マルチシグウォレットから42億円流出、ハッカーが資金洗浄

マルチシグウォレットから2730万ドル相当の仮想通貨が不正流出し、ハッカーが制御権を奪取した。攻撃者はTornado Cashを利用して資金洗浄を行っており、セキュリティ企業PeckShieldが調査結果を報告した。

ブロックチェーンセキュリティ企業のPeckShield（ペックシールド）は18日、マルチシグウォレットの侵害により約2730万ドル（約42億5800万円）相当の暗号資産（仮想通貨）が不正流出したと発表した。

ペックシールドの分析によると、攻撃者はウォレットのセキュリティを突破し、資産を組織的に抜き取った。これは2025年12月に発生した単独の事件としては最大規模の一つとなる。ハッカーは侵害したウォレットへの長期的なアクセスを維持していた形跡があり、異常なオンチェーン上の資金移動によって発覚した。

オンチェーン調査員のSpecter（スペクター）氏は、攻撃対象となったウォレットが「1-of-1」のマルチシグ構成であったと指摘している。このウォレットは2025年4月11日に作成され、資金が入金された直後に大量の流出が発生した。攻撃者は秘密鍵の制御権を得た後、自身を唯一の署名者に設定し、資金への完全なアクセス権を確立したようだ。

マルチシグの脆弱性と攻撃の手口

今回の侵害は、マルチシグ設定プロセス中の秘密鍵の漏洩、あるいはウォレット作成時に悪意ある第三者に依存したことが原因とみられる。

本来、複数の承認を必要とすることでセキュリティを高めるはずのマルチシグウォレットだが、その根本的な利点が完全に損なわれる結果となった。スペクター氏のトランザクション分析は、こうした設定ミスや運用上の不備を示唆している。

攻撃者は盗み出した資産を即座に洗浄し始めた。具体的には、プライバシーミキシングサービスのTornado Cash（トルネードキャッシュ）を利用し、1回あたり100 イーサリアム（ETH）ずつ、合計6,300 ETH（約30億2600万円）を送金した。この手口は、取引の追跡を困難にするための高度な資金洗浄技術であることを示している。

資金洗浄と資産の行方

ハッカーは資金洗浄に加え、盗難資産を用いた高度な運用も行っている。分散型金融（DeFi）プラットフォームのAave（アーベ）から1,000 ETH（約5億500万円）を引き出したほか、盗んだ資産を担保にレバレッジ取引を継続している。

現在、約2050万ドル（約31億9800万円）相当のイーサリアムを担保に、1070万ドル（約16億6900万円）相当のDAIを借り入れ、ロングポジションを保有しているという。

ペックシールドによると、攻撃者のアドレスにはイーサリアムやラップドイーサリアムのほか、OKB、Trust Wallet Token、Bitfinex LEOなど複数の暗号資産（仮想通貨）が含まれている。

トルネードキャッシュの使用は、多くの法域でミキシングサービスへの関与が規制されているため、資産の追跡や回収をより困難にしている。

セキュリティ対策と市場への影響

2025年12月は、仮想通貨の不正流出による損失総額が前月比で60%減少し、26件のインシデントで合計7600万ドル（約118億5600万円）となった。

しかし、今回の2730万ドルの被害はその中でも際立って大きな割合を占めている。高度なウォレット設計であっても、運用上のセキュリティが不十分であれば侵害を防ぐことはできない。

ペックシールドは、秘密鍵の長期保管にはハードウォレットとは何かを理解し、適切に使用することを強く推奨している。また、保存された取引データに依存せず、送金前にはアドレスの文字列を再確認することが重要だ。

セキュリティ専門家は、常時インターネットに接続されたブラウザウォレットのリスクを指摘し、フィッシングやソーシャルエンジニアリング攻撃への警戒を呼びかけている。