インド大手仮想通貨取引所、4420万ドルのハッキング被害公表

インドの仮想通貨取引所CoinDCXがハッキング被害に遭い、約4420万ドルが流出。公表遅れやホットウォレットの脆弱性が問題。

インドの暗号資産（仮想通貨）取引所CoinDCXが19日、サイバー攻撃により約4420万ドル相当の資産が流出した。

この事件は、ブロックチェーン調査員ZachXBTが不審な取引を検知し、公にしたことで発覚。

CoinDCXによる公式確認はその約17時間後となった。

攻撃者は仮想通貨ミキサーサービスTornado Cashから1ETHで資金を調達し、ソラナからイーサリアムへのクロスチェーンブリッジを悪用して資金洗浄を複雑化させている。

内部運用ウォレットが標的となった攻撃

今回の攻撃で標的となったのは、提携取引所との流動性供給にのみ使用される内部の運用ウォレットであった。

CoinDCXのスミット・グプタCEOは、顧客資産は安全なコールドウォレットインフラで保護されており、全ての取引活動とINR出金が完全に稼働していると強調している。

同氏は高度なサーバー侵害により内部運用アカウントが侵害されたと説明し、影響を受けたアカウントを隔離して迅速に対応したと明かした。

運用アカウントは顧客ウォレットから分離されているため、露出は特定のアカウントのみに限定され、損失は同社の自社財務準備金から完全に吸収されている。

内部セキュリティチームと運用チームが主要なサイバーセキュリティパートナーと連携し、脆弱性の修正と資金移動の追跡を進めている状況。

しかし、流出したウォレットはタグ付けされておらず、取引所の準備金証明レポートにも含まれていなかったため、専門家による手作業での追跡が必要となった。

取引所側からの情報開示が外部の指摘より大幅に遅れたことで、Web3ウォレットの透明性に対する信頼が揺らぐ事態となっている。

インド取引所を狙う攻撃の継続

この事件は、競合取引所であるWazirXが昨年7月18日に2億3,500万ドルのハッキング被害を受けてからちょうど1年後に発生した。

WazirXの攻撃は北朝鮮の国家支援ハッカー集団Lazarus Groupによるものとされており、今回のCoinDCX攻撃においても同一グループの関与が疑われている。

インドの新しい仮想通貨エコシステムが抱える、繰り返されるセキュリティ上の課題を浮き彫りにした。

CoinDCXは現在、取引所パートナーと協力して資産の凍結と回復に取り組んでおり、近日中にバグバウンティプログラムの開始も予定している。

グプタCEOは「すべてのセキュリティインシデントは学習の機会であり、業界のサイバー脅威との戦いに勝利するため専門家と協力して取り組む」と表明。

このハッキング事件は、中央集権型取引所に対する規制当局の監視を一層強めるきっかけとなる可能性が高い。

若林 英明

日本語版CryptoDnesライター。2021年に仮想通貨投資を始める。以降、同分野での専門的な知識を深めながら自身のブログ・ライターとしても活動。仮想通貨に関する深い理解を活かして複数のメディアで多くの記事を執筆。初心者に寄り添った簡潔な解説を得意とする。