Bybitのハッキング事件から見る取引所の安全性：安全とコンプライアンスがプラットフォームの健全な発展をどのように導くか？

北京时间 2 月 21 日晚间、チェーン上の探偵ZachXBTはBybitで146億ドルのETH資金の異常流出を監視しました。その中で、mETHとstETHがDEXでETHに交換されています。金額に基づいて、これは暗号通貨の歴史上最大のハッキング事件になる可能性があります。

Bybitは迅速に反応し、公式Twitterで「今回の事件はETHのマルチシグ冷蔵ウォレットに関与しており、攻撃者はスマートコントラクトの論理的な脆弱性を利用して署名インターフェースを操作し、取引を表面的には正常な転送として表示させましたが、基盤の論理は改ざんされ、最終的にハッカーはその冷蔵ウォレットを制御し、資産を引き出しました。」と述べました。その後、BybitのCEOは2時間のTwitterライブを行い、事件の最新の進展を共有し、ユーザーの疑問に答えました。

その後、Bybit取引所は12時間以内に合計で40億ドル以上の資金が流入しました。具体的な調査結果はまだ発表されていませんが、複数のセキュリティ専門家は、今回の事件は署名者のコンピュータまたは中間インターフェースがハッキングされたことに起因する可能性があると推測しています。ハッカーはマルチシグの実行者が日常的な署名を行うのを待っている間に、取引内容を静かに改ざんし、スマートコントラクトをバックドアを持つ悪意のある契約にアップグレードし、すべての資金を引き出しました。

過去数年、デジタル資産取引における資産盗難事件が何度も発生しており、通常以下の いくつかの 種類のセキュリティ問題として集中して現れます：

ホットウォレット資産の盗難：一部の取引所はホットウォレットの保管比率が高すぎて、脆弱性攻撃により大規模な資産流出のリスクがあります。

内部管理の脆弱性：一部の取引所は管理が不十分で、従業員が悪事を働くか、外部攻撃を助けるリスクがあります。

セキュリティ供給者の不足：トップセキュリティサービスプロバイダーと提携していないため、潜在的な脅威を迅速に発見し対処できません。

保険メカニズムの欠如：極端な事件が発生した後、保険のカバーが不足しているため、取引所はユーザーの資産損失を補填することが困難です。

今回のBybit事件はホットウォレットの盗難ではなく、他の資産には影響がなく、出金サービスは常に正常に運営されています。これは問題が内部管理や出金プロセスに起因するのではなく、ハッカーが技術的な脆弱性を利用して精密な攻撃を行ったことを示しています。

取引所は暗号業界の核心的なインフラであり、資産の安全性は非常に重要です。ハッカーの攻撃は巨額の資金損失を引き起こすだけでなく、プラットフォームの信頼性にも影響を与え、さらには業界全体の信頼体系を揺るがす可能性があります。ユーザーの資産を保護するために、包括的で信頼できるセキュリティシステムを構築することが、すべてのコンプライアンス取引所の重要な任務となっています。

仮想資産取引の分野では、セキュリティシステムの構築が技術の進化と規制の規範の二重の推進を受けています。業界の観察によると、世界の主要なライセンス取引プラットフォームは一般的に「ホットウォレットとコールドウォレットの分離+マルチシグ」のコアアーキテクチャを採用し、多次元の防御メカニズムを通じて安全な防線を構築しています：

資金隔離技術の標準化：

• システムレベルの物理的隔離：ホットウォレットとコールドウォレットは独立した安全な部屋に設置され、専用のコンピュータには侵入防止システムが装備されています。ホットウォレットサーバーはユーザーの注文ニーズのみを処理し、コールドウォレットデバイスは完全に物理的にネットワークから切断されています。

• 動的配分管理：異なる法的管轄区域において異なるホットウォレットの比率を設定します。例えば、香港の規制ではホットウォレットが2%、ドバイの規制ではホットウォレットが10%です。

• スマートリスク管理のトリガー：資金の移動は注文ニーズのスマートな集約によってトリガーされ、人工的な介入の可能性を排除します。

ホット・コールド変換システムの銀行レベルのリスク管理：

• 操作プロセスは「三人四眼」メカニズムを実施し、ウォレット管理、安全監査、財務監視などの多部門の協力を含みます。

• ハードウェアレベルでホットウォレットとコールドウォレットは独立した安全な部屋に分けられ、ホットウォレットサーバーは注文ニーズを処理し、コールドウォレットデバイスは永久に物理的にネットワークから切断されています。

ライセンス機関の革新実践：

例えば、Coinbaseは資産管理において世界で最も厳格なセキュリティ対策を講じています。このプラットフォームはマルチシグ技術を採用し、資金の移動には複数の承認者の承認が必要であるため、単一のアカウントが攻撃されるリスクを低減しています。さらに、Coinbaseは定期的なセキュリティ監査とコンプライアンスチェックを通じて、プラットフォームのすべてのプロセスが業界のベストプラクティスに準拠していることを確認し、ユーザーの信頼をさらに強化しています。

同様に、HashKey GlobalはSlowmistと提携し、マルチシグプロトコルとコールドストレージシステムの深い統合を実現しています。Slowmistが独自に開発したキー分割管理システムは、分散型署名検証メカニズムを通じて、物理的に隔離されたコールドウォレット環境でキー保有者の動的な承認検証プロセスを完了しました。この技術の突破により、コールドウォレットの操作は物理的隔離の要件を満たしつつ、キー分割によって権限の分割を実現しています。

資産保障の強化：保険メカニズムの革新

技術的な保障に加えて、保険メカニズムも暗号取引所がユーザーの資産安全を保障する重要な手段となっています。Krakenを例にとると、このプラットフォームは専門の保険会社と提携し、プラットフォームに保管されている資産に保険保障を提供しています。Krakenの保険は、保管中にハッカー攻撃やその他のセキュリティ脆弱性によって発生した損失をカバーしており、保険はすべてのリスクを完全にカバーすることはできませんが、ユーザーに一定の保障の底線を提供しています。

香港保険監督局の仮想保険ライセンスを持つOneDegreeは、業界内の重要なパートナーであり、BitGoやHashKey Globalなどの主要プラットフォームと提携し、ユーザー資産に包括的な保険保障を提供しています。保険は地震などの自然災害やその他の予期しないリスクなどの極端な事件をカバーし、ユーザー資産の安全を確保します。毎年、取引所はユーザー資産の保険に多額の資金を投入し、プラットフォームの安全性を向上させるだけでなく、ユーザーの信頼を強化しています。

厳格なコンプライアンス要件

コンプライアンスは法律や規制の要件だけでなく、取引所が資金の安全を確保し、ユーザーの信頼を高めるための必要な保障です。ライセンスを持つ取引所として、Coinbaseはコンプライアンスに多くのリソースを投入し、アメリカの複数の州で送金取引ライセンス（Money Transmitter License）やヨーロッパの電子通貨ライセンスを取得しています。これらのライセンスの取得は、プラットフォームのコンプライアンスを証明するだけでなく、ユーザーにより強力な保障を提供します。

Krakenもコンプライアンスに関して同様の措置を講じています。このプラットフォームは、複数の国や地域で合法的な営業ライセンスを取得し、運営中に各種の規制要件を厳守しています。規制機関との緊密な協力を通じて、Krakenはそのビジネス活動が現地の法律や規制に適合していることを確保し、コンプライアンスの問題による安全リスクを回避しています。

コンプライアンスと暗号の原生性の両立

コンプライアンスと暗号の革新の間でバランスを見つけることは、取引所が直面する最大の課題の一つです。例えば、仮想資産取引所がヨーロッパで事業を展開するには、まずMiCAライセンスを取得する必要があります。ライセンスを持つ主体は、現地の法的管轄区域の要件を厳守し、プラットフォームのコンプライアンス運営を確保する必要があります。こうすることで、プラットフォームの暗号の原生性も保障され、市場のホットな話題に迅速に対応し、革新的な製品を開発し、ユーザーのニーズを満たすことができます。

暗号通貨業界の継続的な発展に伴い、取引所の資産安全問題はますます重要になります。取引所は技術革新、厳格なコンプライアンス管理、保険メカニズムを通じて、より包括的な資産安全システムを構築しつつ、プラットフォームの柔軟性と市場対応能力を維持する必要があります。そうすることで、ユーザーに強力な保障を提供し、グローバルなデジタル資産業界の健全な発展を促進することができます。