | CoinGecko