Zenn
Komlock labPublicationへの投稿
💸

暗号資産史上最大のBybitハッキング事件と北朝鮮の天才ハッカー集団ラザルスの脅威

Natsuki Yamaguchi
に公開
ブロックチェーン
Solidity
Web3
hacking
etherum
idea

こんにちは!Web3特化の開発会社 Komlock lab CTOの山口夏生です。
今回は、2025年2月22日に発生したBybitの大規模ハッキング事件をもとに、北朝鮮政府支援ハッカー「ラザルスグループ」の脅威を振り返り、そこから学べるセキュリティの教訓についてお話しします。

先日、Ledgerの共同創業者が誘拐され身代金が要求される事件があったばかりなのに、物騒な世の中ですね。暗号資産・ブロックチェーン業界に携わる開発者として、今後どのように備えていけばいいのかも含めて考えてみましょう!

本記事でカバーする内容:

  1. 史上最大規模のByBitハッキング事件と北朝鮮の天才ハッカー集団ラザルス
  2. 過去起きたハッキング事件事例TOP10
  3. Web3開発者の今後のリスク対策

2,100億円相当の不正流出:Bybitハッキング事件

2025年2月22日、大手暗号資産取引所Bybitのコールドウォレットから、約40万ETH(イーサリアム)と関連資産(mETH、stETHなど)合わせて 2,100億円相当(約15億ドル) が不正流出しました。

BybitのETHマルチシグコールドウォレットが約1時間前に私たちのホットウォレットに送金を行いました。この特定の取引のURLは@safeからのものでしたが、署名メッセージはETHコールドウォレットのスマートコントラクトロジックを変更するものでした。その結果、ハッカーが私たちが署名した特定のETHコールドウォレットを掌握し、コールドウォレット内のすべてのETHをこの不明なアドレスに送金してしまいました。他のすべてのコールドウォレットは安全であることをご安心ください。
すべての引き出しは通常通り行われています。

業界史上最大級の被害額ということで、わずか24時間のうちにユーザーから40億ドル以上が引き出される「バンクラン」が起こり、取引所残高が169億ドルから112億ドルへ急減。暗号資産市場にも大きな動揺が走りました。

幸い、BybitはBinanceやBitgetなど他取引所からの緊急支援を受け、約35万件の出金リクエストを迅速に処理。翌日には入出金がほぼ平常水準に戻り、ユーザーのパニックは一時沈静化しました。
ただ、コールドウォレット&マルチシグといった「堅牢性が高いはずの仕組み」からあっという間に数千億円相当が盗まれる――これこそが本事件の大きな衝撃ポイントです。

攻撃の手口:巧妙な人的ミスの誘発

今回のハッキングは、システムの技術的脆弱性を直接突くのではなく、マルチシグ署名者の確認をだます「ソーシャルエンジニアリング攻撃」 によって行われたとみられています。
署名者に「正規のトランザクション」と誤認させ、実際は攻撃者のアドレスへ巨額のETHを送金させる手口です。

背後にいると疑われるのが北朝鮮政府支援のハッカー集団「ラザルスグループ」で、過去にAxie InfinityのRoninブリッジ(6.25億ドル被害)など、似たような方法で大規模に暗号資産を奪取してきた経緯があります。
彼らは人間の心理や組織の承認プロセスを狙い撃ちして攻撃することに長けており、ウォレットの鍵や多重署名の仕組み自体を破るよりも効率的に資金を盗んでいくのが特徴です。

被害と洗浄の過程

ハッカーは盗んだ資金の一部を、ソラナ上に新たに作ったミームトークン「始皇帝(QinShihuang)」に混ぜ込む形で洗浄を試みたようです。
とはいえオンチェーン追跡の進化により、結局は不自然な動きが発見され、プラットフォーム側も早めに対処。完全なマネーロンダリングには至らなかったとみられます。
この事件によって、「ブロックチェーンだから安全」ではなく、人的運用やトランザクション承認フローがいかに重大なリスクとなり得るかが再度浮き彫りになりました。

今回起きた事件のシーケンス図

ラザルスの歴史と“国家ぐるみ”の暗号資産略奪

「ラザルス」は北朝鮮政府の諜報機関が後ろ盾となり、2009年頃から世界各地でサイバー攻撃を繰り返してきたとされる集団。
ソニー・ピクチャーズ(2014年)やバングラデシュ中央銀行(2016年)への大型ハッキング、ワナクライ(WannaCry)ランサムウェア拡散(2017年)などで知られ、近年は暗号資産分野を主戦場にしています。

大型暗号資産ハックの実績

  • Axie Infinity Roninブリッジ(2022年): 約6.25億ドルのETH/USDCを盗難
  • Harmony Horizonブリッジ(2022年): 約1億ドル相当を流出
  • Atomic Wallet、CoinsPaid、Stake.com、CoinEx など(2023年): 数千万〜1億ドル規模のハッキングが相次ぎ、アメリカ当局も警戒を強めている

北朝鮮は国連制裁下で外貨不足が深刻とされ、こうした暗号資産窃盗が国の財政を支える一手段になっているとの見方もあります。
米政府は「北朝鮮が盗んだ暗号資産の一部が核開発やミサイル計画に流れている」と警告しており、今や国家安全保障レベルの問題に発展しています。

攻撃手法の進化

ラザルスは当初こそDDoS攻撃などシンプルなアプローチも使っていましたが、今ではゼロデイ脆弱性の悪用・カスタムマルウェア開発・精巧なソーシャルエンジニアリングなど、最先端のサイバー技術を駆使するまでに発展。
特に人間や組織の脆弱性に付け込む手口(偽求人オファー、フィッシングサイト、ディープフェイク利用など)が多く確認されており、「人間をだます技術」 が最強の武器になっています。

ラザルスの攻撃手口:テック+人間操作のハイブリッド

  1. マルウェア&トロイの木馬

    • 偽の暗号資産アプリ(例:AppleJeus)やマルウェア入りドキュメントを使い、企業や個人のPCにバックドアを仕込む
    • 秘密鍵情報を抜き取ったり、内部ネットワークに侵入して権限を奪取

  2. フィッシング&ソーシャルエンジニアリング

    • LinkedInで「高給与ポジションのヘッドハンティング」を装い、標的社員にマルウェアを送付
    • 人事担当者や経営陣になりすまして、従業員に偽承認を依頼するビジネスメール詐欺(BEC)
    • AIを使ったディープフェイクで、ビデオ会議中にも他人になりすまし

  3. スマートコントラクト&ブロックチェーンの悪用

    • 多重署名ブリッジ(Ronin、Harmonyなど)の緩い運用を突き、ノード管理者の秘密鍵を乗っ取る
    • 新規トークンを発行して資金洗浄するなど、チェーン上の仕組みを逆手に取る

  4. 資金洗浄テクニック

    • ミキサー(Tornado Cashなど)やプライバシーコイン(Moneroなど)の利用
    • 複数のチェーンを渡り歩いてトレースを妨害
    • 新たなミキシングサービスや複雑なスワップ操作で捜査をかく乱

他国の国家ハッカーとラザルスの比較

ロシア・中国・イランなどにも国家支援ハッカー集団が存在しますが、ラザルスほど 「外貨獲得のため暗号資産を積極的に盗む」 集団は珍しいとされます。

  • ロシア系: 政治干渉やランサムウェアが中心。国家と犯罪組織がグレーに連携
  • 中国系: 主に技術情報の窃取が目的。APT41は副業で金銭目的ハッキングも
  • イラン系: 地域紛争や宗教的動機が強く、大規模な暗号資産窃盗は少ない

いずれも高度な攻撃能力を持ち、今後の国際関係次第ではブロックチェーンを標的にした金銭的攻撃を増やす可能性があります。
また「国家支援」と「民間犯罪集団」の境界があいまいになりつつあり、世界的なサイバー脅威は一層複雑化しています。

Web3史上最大のハッキング事件ランキング

一口に「暗号資産のハック」と言っても、その被害規模や手口は事件ごとにさまざま。
ここでは、被害額を基準に歴史的に大きなインパクトを与えた主なハッキング事件をランキング形式でご紹介します。
それぞれの発生日時、被害額、攻撃手法、影響範囲を振り返ることで、暗号資産の脆弱性と対策の重要性を改めて再確認しましょう。

1. Bybitハック – 約14.3億ドル(2025年2月)

  • 発生年月日: 2025年2月(発覚は2月22日)
  • 被害額: 約14.3億ドル相当(401,346 ETH、90,375 stETH 他)
  • 攻撃手法: フロントエンド偽装による社会工学攻撃。マルチシグ署名者に“正規の取引”に見えるUIを提示し、実際はウォレット契約のロジックを改ざん。
  • 影響範囲: 過去最大級の流出額であり、コールドウォレットやマルチシグの安全神話を大きく揺るがした。
    北朝鮮系「ラザルス」が関与した可能性が高いとされ、ウォレット実装や運用フロー全般を見直す動きが業界に広がった。

2. Ronin Networkハック – 約6.2億ドル(2022年3月)

  • 発生年月日: 2022年3月23日
  • 被害額: 約6.2億ドル相当(ETHおよびUSDC)
  • 攻撃手法: Axie Infinityのブリッジのバリデータノード支配。偽求人PDFで社員端末にマルウェアを仕込み、秘密鍵を奪取。
  • 影響範囲: DeFiブリッジ最大級の被害。北朝鮮ラザルスが犯行声明を出しており、ブリッジセキュリティの脆さを痛感させる事件となった。

3. Poly Networkハック – 約6.1億ドル(2021年8月)

  • 発生年月日: 2021年8月10日
  • 被害額: 約6.11億ドル相当
  • 攻撃手法: クロスチェーンスマートコントラクトの権限管理バグを突き、ネットワーク上の資金移動を不正操作。
  • 影響範囲: ほぼ全額返還という異例の展開に。結果的にはユーザー被害が回避され、「ホワイトハッカー的犯行」とも呼ばれた。

4. BNBチェーンブリッジハック – 約5.7億ドル(2022年10月)

  • 発生年月日: 2022年10月6日
  • 被害額: 約5.69億ドル(2百万BNBを不正発行)
  • 攻撃手法: ブリッジのメッセージ検証不備による偽発行。
  • 影響範囲: BNBチェーンを一時停止して被害拡大を防止。バイナンスが補償を約束し、ユーザーへの直接的な損失は抑えられたものの、ブリッジのセキュリティ課題が再浮上した。

5. Coincheckハック – 約5.3億ドル(2018年1月)

  • 発生年月日: 2018年1月26日
  • 被害額: 約5.32億ドル(523億円相当、NEM〈XEM〉)
  • 攻撃手法: 取引所ホットウォレットへの不正アクセス。巨大なNEM残高を一括で単一署名ホットウォレットに置いていた。
  • 影響範囲: 同社は自己資金でNEM分を補償。国内取引所のセキュリティ基準が大きく厳格化されるきっかけとなった。

6. FTXウォレット流出 – 約4.7億ドル(2022年11月)

  • 発生年月日: 2022年11月12日(破産申請当日の深夜)
  • 被害額: 約4.77億ドル相当
  • 攻撃手法: 破産直後の内部犯行またはシステム管理権限の悪用が疑われる。
  • 影響範囲: すでに破綻状態だったFTXの追加資産が失われ、債権者への返済原資がさらに減少。経営破綻とハッキングが重なった最悪の事態。

7. Mt. Goxハック – 約4.5億ドル(2014年2月)

  • 発生年月日: 2014年2月(複数回の侵害が最終的に表面化)
  • 被害額: 約4.73億ドル相当(65万BTC)
  • 攻撃手法: 長期にわたるホットウォレットへの侵入・不正送金。
  • 影響範囲: 当時世界最大のビットコイン取引所が崩壊。数十万人規模のユーザー資金が消失し、暗号資産の信頼を大きく損ねた。

8. Wormholeブリッジハック – 約3.25億ドル(2022年2月)

  • 発生年月日: 2022年2月2日
  • 被害額: 約3.25億ドル相当(wETH 120,000ETH相当)
  • 攻撃手法: スマートコントラクトの更新が未適用だった隙を突き、署名検証をバイパスし偽wETHを発行。
  • 影響範囲: 運営元が不足ETHを補填し、ユーザー影響はゼロ。ブリッジへの攻撃リスクがまたしても浮き彫りに。

9. DMM Bitcoinハック – 約3.04億ドル(2024年5月)

  • 発生年月日: 2024年5月28日~30日
  • 被害額: 約3.04億ドル(4,502 BTC)
  • 攻撃手法: 取引所ホットウォレット鍵の流出説が有力。署名システムまたは送金先偽装の可能性。
  • 影響範囲: 直後に出金停止。取引所は「顧客BTCを全額補償」と声明。国内3番目の大被害として話題に。

10. KuCoinハック – 約2.8億ドル(2020年9月)

  • 発生年月日: 2020年9月25日
  • 被害額: 約2.81億ドル相当
  • 攻撃手法: 取引所ホットウォレットの秘密鍵奪取。フィッシングや内部端末侵害が原因と推定。
  • 影響範囲: 発行元や他取引所と連携し、盗まれたトークンの大部分を凍結・再発行で回収成功。最終的には84%の資金を取り戻す。

これからWeb3の開発者はどうしていくべきか


AIの想像するWeb3のセキュアだけど面倒な承認プロセス

1. セキュリティマインドと予算確保

Web3領域はスタートアップ的なスピード感を重視しがちですが、銀行並みのセキュリティ意識が求められます。

  • セキュリティ専門人材を十分に確保する
  • コード監査・ペネトレーションテストに予算を割く
  • ソーシャルエンジニアリングに対する社内トレーニングを実施する

大企業や金融機関のような大掛かりな仕組みをすぐに用意するのは難しくても、最低限の防御ラインは必ず設定しましょう。

2. 複数人チェック&オフライン管理の徹底

RoninやBybitのケースのように、最終的な署名や承認が1〜2人のチェックで済む体制だとハッカーに狙われやすいです。

  • マルチシグに加え、多段階の承認フロー(社内全員のオフライン端末でダブルチェックするなど)を導入
  • 重大トランザクションにはオフラインでしか承認できない仕組みを設ける
  • 不審なトランザクションを検知したら自動的に一時停止(サーキットブレーカー)する

セキュリティと利便性や工数はトレードオフの関係にあるので、どこまでやるかはプロジェクト次第ですが、数百億円を管理するウォレットの操作は極限まで面倒にしていくことが重要かもしれません。

3. コード・スマートコントラクト監査は当たり前

DeFiやブリッジを新しく作るなら、監査を複数のセキュリティ企業に依頼するのがベストです。

  • 外部監査+バグバウンティプログラムを常に実施
  • 自社内でも形式的検証ツールなどを使い、コードバグを減らす
  • 重要権限を持つコントラクトには時間遅延や緊急停止機能を組み込む

4. オンチェーン監視と早期検知システム

ハッカーの資金移動はブロックチェーン上に残るため、リアルタイムのモニタリングが有効です。

  • 異常な資金流出を瞬時に発見し、該当アドレスを取引所間でブロックリスト化
  • ラグプルやフラッシュローン攻撃が疑われる動きも自動で検出

Chainalysisなどブロックチェーン解析ツールを導入し、動的にアラートを出せる体制を整えましょう。

5. コミュニティとの連携と情報共有

ラザルスのような高度なAPT集団に対抗するには、業界全体で連携するのが効果的です。

  • 攻撃発覚時に素早く情報共有し、関連アドレスを凍結
  • 他取引所やウォレットプロバイダ、法執行機関と協力し、資金回収を最大化
  • バグバウンティやホワイトハッカーとの協働を通じて、弱点を早期発見

まとめ:サイバー攻防戦の時代を乗り切るために

Bybit事件は、人的オペレーションのスキを突かれ、コールドウォレットから数千億円相当がごっそり盗まれる恐怖を私たちに突きつけました。背後には北朝鮮政府支援のラザルスグループという国家級ハッカーがいる可能性が高く、今後も暗号資産分野への攻撃が激化するのは確実です。

Web3の開発者としては、技術的なセキュリティだけでなく人間の判断ミスや社会的エンジニアリングへの対策を優先度高く取り組むことが大切です。

  • 開発初期から監査や多層的防御を盛り込み、「攻撃されるのが当たり前」 という前提で運用する
  • 大きな被害を未然に防ぐためのサーキットブレーカーや異常検知、コミュニティ連携を常にアップデートする
  • ユーザーにもリスクや対策を丁寧に伝え、「信頼を創り出す努力」 を続ける

ブロックチェーンには、透明性や分散性など金融システムを革新できる力がありますが、同時に国家規模のハッカーをも引き寄せる巨大な魅力があることを忘れてはいけません。
私たちが安心してWeb3サービスを活用できるように、技術・運用・教育のあらゆる面でセキュリティを高め、業界全体で知見を共有していきましょう。

最後まで読んでいただきありがとうございます。何か質問やアイデアがあれば、ぜひお気軽にご連絡ください!

Web3 x AIAgent開発に注力しています!!

Komlock labはWeb3 AI Agentに注目して、実際のプロダクト開発や技術検証に日々励んでいます。
こちらは、先日のハッカソンの記事です。
https://zenn.dev/komlock_lab/articles/8f9702d9862dc0

Komlock lab エンジニア募集中

Web3の未来を共創していきたいメンバーを募集しています!!
気軽にDM等でお声がけください。
https://x.com/0x_natto

PR記事とCEOの創業ブログ
https://prtimes.jp/main/html/rd/p/000000332.000041264.html
https://note.com/komlock_lab/n/n2e9437a91023

Komlock lab もくもく会&LT会

web3開発関連のイベントを定期開催しています!
是非チェックしてください。
https://connpass.com/user/Komlock_lab/open/

Discordでも有益な記事の共有や開発の相談など行っています。
どなたでもウェルカムです🔥
https://discord.gg/Ab5w53Xq8Z

Komlock lab
Komlock labPublication

ブロックチェーンに特化したWeb3開発ラボ 境界を取り除いて、世界を再定義する エンジニア積極採用中!

Discussion