Bybitに潜入した新手のハッキング手法が明らかに　Safe開発者のマシン経由で14億ドル流出

2025年2月26日、暗号資産取引所Bybitから約14億ドル相当のイーサリアムと関連トークンが流出する大規模なハッキング事件が発生した。暗号資産史上最大規模のハッキングとして注目を集めている。

参考 : Bybitで史上最大規模のハッキング、仮想通貨市場に激震

このハッキングの詳細が明らかになりつつある。Decryptの27日の記事によると、攻撃者はウォレットプロバイダー「Safe」の開発者マシンを侵害し、悪意あるJavaScriptコードを挿入する手法を用いたという。

巧妙な狙い撃ちとハッキングの手口

今回の攻撃は、Bybitが使用している暗号ウォレットプロバイダー「Safe」のインフラを標的にした高度な手法によるものだった。
VerichainsとSygnia Labsの調査結果によれば、攻撃者はSafeのシステムに悪意あるJavaScriptコードを挿入したという。このマルウェアコードはBybitの契約アドレスと相互作用した時にのみ発動する仕様で、一般のSafe利用者には影響を与えない設計となっていた。
攻撃後には、迅速な痕跡隠滅工作が行われた。ハッカーは資金流出を完了させた後、わずか2分でコードを完全に削除している。

今回の攻撃に関して、Bybitは自社のインフラ自体は侵害されていないと主張。攻撃を検知後すぐにSafe管理下のウォレットから残存資金を移動させる対応を取った。
一方、Safe側は開発者のマシンが侵害されたことを認め、システムインフラの再構築に着手したと発表。ただし、同社はスマートコントラクト（※）やフロントエンドコードには脆弱性がないと強調している。

業界専門家らは、今回の手法が標的を特定した上での精密な攻撃であることから、国家支援型ハッカー集団の関与を疑う見方を示している。

※スマートコントラクト：ブロックチェーン上で自動実行されるプログラムのこと。条件が満たされると自動的に処理を実行する仕組みで、暗号資産の取引や管理に利用される。

サードパーティ依存の脆弱性が浮き彫りに

この事件は暗号資産エコシステムにおける重大な脆弱性を露呈させることとなった。特に、取引所が信頼するサードパーティプロバイダーのセキュリティの重要性が、改めて浮き彫りとなった。

今回のケースでは、Bybit本体のセキュリティが堅固であっても、利用しているウォレットプロバイダーの脆弱性によって巨額の損失が発生したのである。
今後は、取引所自身のセキュリティだけでなく、連携するすべての事業者のセキュリティ体制を検証することが不可欠となるだろう。

また、攻撃者が特定のアドレスのみを標的にする「精密爆撃型」の手法を用いたことから、従来の防衛策では検知が難しいタイプの攻撃であったことも判明している。業界は攻撃手法の進化に対応した新たなセキュリティ対策の構築を迫られていると言える。