BigONE、サプライチェーン攻撃で複数資産を喪失
仮想通貨取引所BigONEは2025年7月16日(水曜日)、サプライチェーン攻撃によりホットウォレットシステムが侵害され、約2,700万ドル(約40億円)相当の資産が流出したと発表した。
同社は秘密鍵の漏えいはなく、影響を受けたユーザーに対し全額補償を約束している。
BigONEのセキュリティチームが異常な取引を検知したことで攻撃が判明。調査により、サードパーティの脆弱性を悪用し、攻撃者は稼働中のシステムに侵入。アカウント管理やリスク制御に関するサーバーロジックを改変し、通常の警告を回避して資産を不正に引き出した。秘密鍵自体は侵害されておらず、攻撃はシステムの根幹を狙う高度な手法だった。
被害総額は約2,700万ドルで、120BTC、350ETH、800万USDTに加え、ソラナ、ドージコイン、XIN、SHIB、CELR、UNI、LEO、SNTなどのトークンが含まれる。PeckShieldの分析では、盗まれた資金はイーサリアム(Ethereum)やBNB Chain、Tron、Bitcoin、Solanaをまたぐクロスチェーンロンダリングで拡散され、追跡を困難にしている。今回の攻撃は、外部委託先を狙うリスクを改めて浮き彫りにした。
補償対応と高まる警戒感
BigONEはSlowMistやPeckShieldと連携し、攻撃者のウォレットアドレスを公開し資金移動を追跡中だ。
補償については、セキュリティ準備金を活用し主要資産をカバー、その他トークンは外部流動性を調達して対応する計画だ。入金と取引は再開済みで、出金は追加セキュリティ強化後に復旧予定。同社は最新情報をリアルタイムで共有し、透明性を確保するとしている。
オンチェーン分析で知られるZachXBT氏は、BigONEが過去に不正取引を処理してきたと批判し、今回の事例を「業界における自然な浄化」と表現した。この事件は、分散型取引所GMXが4,200万ドル(約62.3億円)の被害を受けた直後に発生しており、仮想通貨業界全体で攻撃手法の巧妙化と包括的なセキュリティ対策が急務となっている。今後はウォレット保護に加え、外部委託先や基盤システムの防御強化が新たな標準となる可能性が高い。
