残高が45%消えた日｜WazirX流出が示した強制損失分担の現実

ある朝、取引所のアプリを開く。保有しているビットコインの残高を確認すると、昨日より45%少ない数字が表示されている。送金した覚えはない。売った覚えもない。ただ、預けていただけだ。それでも、残高は消えている。

これは仮定の話ではない。2024年7月にインド最大の暗号資産取引所WazirXで起きた現実だ。

マルチシグを突破したハッカー

2024年7月、WazirXは約2.3億ドル（当時のレートで約340億円規模）のハッキング被害を受けた。攻撃を行ったのは北朝鮮系とされるハッカーグループで、標的にしたのはWazirXが管理するマルチシグウォレットだった。

マルチシグとは、複数の署名者が揃わなければビットコインを動かせない仕組みだ。単一の秘密鍵が盗まれても資産を守れるとして、セキュリティ意識の高い取引所が採用している。WazirXもその一つだった。

しかしハッカーは、署名プロセスそのものを標的にした。署名者のインターフェースを細工し、正規の取引のように見せかけながら、実際には攻撃者のウォレットに資金を送る署名を行わせたとされる。技術的な備えがあっても、実行者を欺ければ意味をなさない。

ハッキングが明らかになった後、WazirXが顧客に提示した解決策が問題の核心だ。

取引所が残せたのは顧客資産全体の約55%だった。残りの約45%は失われた。その損失をどうするか。WazirXが示した案は「全顧客で損失を均等に分担する」というものだった。いわゆるヘアカット（強制的な残高削減）だ。

自分のビットコインを盗んだのはWazirXではない。しかし、管理を委ねた取引所が被害を受けた結果、自分の残高も45%削られる。自分が何もしていないことは関係ない。取引所のセキュリティ問題の責任を、顧客全員が等分に引き受ける形になる。

これは日本の分別管理義務が定める「顧客の資産を保護する」という建前と、現実の間にある深い溝を示している。法的な分別管理が機能していても、ハッキングで資産が消えれば話は別だ。回収できない損失は、どこかが負わなければならない。そしてWazirXは「それを顧客全員で分担する」という選択をした。

WazirXはインド最大の取引所だった。ユーザー数も多く、業界内での知名度も高い。それでも2.3億ドルが失われ、顧客は一方的に損失を被った。

「大きな取引所だから安全」という感覚は根拠のない思い込みだ。取引所が大きくなれば、それだけ攻撃者にとっての報酬も大きくなる。WazirXもBybitも、FTXも、マウントゴックスも、それぞれの時代における「大手」だった。

セキュリティの問題だけではない。取引所がどれほど堅牢なシステムを構築していても、その実行を担う人間が攻撃されれば崩れる。WazirXの事件は、技術的な多重防護を持つマルチシグ運用でさえ、実行者の判断が操作されれば意味を失うことを示した。

取引所にビットコインを預けているとき、秘密鍵は取引所が持っている。ビットコインを動かす権限は、自分ではなく取引所にある。取引所が正常に機能している限り問題は表面化しないが、取引所に何かが起きたとき、アクセス権を失うリスクを常に抱えている。

対してセルフカストディとは、秘密鍵を自分で管理することだ。ハードウェアウォレットを使ってオフラインで鍵を生成・保管すれば、取引所のハッキング被害に巻き込まれることはない。WazirXが何十億ドルの被害を受けようとも、自分の鍵は自分の手元にある。損失の分担を強制されることもない。

セルフカストディには管理責任が伴う。シードフレーズを安全に保管し、定期的に復元確認を行い、物理的・デジタル的なリスクに備える必要がある。それは取引所に預けるより手間がかかる。しかしその手間が、WazirXの顧客が経験したような損失から自分を守る唯一の手段だ。

取引所は購入や交換のための場所として使い、保管場所として使わない。この原則を実行するために、ハードウェアウォレットを用意して、購入したビットコインを移すことから始めてみてほしい。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。