暗号資産(仮想通貨)業界で、分散型金融(DeFi)への投資家の信頼が揺らいでいる。北朝鮮のハッカー集団が2024年の前半4か月間で、オンチェーンアプリから約6億ドルを盗み出したことで、投資家が一斉に資金を引き揚げ始めたためだ。
最新の被害は5月11日(土)に発生。北朝鮮のハッカー集団が、Ethereum(イーサリアム)上のリステーキングアプリ「Kelp DAO」を標的にし、2億9400万ドル相当の資産を奪取した。被害を受けたKelp DAOは、リステーキングサービスを提供する分散型自律組織(DAO)で、ユーザーから預かった暗号資産を運用していた。
このハッキングを受け、主要DeFiプロトコルの預かり資産(Total Value Locked: TVL)が150億ドル以上減少した。データ分析プラットフォーム「DefiLlama」によると、最大手のDeFiレンディングプロトコル「Aave」では預かり資産が100億ドル(約22%減)、次点の「Morpho」が17億ドル、「Sky」が6億ドルそれぞれ減少した。
これらのプロトコルが被害を受けた理由は、Kelp DAOの発行する「rsETH」トークンを統合していたため。ハッカーはこのトークン11万6500個を盗み出し、その価値を流出させた。また、他のブロックチェーン上のアプリにも影響が波及。Solana(ソラナ)最大のレンディング市場「Kamino」では、4月18日以降に2億8000万ドルの資金流出が発生している。
機関投資家の参入でリスクが顕在化
DeFiは、機関投資家が暗号資産市場に参入する重要な手段として注目を集めてきた。しかし、今回のハッキングを機に、そのリスクが改めて浮き彫りになった。北朝鮮のハッカー集団は、従来の金融機関を上回る巧妙な手口で攻撃を仕掛けており、その脅威は増大している。
暗号資産セキュリティ企業「Chainalysis」の12月報告書によると、北朝鮮のハッカーは「攻撃の回数は減ったが、被害額は大幅に拡大する」傾向にあり、その手法は「ますます洗練され、忍耐強くなっている」という。さらに、AIの活用によりハッキングが容易化している点も問題視されている。悪意のあるハッカーはAIを使って、数千行に及ぶコードを数秒で解析し、開発者や監査者が見落とした脆弱性を突くことが可能になった。
過去最悪の被害額、今年はすでに7億7100万ドル超
DeFiアプリを狙ったハッキングは目新しいものではないが、その被害額が加速度的に拡大していることが投資家を不安視させている。2023年は暗号資産ハッキングによる被害額が過去最悪の34億ドルに達したが、2024年はわずか4か月で7億7100万ドルを超える被害が発生。このままでは年間被害額が2023年を上回る可能性が高い。
セキュリティ専門家は、北朝鮮のハッカー集団「ラザルスグループ」による最近の攻撃が、従来の手口よりも高度化していると指摘する。5月11日のKelp DAOハッキングでは、ハッカーが正規のクロスチェーンメッセージを偽造し、複雑なマルチチェーン攻撃を実行した。また、4月1日にSolana上のアプリ「Drift」が2億8500万ドルを奪われた事件では、数か月にわたるソーシャルエンジニアリングとSolanaの特殊機能の悪用が組み合わされた。
DeFi特有のリスク:取引の不可逆性
伝統的な金融機関でもハッキング被害は発生するが、DeFiの場合、被害額の回収が極めて困難だ。銀行や証券会社と異なり、DeFiでは取引のブロックや取り消しができない。コードが最終的な判断基準となり、ハッカーが脆弱性を見つけた場合、資金は永久に失われる可能性が高い。
例として、2016年にバングラデシュ中央銀行を狙った北朝鮮のハッキング事件が挙げられる。当時、ハッカーは約10億ドルの奪取を試みたが、大半の取引がブロックされた。しかし、DeFiではそのようなセーフティネットが存在しない。
「DeFiの世界では、コードが法の代わりを果たす。ハッカーがシステムの脆弱性を見つけた場合、資金は二度と戻ってこない可能性が高い」
—— 暗号資産セキュリティ専門家
今後の展望:セキュリティ強化が急務
投資家の間では、DeFiのリスク管理体制の強化が急務との声が上がっている。特に、機関投資家の参入が進む中で、セキュリティ対策の不備が顕著になっている。ハッカーの手口がAIやソーシャルエンジニアリングを活用した高度なものに進化する中、従来の監査やセキュリティ対策だけでは不十分との指摘もある。
一方で、DeFiプロトコル側も対策を講じ始めている。Kelp DAOのハッキング後、複数のプロトコルがリスク管理の見直しや、監査の強化を発表した。しかし、ハッカーとのいたちごっこは続く。投資家が安心してDeFiに資金を預けるためには、技術的な進化だけでなく、規制や業界全体の取り組みが不可欠だ。
関連記事
米国債利回り上昇でビットコイン8万ドル割れ、規制法案の効果も一時的
Bitcoin’s latest retreat below $80,000 shows how quickly the bond market has reclaimed control of crypto trading, even after lawmakers advanced one of...
リベラルランド、ヴィタリック・ブテリン氏に最高勲章を授与
Justin Sun’s made-up country Liberland has given Ethereum founder Vitalik Buterin a star-shaped medal, “its highest state distinction,” for his techni...
Kraken、kBTCをChainlink CCIPへ移行 — DeFiにおけるブリッジリスクの高まり
Kraken is moving its wrapped Bitcoin (kBTC) to Chainlink CCIP as bridge-security fears continue spreading across DeFi, turning the bridge-security deb...
暗号資産$WADZが展開する48州ツアー:物語と経済圏が融合する新たな実験
Somewhere in America, a tour bus is on the move. On board is a character called Wadoozie — and according to the project's own mythology, he isn't a pe...
トランプ家ファミリートラスト、2026年Q1にビットコイン関連株を大量購入か
Bitcoin Magazine The Trump Family Trust Bought Bitcoin-Linked Stocks in First Quarter: Filing Donald Trump’s family trust bought shares in several bit...
暗号資産はもはや単一産業ではない?分散化が示す将来性
Crypto can feel bullish and bearish simultaneously because its major sectors have stopped moving together. Bitcoin collects institutional ETF flows wh...
THORChain、1000万ドル相当の暗号資産流出被害 専門家が北朝鮮関与を指摘
Cross-chain liquidity protocol THORChain has reportedly been exploited for $10 million worth of crypto. That’s according to investigator ZachXBT, who...
ポーランド、暗号資産規制法を可決 EU整合へ 一方、大手取引所の不正疑惑で政治対立激化
Bitcoin Magazine Poland Passes Crypto Bill as Fraud Probe Deepens Political Divide Polish lawmakers have approved a long-debated cryptocurrency bill,...