ブラック・スワン・ダウン：15億ETHが盗まれたBybitの詳細な追跡調査

By Spirit

インシデントの概要

2025年2月21日、暗号通貨取引所Bybitは、同社のEther Multi-Signature Cold Walletが不正行為に遭い、約15億ドルのETHとsteth資産が盗まれたことを明らかにしました。初期の分析では、ハッカーは綿密に計画された攻撃を行い、取引インターフェースを偽装し、スマートコントラクトやその他の複雑な技術的手段を置き換えることで、BybitのETHコールドウォレットを制御し、資金を送金することに成功したと指摘しています。この事件を受けて、Bybitはすぐに声明を発表し、調査を開始し、コインを引き出すユーザーの波に対処するために外部の財政支援を求めました。この事件は暗号通貨史上最大の単独盗難事件であり、市場に衝撃を与え、中央集権的な取引所のセキュリティに対する懸念を呼び起こした。

事件のタイムライン（香港時間、UTC+8）

以下のタイムラインは公開されている情報に基づいており、香港時間（HKT、UTC+8）で編成されています。

19 February 2025 15:15 HKT (07:15 UTC):   悪意のあるコントラクトが展開されました (コントラクト アドレス: ``0xbDd077ff;'``)。0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516`).Slow Fogチームの分析によると、悪意のある契約はこの攻撃の一部として事前に展開されていたものでした。

21 February 2025 14:13 HKT (06:13 UTC): ハッカーは3つの所有者署名を使ってトランザクションを開始しました。0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32d69d62081c68ad7882`）、Bybitのマルチシグネチャコールドウォレットコントラクトのセーフ実装を前述の悪意のあるコントラクトに置き換えた。これは攻撃の重要なステップであり、その後の資金窃盗への道を開くものと考えられています。

2025年2月21日23:30 HKT頃: Bybitイーサコールドウォレットで異常な資金移動が発生し、～15億ドルのETHとstETHが盗まれました。OrdzWorldは、Bybitコールドウォレットからウォームウォレットへの異常な送金活動を最初に監視しました。

2月21日 2025 23:48 HKT: BybitのCEOであるBen Zhou氏は、当初は「シールドUIスプーフィング攻撃」であると判断されたソーシャルメディアの投稿で、ETHコールドウォレットの不正送金を認めました。当初の評価は「遮蔽UIなりすまし攻撃」であり、他のコールドウォレットは安全で引き出しは正常であると強調しました。

21 Feb 2025 23:51 HKT: Bybitの公式アカウント@Bybit_Officialは、Xプラットフォーム上で公式声明を発表し、ETHマルチシグネチャコールドウォレットで未承認のアクティビティを検出したことを確認し、攻撃者は次のように述べた。Bybitは調査を開始したと述べ、ユーザー資金の安全性を強調しました。

22 February 2025 00:11 HKT: BybitのCEOであるBen Zhou氏は再び投稿し、Bybitは支払能力があり、ユーザーの資産を1:1で保証していると強調しました。

2025/02/22 01:00 HKT: SlowMist_TeamはXプラットフォームに関する技術的な詳細を開示し、悪意のある契約は2月19日の時点で展開されていたこと、攻撃者は悪意のある契約を作成するためにバックドア関数 `sweepETH` と `sweepsETH` と `sweepsETH` を使用していたことを指摘しました。sweepETH`と`sweepERC20`、そして`DELEGATECALL`ロジックを使用して窃盗を行ったという。

2025年2月22日 01:07 HKT: X ユーザー@web3golderの報告によると、Bybitはユーザーの引き出しの波に直面しており、盗まれた資産の一部は分散型取引所（DEX）でETHと交換されたとのことです。市場の懸念に拍車をかけています。

22 February 2025 01:24 HKT: BitMartの創設者であるSheldon氏は、Xプラットフォームへの投稿で、BitMartは問題のアドレスを凍結し、Bybitの資産回収を支援すると述べています。

22 February 2025 01:39 HKT:  セキュリティチームBeosinによる分析では、ハッカーは当初、コイン取引所からの手数料資金調達のためにアドレスを攻撃したという事実を指摘しています。

22 February 2025 05:23 HKT: チェーンスルースZachXBT (@ZachXBT)はXプラットフォームにメッセージを投稿し、攻撃が北朝鮮のハッキング組織Lazarus Groupによって組織されたことを暫定的に確認する証拠レポートを提出しました。Arkham Intelligenceはこのメッセージをリツイートした。

22 February 2025 07:27 HKT: Bybitの公式Xプラットフォームの投稿によると、当局に事件を報告し、ハッカーによるETHの投棄を阻止するため、オンチェーン分析プロバイダーと協力して、関与したアドレスを特定・隔離しているとのことです。

22 February 2025 09:09 HKT:  On-chain data analyst Ashes Aftermath (@EmberCN)は、Bybitを支援するBitgetがキャッシュアウト圧力を緩和するために40,000ETHの融資を行うことをモニターしています。出金圧力を緩和するためです。

22 February 2025 09:14 HKT: Bitget CEOのGracy Chen氏は、Bybitに連帯するメッセージをXプラットフォームに投稿し、Bybit顧客の資金は安全であり、パニックになる必要はないと信じていると述べています。

22 February 2025 09:21 HKT: Web3の監査役Hackenは、Bybitの準備金はまだ負債を上回っており、ユーザーの資金は完全にバックアップされているとする準備金の証明アップデートを発表しました。Bybit CEOのBen Zhouは、Hackenの監査がBybitの顧客損失をカバーする能力を証明したと回答した。

22 February 2025 09:28 HKT: KuCoin CEOのBC Wong氏はBybitへの支持を表明し、KuCoinは資金の流れを監視し、疑わしい資産を凍結することに協力したと述べた。

2025年2月22日 09:30 HKT:Coinの創設者であるZhao Changpeng (CZ)氏はソーシャルメディアで、CoinはBybitから正式に資金を借りておらず、関連する資金移動は巨大クジラの個人的な行為であった可能性があると回答した。

22 February 2025 09:35 HKT: マルチシグネチャウォレットプロトコルのSafeは公式声明を発表し、コードベースのリークは検出されておらず、徹底的なチェックを行うためにSafeの機能は一時停止していると述べた。

2025年2月22日 09:38 HKT:  オンチェーンモニタリングによると、MEXCホットウォレットは、さらなる流動性サポートのため、12,600 stETHをBybitコールドウォレットに送金しました。

2025年2月22日 09:55 HKT: BybitのCEOであるBen Zhou氏は、Bybitは計画的な戦略の一環としてコールドウォレットからホットウォレットに29.5億USDTを送金しており、再びハッキングされることはないと述べています。

サポートと流動性の対応

Bybitは事件の後、迅速に行動し、潜在的な流動性の危機とユーザーの信頼の危機に対処するため、さまざまな関係者にサポートを求めました。信頼の危機：

• BitgetのETH借入：

• BitgetがBybitに4万ETHを緊急融資。Bitgetは、ユーザーのコイン引き出し圧力を緩和するため、Bybitのコールドウォレットアドレスに直接4万ETH（～1億590万ドル）の緊急融資を行いました。この融資は、同じ業界の取引所間の相互扶助の精神を示しています。

• ブリッジローン：BybitのCEOであるBen Zhou氏は、盗まれたETHの価値の約80%（～11.2億ドル）について、あるパートナーとブリッジローンの合意に達したことを明らかにしました。ローンの正確な出所は明らかにされていないが、Bitgetからのローンが含まれている可能性がある。ブリッジローンは、流動性を迅速に補充し、Bybitが市場で大量のETHを即座に購入する必要性を回避するための短期的な資金調達手段として意図されています。

• KuCoinは監視と凍結を支援：KuCoinのCEOは、盗まれた資金の流れを監視し、損失を軽減するために疑わしい資産を凍結するためにBybitを支援したと述べています。

• 財務監査と支払能力の証明：BybitのパートナーであるWeb3監査人のHackenは、準備金の証明に関する最新情報を発表し、Bybitの準備金は依然として負債を上回っており、ユーザーの資金は完全にバックアップされていると述べました。また、BybitのCEOであるBen Zhou氏は、Bybitには支払能力があり、ユーザー資産に対して1:1の保証があるため、ハッキング事件による損失が回復できない場合でも、Bybitはユーザーの損失を補填することができると述べています。

ユーザーの出金処理：BybitのCEOは、プラットフォームの出金機能は正常に動作していると述べ、99.994％の出金要求が完了したことを強調しましたが、多数の出金要求の処理に遅れが生じる可能性があることを認めました。

背景と発表業界動向

Bybit Exchange.left;">Bybit Exchangeの概要：2018年に設立され、シンガポールに本社を置くBybitは、デリバティブ取引に特化した暗号通貨取引所で、1,000万人以上のユーザーを抱え、業界で影響力のあるプレーヤーとなっている。

暗号通貨の盗難頻発：  近年、中央集権型の取引所は資金が集中するため、ハッカーにとって価値の高い標的となっている。2024年の世界の暗号通貨の盗難額は23億ドルで、今回のBybitの事件で盗まれた金額は昨年の業界の盗難額の60％以上であり、業界のセキュリティ状況を浮き彫りにしている。今回の事件は、業界のセキュリティ状況の深刻さを浮き彫りにしている。以前にも、Ronin Networkのような有名なプロジェクトが大規模な盗難に遭っており、ハッキング技術は進化し続けており、集中型プラットフォームは継続的なセキュリティ上の課題に直面していることを示しています。

事前の警告と長期的な計画： セキュリティ機関Slow Mistは、悪意のある契約が2月19日の時点で展開されていたことを明らかにしました。

インシデントの原因分析

技術的脆弱性とソーシャルエンジニアリング攻撃：

攻撃者は、Bybitのマルチシグネチャコールドウォレットの署名プロセスの脆弱性を悪用し、トランザクションインターフェースを偽装し、Safe実装コントラクトを置き換えることで、マルチシグネチャの所有者を騙して悪意のあるトランザクションに署名させた可能性があります。

攻撃者は、署名者のコンピュータや仲介者の通信にハッキングするなど、ソーシャルエンジニアリングの手口（昨年10月の攻撃を参照）を組み合わせて、正常なトランザクション要求を悪意のあるものに置き換え、署名者の警戒心を低下させた可能性があります。

DELEGATECALL`コマンドは悪意のあるコントラクトで悪用され、悪意のあるコードが複数署名者のウォレットのコンテキストで実行され、コントラクトのロジックを変更して資金を送金できる可能性がありました。

中央集権型取引所に内在するリスク：

中央集権型取引所は、ユーザーの資金を一元的に管理するカストディアンとして、当然ながら"BybitのCEOであるBen Zhouは、2020年の時点で、CEXに内在するこの脆弱性を公に認めていました。

外部要因：

2025年2月の暗号通貨市場全体の反発とETH価格の上昇が、ハッカーたちの窃盗意欲を煽った可能性があります。

ZkLendなどの他の暗号プラットフォームに対する最近の攻撃は、業界全体のセキュリティ環境の悪化の可能性を反映しています。

影響

Bybitへの直接的な影響：

甚大なもの。資金の損失：15 億ドルの資産が盗まれ、これはBybitのETH預金の大きな割合（～75%）に相当し、取引所に直接的な財務上の損失をもたらしました。

ユーザーの信頼と引き出し:  大規模な盗難は、Bybitのプラットフォームのセキュリティに対する信頼の危機を引き起こし、引き出しの集中とプラットフォームの流動性への大きな圧力につながった可能性があります。

ETH価格の短期的な変動：事件後、ETH価格は約3％の短期的な下落を経験し、事件に対する市場の否定的な感情を反映した。

風評被害： Bybitの積極的な対応と支払能力の重視にもかかわらず、この事件は間違いなくBybitの評判にマイナスの影響を与えました。

暗号通貨業界への影響:

CEXの信頼危機の悪化: Bybitの事件は、集中型取引所のセキュリティに対する懸念をさらに高めた。Bybit事件は、中央集権的な取引所のセキュリティに対するユーザーの懸念をさらに高め、一部のユーザーが資金を分散型取引所（DEX）に移したり、より安全な資産保管ソリューションを選択するよう促す可能性がある。

規制圧力が高まる可能性： 歴史的に、大規模な取引所のセキュリティ事件は規制当局の注目と関与につながっており、Bybit事件は各国の規制当局がCEXに対するセキュリティ監査とコンプライアンス要件を強化するよう促す可能性があります。

業界のセキュリティアップグレードの促進:  今回の事件は、取引所、セキュリティ機関、開発者コミュニティが協力して、技術的なセキュリティとガバナンスメカニズムの包括的なアップグレードを促進し、業界全体のセキュリティレベルを向上させるよう促す、暗号セキュリティの重要な転換点になるかもしれません。

イーサフォークの議論を誘発する可能性： コインベースのディレクターであるコナー・グローガン氏と暗号通貨業界の著名人であるアーサー・ヘイズ氏は、今回の事件がDAO事件後に発生したようなイーサのフォークを誘発する可能性があるかどうかについて公に議論していますが、フォークを求める声はより積極的なものかもしれません。フォークを求める声は過激かもしれませんが、事件の深刻さと、業界が極端なシナリオを検討する可能性を反映しています。

業界の反応

Bybit公式:  BybitのCEOであるBen Zhou氏は、事件の詳細をいち早く公表し、ソーシャルメディアやライブストリーミングを通じてユーザーとコミュニケーションをとっています。Bybitの公式声明によると、関連当局に事件を報告し、セキュリティ機関と協力して調査および資金の追跡を行っているとのことです。

監査セキュリティ企業：SlowMist、Beosin、およびその他のブロックチェーンセキュリティ企業は、攻撃の技術的詳細を分析し、盗まれた資金を追跡するためにBybitを支援し、業界に対してセキュリティ警告を発するために迅速に介入しました。

中央集権型取引所（CEX）の仲間であるBitget、KuCoin、MEXC、Jucoin などは、Bybitへの支援を公に表明し、財政的・技術的支援を提供しました。BitMartは不審なアドレスを凍結することを約束し、CoinSafeの創設者であるZhao Changpeng氏も、CoinSafeは必要であれば協力すると述べている。業界をリードする取引所の集団的な連帯と相互支援は、業界のセキュリティリスクに取り組む姿勢を示している。

コミュニティとアナリスト:  暗号通貨コミュニティと業界アナリストは、概してこの事件を懸念している。一部のユーザーはBybitの透明性のあるコミュニケーションを認めていますが、多くのユーザーはCEXのセキュリティに関する一般的な懸念を表明しています。アナリストによると、この事件によりCEXは、マルチシグネチャメカニズム、スマートコントラクトのセキュリティ監査、および内部セキュリティプロセスを再検討し、改善するよう促される可能性があります。

概要

Bybit取引所の15億ドルの盗難は、暗号通貨業界史上最大の単独資金損失であり、集中型取引所のセキュリティに対するリスクについて再び警鐘を鳴らしています。中央集権型取引所のセキュリティ・リスクについて、再び警鐘が鳴らされている。技術的な抜け穴とソーシャル・エンジニアリングの手法を駆使したハッカーによる計画的な攻撃は、取引所の複数のセキュリティ防御を突破し、莫大な経済的損失と信頼の危機を引き起こした。

Bybitが予期せぬセキュリティ事故を起こしたにもかかわらず、その迅速な対応と比較的オープンで透明性の高い対応により、市場の不安は効果的に緩和された。さらに心強いのは、同業者からの支援とセキュリティ機関からの積極的なサポートであり、これは暗号通貨コミュニティが結束して互いに気を配っていることを十分に示している。この事件は、この業界のリスクを思い起こさせる一方で、暗号空間が成熟し、強い回復力を持っていることを示している。

今後、暗号通貨業界はこの事件により、セキュリティの包括的なアップグレードを迎えるかもしれない。中央集権的な取引所は、技術的なセキュリティへの投資を引き続き強化し、マルチシグネチャ・ウォレット、スマートコントラクト、内部リスク管理におけるセキュリティ保護のレベルを向上させる必要があるだろう。規制当局もまた、業界の健全かつ秩序ある発展を促進するため、CEXのコンプライアンス監督をさらに強化する可能性が高い。ユーザーにとって今回の事件は、資産の安全性が暗号通貨市場に参加する上で常に第一の考慮事項であり、リスクを合理的に分散し、より安全な資産保管ソリューションを選択することがますます重要であることを改めて思い起こさせるものです。

更新（2025年2月22日09:55 HKT現在）

BybitはWeb3監査人Hackenと提携し、プラットフォームの支払能力を確認する準備金証明書を発行しました。

BitgetやMEXCなどの取引所は、流動性の圧力を緩和するため、ETHとstETHの借り入れをBybitに提供し続けています。

KuCoinは資金の流れを監視し、疑わしい資産を凍結することでBybitを支援しています。

Safeは完全なセキュリティチェックのため、ウォレット機能を公式に停止します。

CoinSafeの創設者であるZhao Changpeng氏は、CoinSafeはBybitから正式に借り入れを行っておらず、資金移動は巨大クジラの個人的な行為であった可能性があると明らかにしました。

チェーン探偵ZachXBTは、Lazarus Groupが攻撃の首謀者であることを確認しました。

BybitハッカーがcmETHを解除しようとしたところ、契約によって返されました。
BybitのCEOは、すべての引き出しが処理され、完全なインシデントレポートが公開されると述べています。