CoinDCX、内部ウォレット侵害で約4400万ドル流出
インド最大級の仮想通貨取引所CoinDCXは、内部ウォレットの侵害により約4,420万ドル(約65.5億円)の資産を失った。
今回の事件は即座には公表されず、オンチェーン調査機関ZachXBTによって暴露されており、発覚までに約17時間を要したことで、透明性と危機対応の在り方に批判が集まっている。
流出事件の概要
CoinDCXのスミット・グプタ(Sumit Gupta)CEO(最高経営責任者)は後に声明を発表し、攻撃が「高度なサーバー侵入」によるものであったことを認めた。
流出は提携取引所での流動性維持に使用されていた内部ウォレットに限定され、顧客資金はコールドウォレットで安全に保管されていると強調。また、同氏は「損失はすべて会社が負担し、ユーザーの残高には影響を与えない」と保証。取引やインドルピーの出金も通常通り稼働していると説明した。
さらに、CoinDCXは事件を受け、サイバーセキュリティ企業と協力し侵害経路の特定を進めており、影響を受けたウォレットは隔離済みだと明かした。今後の再発防止策として、バグ報奨金プログラムの導入を発表し、匿名の提携取引所と連携して資金の追跡やブロックにも取り組んでいる。
攻撃手法と資金移動の詳細
ZachXBT氏とブロックチェーンセキュリティ企業Cyvers(サイバーズ)の分析によれば、攻撃者はトルネードキャッシュ(Tornado Cash)経由で資金を受け取り、その後ソラナ(Solana)からイーサリアム(Ethereum)へとクロスチェーンブリッジを行った。
さらに、複数のアドレスやプロトコルを利用し、迅速かつ巧妙に資金を分散するロンダリング(資金洗浄)戦略が確認された。対象ウォレットはCoinDCXの公開する準備金証明には含まれておらず、タグ付けもされていなかったため、特定には高度な手動分析が必要だった。
Cyversは、今回の侵害を「中央集権型取引所を狙った一連の攻撃の一部」と指摘し、2024年第2四半期だけでWeb3損失の65%以上がCEX(Centralized Exchange:中央集権型取引所)関連で、その損失額は約5億ドル(約742.4億円)に上ると報告している。メイア・ドレフ(Meir Dolev)CTO(最高技術責任者)は「リアルタイムのウォレット監視と予防策は、もはやオプションではなく必須だ」と強調した。
業界への影響と教訓
今回の事件は、2024年に発生したWazirXの2億ドルハッキングに続く大規模な事例で、インドの仮想通貨市場に深刻な警鐘を鳴らした。
CoinDCXは透明性の欠如を指摘されたことを踏まえ、今後は迅速な情報開示とセキュリティ体制の強化に注力する必要がある。業界全体でも、堅牢な防御策と説明責任が信頼維持のカギとなるだろう。
