Web3業界で業務を遂行するうえで、必ず押さえておくべき知識をAIの力を借りて整理しました。弊社では今後、より多くの業種・業態にブロックチェーンを導入する案件の受注や自社における新規事業開発に取り組む予定です。そのためにもこうした基礎知識は不可欠であると考え、整理した本資料を公開いたします。
約25,000字の長文ですので、気になる章だけかいつまんで読んでいただくのでも構いません。
1. エグゼクティブサマリー
Web3の拡大とともにスマートコントラクト脆弱性、クロスチェーンブリッジ、サプライチェーン侵害、国家支援型 APT(例:Lazarus Group)を含む高度化した攻撃が増加し、単一インシデント当たりの損失規模は拡大傾向にあります。従来の単純な境界防御や形式的監査のみでは不十分であり、「多層防御」「ゼロトラスト」「インシデント発生前提のレジリエンス(アンチフラジリティ)」が必須要件となっています。
本noteでは2025年7月現在までの主要な事件を取り上げ、今後どのように対策していく必要があるのかをまとめています。
2. 序論:進化する Web3 脅威環境
- Web3 の特性(分散化・不変性・自律執行)は価値創出と同時に攻撃面(attack surface)を拡大。
- 初期(Mt. Gox など)は中央集権型取引所の基本的オペレーション不備が主眼だったが、現在は スマートコントラクト論理欠陥 → プロトコル設計 → クロスチェーンサプライチェーン → 人的要因(ソーシャルエンジニアリング) へと主軸がシフト。
- 結果:セキュリティ戦略はコード監査単体から、運用・人的・第三者リスク管理を包含する統合ガバナンスへ再定義が必要。
歴史的背景:初期の暗号資産ハッキング(The DAO以前)
Web3セキュリティの課題を理解する上で、初期の暗号資産ハッキング事件は重要な前触れとなります。特にMt. Gox事件は、その後のWeb3空間で蔓延するリスクの理解の基礎を築きました。
1. 概要
当時世界最大級のビットコイン取引所 Mt. Gox(東京拠点)
- 主要発覚日:2014年2月(破綻申請=民事再生手続開始申立)
- 性質:長期にわたる秘密鍵・ウォレット管理不備と内部統制欠如によるビットコイン流出(単発攻撃ではなく慢性的漏えいが蓄積したとされる)
2. 流出規模(公表ベース)
- 表明された欠損:当初「約85万 BTC(顧客 + 自社)喪失」 → その後 20万 BTC を旧ウォレットで発見
- 純損失規模(当時推定):約65万 BTC 近辺(発覚時レート換算で約4億〜5億ドル相当。現在価値では桁違い)
3. 技術的・運用上の主因(指摘されている要素)
- ホット/コールドウォレット管理と秘密鍵保護の不備(アクセス制御・分離欠如)
- 取引所内部台帳とオンチェーン残高突合の体制不備(異常検知遅延)
- “トランザクション展性(transaction malleability)”を口実にした入出金不整合の看過(根本的には監査・再集計プロセス欠如)
- 開発/運用の単独依存と職務分離 (SoD) 不足、外部独立監査の欠如
4. 影響
- 顧客資産大規模凍結 → 長期的弁済手続(民事再生)
- 日本を含む各国規制当局の監督強化(後続の国内交換業登録制度整備を加速)
- グローバルに「取引所カウンターパーティリスク」「プルーフ・オブ・リザーブ(準備金証明)」議論を喚起
Web3セキュリティの舞台設定
暗号資産ハッキングの進化は技術の成熟度と密接に関連しています。Mt. Goxのような初期のハッキングは主に基本的なセキュリティ衛生問題に起因する中央集権的な単一障害点(取引所、ホットウォレット)を標的としていました。しかし、Web3が進化するにつれて攻撃ベクトルも変化し、スマートコントラクトのロジック、分散型プロトコル、そして複雑なサプライチェーンの侵害へと移行していきました。この進展はセキュリティ戦略が基本的な境界防御を超え、詳細なコード監査、プロトコルレベルのセキュリティ、サプライチェーンの完全性までを網羅するように、継続的に適応する必要があることを示しています。攻撃者と防御者の間の「ゲーム」は複雑さの面で絶えずエスカレートしています。
3. 起点:The DAO ハッキング(2016)
The DAOの背景と意義
The DAOは2016年にイーサリアムブロックチェーン上で立ち上げられた画期的な分散型自律組織(DAO)でした。トークンセールを通じて1億5,000万ドル相当のETHを調達し、当時としては史上最大規模のクラウドファンディングキャンペーンの一つとなったのです。これは分散型ガバナンスと投資における初期の野心的な実験であり、当時の全流通ETHの約14%を保有していました。
リエントランシー脆弱性の詳細な分析
- 脆弱性: このハッキングは「リエントランシー攻撃」を悪用したものです。攻撃者はスマートコントラクトが各要求後にアカウント残高を更新する前に同じ関数を繰り返し呼び出すことで、資金を複数回引き出すことができました。
- 盗難額: 約5,000万ドル相当のETHが盗まれました。
防御可能性と、物議を醸したイーサリアムのハードフォーク
- 防御可能性に関する議論: The DAOのコードの脆弱性については、トークンセールが終了する前から懸念が提起されていました。責任はSlock.itチーム(脅威予測の限界、リスク管理の不備、不透明なトークンセール)、イーサリアムのコア開発者やキュレーター(セキュリティや透明性の確保不足)、そして広範なコミュニティ(非合理的な投資、意思決定への参加不足)に多岐にわたって分散されました。根本的な問題は適切なセキュリティ監査の欠如と、斬新なスマートコントラクト設計に伴うリスクの明確な理解不足でした。
- ハードフォークに関する議論: このハッキングはイーサリアムコミュニティ内で盗まれた資金への対応方法を巡る激しい議論を引き起こし、最終的にハードフォークの投票が行われました。
- ハードフォーク賛成派: The DAOのハッキングは分散型プラットフォームとしてのイーサリアムの基盤に対する重大な組織的脅威であると主張し、ブロックチェーンの「不変性」の原則に反しても盗まれた資金を回復し、信頼を回復するために迅速な行動が不可欠であるとしました。彼らは技術的な規範(不変性)よりも社会的な規範(窃盗の防止)を優先しました。
- ハードフォーク反対派: 市場が結果を決定すべきだと考え、ハードフォークは分散化に反し、将来的な介入の危険な前例となると主張しました。
- 結果: 最終的にハードフォークが実行され、イーサリアムの履歴は攻撃以前の状態に巻き戻され、投資家が資金を引き出せるように資金が別のスマートコントラクトに再割り当てされました。これにより、ネットワークはイーサリアム(フォークされたチェーン)とイーサリアムクラシック(元のフォークされていないチェーン)の2つの異なるブロックチェーンに分裂する結果となりました。
The DAOのハッキングはリエントランシーのバグによって引き起こされ、主要なブロックチェーンにおける最初の哲学的かつ技術的な危機に直接つながりました。この危機は不変性と資金回復のどちらを選択するかという決定を迫り、結果としてチェーンの分裂を引き起こしました。この大規模な損失と脆弱性の性質(コアプロトコルではなくアプリケーションのバグ)は、イーサリアムコミュニティに、ブロックチェーンの不変性を維持するか、それとも介入して盗まれた資金を回復するかという根本的なジレンマに直面させました。ハードフォークの決定は議論の余地がありましたが、極端な状況下でのコミュニティガバナンスと介入の前例を確立しました。これはまた、「コードは法である」という原則が常に絶対的ではないことを示し、特に重大な社会的および経済的影響が懸念される場合には、その原則が揺らぐ可能性があることを示唆しています。この議論は分散型システムが技術的な純粋さと実用的な現実のバランスをどのように取るべきかについて、現在も影響を与え続けています。
スマートコントラクトセキュリティと不変性に関する議論への影響
- コミュニティの分裂: ハードフォークは永続的な分裂をもたらし、イーサリアムクラシックを生み出しました。この組織的な失敗はしかしながら、深い教訓ともなりました。
- The DAO技術の汚名: The DAO自体は「欠陥のある実験的なアプリケーション」や「ブロックチェーンの失敗したアイデアの一つ」として広く汚名を着せられ、同様の事件を防ぐためのブロックチェーンセキュリティにおけるイノベーションの波を引き起こしました。
- イーサリアムブロックチェーン技術の保護: 論争にもかかわらず、コアとなるイーサリアムブロックチェーン技術とその主要な機能は概ね擁護され、ハッキングの責任は基盤となるプロトコルではなく、The DAOの特定のスマートコントラクトの脆弱性に主に帰せられました。これはブロックチェーンシステムがモジュール構造であるため、アプリケーションレベルの障害をコアプロトコルから分離できることを示しました。
- スマートコントラクト監査の教訓: この事件はデプロイ前に厳格なスマートコントラクト監査、形式的検証、および安全なコーディング慣行が極めて重要であることを深く強調しました。
The DAOハッキングは、新興のイーサリアムエコシステムにとって残酷ながらも非常に価値のあるストレステストとなりました。この事件は技術的な脆弱性だけでなく、危機に直面した際の分散型ガバナンスと意思決定の複雑さも露呈させたのです。これは単なる技術的なバグにとどまらず、真に分散化されたシステムにおける社会的および組織的な課題を浮き彫りにしました。・誰が責任を負うのか?・誰が決定を下すのか?・危機においてコンセンサスはどのように形成されるのか?この事件は、イーサリアムコミュニティがガバナンスメカニズムを急速に成熟させることを余儀なくさせました。分散化が中央集権的な単一障害点に対するレジリエンスを提供する一方で、調整と迅速な対応において新たな複雑さを導入し、強力なコミュニティリーダーシップとコミュニケーションフレームワークが必要であることを強調したのです。教訓(要約):
- 形式的監査不足とリスク認識の過小評価。
- コードレベル不具合が社会的・哲学的コンセンサス危機に直結。
- 「コードは法」の絶対性は限定的で、重大インシデント時には社会的合意形成プロセスが優先され得る。
4. 主要なWeb3ハッキング事件の年表(2018年~現在)
2018年から現在までの期間は、Web3セキュリティ侵害の頻度、高度化、および金銭的影響が劇的に増加しました。2024年にはブロックチェーンセキュリティ事件による総損失額は410件の事件で20億1,300万ドルに達し、DeFiが最も頻繁に標的となるセクターであり続けました。2025年上半期だけでも121件のセキュリティ事件で約23億7,300万ドルの損失が発生し、事件数は減少したにもかかわらず、2024年上半期と比較して総損失額は約65.94%増加しました。2025年上半期には、Bybitハッキングが主な原因となり、中央集権型取引所プラットフォームが18億8,300万ドルという驚異的な損失を計上しました。Web3ハッキングによる総損失額は事件数が減少することもあるにもかかわらず、年々増加しているという傾向が見られます。これは攻撃がより大きな影響を与えるようになり、より大規模な資産プールを標的としていることを示唆しています。事件の件数が減少しているにもかかわらず盗難総額が大幅に増加していることは、攻撃者が高価値の標的をより効率的に悪用しているか、Web3プロトコルにロックされた価値が増加しているため、個々のハッキングがより利益をもたらすようになっているかのいずれかを示唆しています。この傾向はあらゆる事件の防止から、影響の大きい事件の防止に焦点を移す必要性を示しています。また、Web3プロジェクトにおける「失敗のコスト」が劇的に上昇しており、セキュリティ予算と慣行に多大な圧力をかけていることも示唆されます。
中央集権型取引所(CEX)は攻撃者にとって依然として非常に魅力的な標的であり、2025年上半期で最大の単一損失(Bybit)を占めています。2025年上半期においてDeFiは最も頻繁に標的となるセクター(全事件の76.03%)でしたが、CEXは同期間に「驚異的な18億8,300万ドルの損失」を計上し、Bybit事件が最も深刻なケースでした(14億6,000万ドル)。この事実はDeFiプロトコルがオープンソースの性質と実験的な設計によりより頻繁で小規模な脆弱性を示す一方で、CEXは集中したユーザー資金の巨大なハニーポットを形成し、洗練された高価値攻撃の主要な標的となっているという二元性を浮き彫りにしています。したがって、セキュリティ戦略はDeFiとCEXを区別する必要があります。CEXの場合、国家支援型のアクターが関与することも多く、従来の企業レベルのサイバーセキュリティ(サプライチェーン、内部統制、秘密鍵管理)が最重要となります。DeFiの場合、スマートコントラクトの監査、バグバウンティ、コミュニティの警戒が極めて重要です。最大の経済的影響は、しばしばCEXに集中した資産から発生します。
表1:主要なWeb3ハッキング事件(2018年~2025年)脆弱性タイプ別分類
1. ホットウォレットの秘密鍵管理不備
概要:常時オンライン状態にあるホットウォレットは利便性の代償として、秘密鍵の漏洩・侵害リスクが高い。管理体制の甘さが致命傷に。
特徴:
- マルチシグ不使用 or 不十分な設定
- システム侵入ではなく「鍵の盗難」が主因
- 攻撃成功時、即時・高額の流出に直結
2. スマートコントラクト / クロスチェーンブリッジのバグ
概要:DeFiプロトコルやブリッジは複雑なロジックで資産管理を行うため、コードレベルのバグが発生しやすい。小さなバグが致命的損失に。
特徴:
- スマートコントラクトの検証不足
- クロスチェーンではメッセージ検証や署名処理にバグが出やすい
- 一般ユーザーも容易に模倣可能な脆弱性がある(例:Nomad)
3. サプライチェーン攻撃(特にフロントエンド)
概要:プロジェクト本体ではなく、外部のソフトウェア依存部分(例:JSライブラリ、CDN、クラウド)を狙った攻撃。Web3特有の分散性を逆手に取る。
特徴:
- 社内ではなく「委託先」が侵害される
- ブロックチェーンのトラストレス設計をUI層で突破
- UI/UX信頼性もWeb3では資産安全に直結する
4. ソーシャルエンジニアリング
概要:技術的手段ではなく、人間の心理的・行動的な脆弱性を突いた攻撃。特に開発者・管理者を標的にするケースが多い。
特徴:
- 人間の行動に依存するため再発防止が難しい
- 国家支援型APT(例:Lazarus)が多用
- セキュリティ教育の未整備が原因
5. 内部不正・破綻時の資金流出
概要:セキュリティの話題とは別次元で、組織的破綻や関係者の不正によって発生。セキュリティ対策の外側に位置するが、被害者にとっては同様のリスク。
特徴:
- テクニカル脆弱性ではなくガバナンスと統治の問題
- 会計・監査が機能しないWeb3特有のリスク露呈
🔍 補足視点
- **国家支援型ハッカー(例:Lazarus Group)**は、高度なAPT(持続的標的型攻撃)を行い、特に東アジアのWeb3組織を標的にしている。
- クロスチェーンブリッジは「高リスク・高価値資産集中」のため、最も攻撃対象になりやすい。
- 最近ではフロントエンド改ざんやAPIキー窃取といったWeb2的な手法と、Web3の脆弱性の「ハイブリッド攻撃」が主流になっている。
5. 代表的ケーススタディ(要約)
5.1 中央集権型取引所(CEX)の侵害
$$\begin{array}{|l|l|l|} \hline\text{事例} & \text{主因} & \text{特記事項 / 教訓} \\ \hline\text{Coincheck (2018)} & \text{ホットウォレット鍵管理不備} & \text{国内規制強化誘因。即時凍結と全補償で reputational recovery。} \\ \hline\text{FTX (2022)} & \text{ガバナンス/内部統制崩壊+破綻後不正送金} & \text{技術的欠陥より経営統制不備リスクを顕在化。} \\ \hline\text{DMM Bitcoin (2024)} & \text{サプライチェーン(Ginco)+ ソーシャルエンジニアリング} & \text{3rd party セッション侵害 → 取引操作。厳格な供給者審査必須。} \\ \hline\text{Bybit (2025)} & \text{Safe{Wallet} フロントエンド汚染(AWS セッション奪取)} & \text{UI 改ざん → 正規署名誘導。前処理シミュレーション / 大口遅延承認の必要性。} \\ \hline\end{array}$$
暗号資産取引所ハッキング事件の総合分析
1. Coincheck事件(2018年)
基本情報
- 場所: 日本
- 被害額: 5億3,400万ドル相当のNEM(XEM)
- 特徴: 当時史上最大の暗号資産攻撃
攻撃手法と脆弱性
- フィッシング攻撃によりホットウォレットへアクセス
- マルウェアの拡散による資金流出
- ホットウォレットのセキュリティ脆弱性
- 従業員不足による不適切なセキュリティ対策
防御可能性
以下の対策により防御可能だった可能性:
- 堅牢なセキュリティ対策
- 適切な鍵管理システム
- 内部統制の強化
- ユーザー教育の徹底
- より安全な認証方法の採用
事後対応と影響
- 預金・引き出しの即座凍結
- 影響を受けた26万人の顧客への損失補償
- 日本当局による徹底調査の開始
- 規制当局監視の強化
- 日本仮想通貨交換業協会(JVCEA)設立の契機
- 資金決済法(PSA)・金融商品取引法(FIEA)に基づく新規制導入
2. FTX破綻事件(2022年)
基本情報
- 場所: バハマ(Sam Bankman-Fried設立)
- 被害額: 4億7,700万ドル(ハッキング分)+ 89億ドル(顧客預金消失)
- 特徴: 破綻と同時発生のハッキング
攻撃手法と脆弱性
- チャプター11破産申請と同時の不正送金
- 資金の重大な管理不備
- 経営陣による不正流用
- 適切な財務管理体制の欠如
防御可能性
技術的脆弱性というより、以下により防御可能:
- 適切な財務管理システム
- 内部統制の確立
- 倫理的なリーダーシップ
事後対応と影響
- SBF:25年懲役刑、110億ドル没収
- 中央集権型暗号資産エンティティへの信頼失墜
- 不透明な財務慣行のリスク顕在化
3. DMM Bitcoin事件(2024年)
基本情報
- 場所: 日本
- 被害額: 4,502.9 BTC(約3億800万ドル)
- 攻撃者: 北朝鮮サイバーアクター(TraderTraitor/Lazarus Group)
攻撃手法(サプライチェーン攻撃)
初期侵入(2024年3月)
- LinkedInで採用担当者を装った標的型ソーシャルエンジニアリング
- Ginco(企業向けウォレット会社)従業員への偽採用試験
- 悪意のあるPythonスクリプトのURL送信
- 被害者が悪意のあるコードをGitHubにコピー
悪用段階(2024年5月)
- 侵害されたGinco従業員のセッションクッキー悪用
- 暗号化されていない通信システムへのアクセス
- DMM従業員の正当な取引要求の操作
防御可能性
必要な対策:
- 多層防御システム
- ゼロトラストアクセス
- セキュリティ訓練の徹底
- リアルタイム監視
- 重要インフラのセグメンテーション
- 定期的な監査・バグバウンティ
- サードパーティリスク管理
- ソーシャルエンジニアリング対策
事後対応と影響
- FBI・DC3・日本警察庁による犯人特定
- 引き出し・取引停止、顧客補償保証
- デジタル資産取引所の脆弱性露呈
- 厳格なセキュリティ対策の必要性再認識
4. Bybit事件(2025年)
基本情報
- 場所: ドバイ
- 被害額: 約14億6,000万ドル相当のETH(50万ETH)
- 特徴: 史上最大の単一暗号資産盗難事件
- 攻撃者: Lazarus Group(TraderTraitor)
攻撃手法(サプライチェーン攻撃)
Safe{Wallet}フロントエンド侵害
- ソーシャルエンジニアリングによる開発者ワークステーション侵害
- AWSセッショントークンの窃取
- 多要素認証(MFA)の迂回
- Safe{Wallet}のAWSアカウントへのアクセス
UI操作による資金転送
- Safe{Wallet}のUIの悪意ある改変
- 無害なJavaScriptを悪意のあるコードに置換
- ETHの攻撃者ウォレットへのリダイレクト
- Bybit従業員による「正当に見える」取引への署名
防御可能性
「従来の防御では不十分」とされ、以下が必要:
技術的対策
- リアルタイムトラフィック分析
- エンドポイント挙動監視
- クロスシステムログ相関
- ゼロトラストアクセス制御
- ネットワークセグメンテーション
- 最小特権ポリシー
追加対策
- 署名前のシミュレーション
- 大規模引き出しに対する遅延機能
- より詳細な取引検証(生データ、オフチェーン)
- 組織内セキュリティ意識の向上
事後対応と影響
法執行機関の対応
- FBIによるLazarus Group公式起訴
資金洗浄の高度化
- 初期資金分割
- クロスチェーン転送(THORChain、Chainflip、LiFi)
- 複数事件からの資金混合
- BTCミキシング(Wasabi、CryptoMixer)
- 最終的なオフチェーン法定通貨変換
業界への影響
- セキュリティ改善の緊急性
- 明確な規制環境整備の必要性
- 国際協力体制の形式化が急務
5.1のまとめ
Lazarus Group/TraderTraitorのような国家支援型グループによる中央集権的なエンティティ(CEX)に対するサプライチェーン攻撃の増加と高度化は顕著な傾向を示しています。DMM Bitcoin(2024年)とBybit(2025年)のハッキングはいずれもサプライチェーンの侵害(Ginco、Safe{Wallet})が関与しており、Lazarus Group/TraderTraitorに帰属しています。これは高度な持続的脅威(APT)グループによる戦略的な転換を示唆しています。彼らは標的となる取引所のコアシステムを直接侵害するのではなく、サプライチェーンの弱いリンク(サードパーティのソフトウェアプロバイダー、従業員のワークステーション)を標的とし、間接的なアクセスを獲得したり、取引を操作したりします。これにより、直接的な境界防御を迂回することが可能となります。この状況はWeb3組織、特にCEXがそのセキュリティ境界を自身の直接的なインフラストラクチャを超えて、厳格なサードパーティリスク管理、サプライチェーン監査、およびすべての従業員に対する高度なソーシャルエンジニアリング防御を含むように拡張する必要があることを意味します。従来のサイバーセキュリティモデルでは、これらの国家レベルの脅威に対処するには不十分です。Lazarus Groupのような集団が用いる洗練された資金洗浄技術の成功は資金回収の困難さと直接的に相関しており、オンチェーン追跡能力の強化と国際協力の必要性を高めています。Bybit事件におけるLazarus Groupの資金洗浄は「アドレス分散、クロスチェーンブリッジホッピング、複数の攻撃からの資金混合、自動化された操作、プライバシーツールによる匿名化、最終的なオフチェーンでの法定通貨への変換」を含んでおり、追跡を「深刻な課題」にしています。資金洗浄プロセスが複雑で多層的であるほど法執行機関やブロックチェーン分析企業が資金を追跡し、凍結することはより困難になります。ミキサーやクロスチェーンブリッジの使用は意図的に追跡経路を断片化します。したがって、効果的な資金回収は最初のハッキングを防ぐだけでなく、迅速で洗練されたオンチェーン分析と取引所、法執行機関、ブロックチェーンインテリジェンス企業間のリアルタイムの情報共有に依存します。資金を差し押さえることは相当困難であるのです。
5.2. 分散型金融(DeFi)プロトコルの悪用
1. Poly Network事件(2021年)
基本情報
- プラットフォーム: クロスチェーン相互運用性プロトコル
- 被害額: 6億1,000万ドル以上
- 攻撃者: 単独のハッカー(後に「Mr. White Hat」と呼称)
- 特徴: 史上最大級のDeFiハッキング、資金返還という異例の結末
攻撃手法と脆弱性
クロスチェーンブリッジの脆弱性悪用
- 分散型金融(DeFi)プラットフォームのクロスチェーンブリッジロジックに存在する脆弱性
- コントラクト呼び出し間の弱点を突いた攻撃
- 台帳へのアクセス権限取得
- 不正な資金転送の実行
防御可能性
以下の対策により防御可能だった可能性:
- スマートコントラクトの堅牢な監査
- バグバウンティプログラムの充実
- 暗号資産取引所との緊密な連携
- より良いコミュニケーション体制の構築
事後対応と影響
異例の展開
- ハッカーによる資金の大部分返還
- 「脆弱性を露呈させる倫理的ハッカー」との自己主張
- Poly Networkによる「Mr. White Hat」との呼称
- 50万ドルのバグバウンティ報酬提供
- 「最高セキュリティアドバイザー」地位の提供
業界の対応
- Tether: 3,300万ドルのUSDT凍結
- Poly Network: Immunefiでグローバルバグバウンティプログラム開始
- セキュリティコミュニティ内で論争発生
長期的影響
- DeFiプラットフォームの信頼性に対する疑問
- 消費者保護の限界露呈
- スマートコントラクト監査の重要性再認識
まとめ
Poly Networkハッキングにおける「ホワイトハット」論争は、Web3空間における倫理的および法的ジレンマを浮き彫りにしました。それは犯罪行為を正当化したり、法的権限を損なうことなく、脆弱性の開示と資金回収をどのように奨励するかという問題です。Poly Networkがハッカーを「Mr. White Hat」と呼び、報奨金や職を提供したことは、セキュリティ専門家や法務関係者の間で怒りを買いました。資金の返還は被害者にとっては好ましいことですが、それが最初の犯罪を消し去るわけではありません。犯罪者を「ホワイトハット」と呼ぶことは倫理的な境界線を曖昧にし、資金が返還されれば大規模な窃盗が許されるという危険な前例を作る可能性があります。法務当局は、民間企業には刑事訴追からの免責を約束する権限がないことを明確に述べています。
この事件は倫理的なハッキングと犯罪的な悪用を厳密に区別する、バグバウンティと脆弱性開示に関する明確な業界標準の必要性を強調しています。また、Web3の分散型でコミュニティ主導の性質と従来の法的枠組みとの間の継続的な緊張関係も浮き彫りにしています。
2. Euler Finance事件(2023年)
基本情報
- プラットフォーム: 非カストディアル型DeFiレンディングプロトコル
- 被害額: 1億9,700万ドル相当(wBTC、DAI、stETH、USDC)
- 攻撃者: 「Jacob」と特定されたハッカー
- 特徴: フラッシュローン攻撃、資金の段階的返還