この記事の著者: アイリス、バイチン弁護士
暗号通貨市場は最近不安定になっています。少し前にMEME市場が混乱し、多くのWeb3ユーザーが大きな損失を被りましたが、最近は有名な仮想資産取引所Bybitが主役となりました。オンチェーン探偵ZachXBTの監視によると、Bybitは2月21日の深夜に14億6千万ドルを超える不審な資金流出を経験しました。 ZachXBT は後に、この事件がセキュリティインシデントであったことを確認した。
*画像出典: ZachXBT TGチャンネル
盗まれた資金の額がこれほど巨額であることから、この事件が仮想資産市場に重大な悪影響を及ぼす可能性があると予測する人もいます。しかし、CoinMarketCapのデータによると、市場感情指数全体は大きな変動を経験していない。
この現象は、多くの側面からのサポートによるものです。
事件後、BybitのCEOは数回にわたり声明を発表し、盗まれた資金は顧客資産の安全に影響を与えないと述べ、同社の財務監査でもBybitにはユーザー資産をカバーするのに十分な準備金があることが証明された。同時に、Loookonchainは、CoinMarketCapのデータによると、ハッキングされる前のBybitの準備金資産は162億ドルで、盗まれた資金はその約8.64%に過ぎないとツイートした。
Bitget、MEXC、そして数人のクジラを含む多くの機関や個人が、Bybitが現在の困難を克服できるよう支援するために資金をBybitに預けています。 SoSoValueの統計とオンチェーンセキュリティチームTenArmorの最新の監視データによると、セキュリティインシデント発生から12時間後、Bybitの資金流入は40億ドルを超え、盗まれた資金による損失をすべてカバーした。
現在の展開から判断すると、このセキュリティインシデントは良い方向に進んでいるようです。この点に関して、マンキュー弁護士は、資産準備金と仮想資産の保管が明らかにこの事件で重要な役割を果たしたと考えている。このため、EU MiCA法と香港SFCの最新の仮想資産市場規制ロードマップの両方で、この点に関して重要かつ明確な規制が提示されています。
資本準備金の核心的意義
実際、世界の主要な国や地域の規制当局が仮想資産取引プラットフォームを指導・監督し始めたとき、資産準備金は取引プラットフォームが取引サービスを提供できるかどうかを評価する重要な基準となりました。 Bybitのハッキング事件は、プラットフォームの安定性の確保、緊急事態への対応、市場の信頼の向上における資産準備金の重要な役割を業界と規制当局に改めて認識させた。
では、資本準備金とは何でしょうか。また、仮想資産取引プラットフォームにおいて資本準備金はどのような中心的な役割を果たすのでしょうか。
仮想資産市場において、現金準備金は、市場の変動、ハッカー攻撃、流動性危機に直面した際に取引プラットフォームが通常の業務を維持できるようにする緊急資金プールです。その主な機能は、プラットフォームの流動性保証を提供するだけでなく、プラットフォームの支払い能力を確保し、危機が発生したときにユーザーの資金がタイムリーに補償されることを保証することです。例えば、今回のハッキング事件では、Bybitプラットフォームは十分な資本準備金を通じて潜在的な信頼の危機に対応しただけでなく、顧客の引き出しニーズを継続的にサポートし、大規模な市場パニックやユーザーの流出を回避することができました。
したがって、仮想資産取引プラットフォームの準備金管理は、危機が発生したときに正常に運営を継続できるように、業界のコンプライアンス要件に準拠する必要があります。
通常、仮想資産プラットフォームの準備金の規模は、プラットフォームの取引量、顧客資産の規模、および潜在的なリスク評価によって決まります。しかし、香港証券先物委員会(SFC)やEU MiCA法などの規制枠組みによれば、十分な資本準備金を維持することに加え、仮想資産取引プラットフォームは一連の特定のコンプライアンス基準を満たす必要もある。
たとえば、香港証券先物委員会(SFC)の VATP への申請では、次のことが求められます。
仮想資産取引プラットフォームは、500万香港ドル以上の払込資本金を維持する必要があります。
プラットフォームは、現金、預金、財務省短期証券、預金証書(仮想資産は除く)などの十分に流動性の高い資産を、継続的に計算されたプラットフォーム運営者の12か月間の実際の運営費用と少なくとも同額保有する必要があります。
プラットフォームは流動資本も維持する必要があります。流動資本とは通常、現金や短期預金など、すぐにまたは比較的短期間で現金化できる資産を指します。危機が発生した場合にタイムリーな返済を確実に行うために、流動資本はプラットフォームの総負債ベースと少なくとも同等である必要があります。
盗難や資金の紛失が発生した場合でも、プラットフォームが顧客に 1 対 1 のサポートを提供できることを保証します。
同時に、仮想資産取引プラットフォームは、独立した第三者監査を通じて資本準備金の適切性を確保し、定期的に規制当局に財務状況を開示する必要があります。監査報告書には、準備金の額、流動性、リスク管理戦略が規制要件に準拠していることを確認するために記載する必要があります。さらに、規制当局や市場参加者がプラットフォームの財務健全性を評価できるように、プラットフォームは準備金の使用状況を透明に開示する必要があります。
資産管理に必要なルール
資産保管は、顧客資金の安全を確保するために仮想資産取引プラットフォームが使用する重要なメカニズムです。このプラットフォームは、マルチ署名、コールドウォレットストレージ、資産分離戦略などの管理および技術的手段を使用して、顧客資金の安全な保管と独立した管理を実現し、資金の盗難や悪用を防止します。同時に、資産保管では、投資家や規制当局がプラットフォームが顧客資産をどのように管理しているかを明確に理解できるように、プラットフォームが資金の保管と管理のプロセスを透明に示すことができることも必要です。
Bybitのセキュリティインシデントに戻ると、一部のアナリストは、Bybitの資金保管方法は、業界標準の保管方法の1つであるマルチ署名とコールドウォレットストレージを使用していると指摘しました。しかし、なぜ資産は依然として盗まれているのでしょうか?有名なセキュリティ会社SlowMistの記事によると、この事件の主な原因は、ハッカーがフロントエンドUIの脆弱性を悪用し、ソーシャルエンジニアリング攻撃を使用して、偽造されたインターフェース上で署名者に悪意のあるトランザクションに署名するよう誘導したことだそうです。同時に、スローミスト・テクノロジーの最高情報セキュリティ責任者である23pds氏は、複数のmacOSまたはWindowsコンピューターが制御されていたに違いなく、攻撃者はしばらくイントラネット内に留まり、社内チャットや転送時間などの情報を監視できた可能性があると推測した。
しかし、Bybit も資産保管に分散型ストレージ戦略を採用しており、今回のセキュリティ インシデントで資金の大部分を効果的に隔離し、より大きな損失を回避したことは明らかです。 Bybit の回答にも同様の説明があり、1 つのコールドウォレット内の資金のみが失われ、他のコールドウォレットには問題がなかったとのことです。
資産保管は、仮想資産取引プラットフォームの最後の防衛線とみなすことができます。そのため、最も基本的な業界標準に加えて、一部の国や地域の規制当局は資産保管に関するコンプライアンス標準も制定しています。
引き続き香港証券先物委員会(SFC)の規制枠組みを例にとると、中核となる要件は次のとおりです。
保管方法については、仮想資産取引プラットフォームは、顧客の仮想資産が自社の資産から完全に分離されていること、顧客の仮想資産の98%がコールドストレージに保管されていること、仮想資産の保管とアクセスの方法と手順がセキュリティ要件、特に鍵管理と暗号化技術の使用を満たしていることを保証する必要があります。また、エスクロー資金の具体的な管理方法を定期的に公開し、適切な情報開示を行う必要があります。
セキュリティの面では、リアルタイムの取引監視と第三者による独立した監査を通じて保管の透明性とセキュリティを強化することが推奨されます。また、プラットフォームは資産の紛失や不正使用を防ぐための十分な安全策を提供する必要があり、ハードウェア セキュリティ モジュール (HSM) などのテクノロジを採用してキーを管理および保護することができます。キーの保管、使用、破棄の手順は透明性があり、業界標準に準拠している必要があります。
同時に、仮想資産取引プラットフォームは、特に顧客資金の送金および取引中に、顧客の仮想資産のセキュリティを定期的に監視および監査する必要があり、プラットフォームはコンプライアンス要件への準拠を実証できなければなりません。さらに、プラットフォームは、顧客の仮想資産の損失に対して適切な保護を提供できるように、保険と補償の取り決めを確立する必要もあります。
仮想資産取引プラットフォームは、独自の資産保管に加えて、保管のためにサードパーティの保管人と協力します。このため、SFCは独立性とコンプライアンス、資産の分離と保護、および対応するセキュリティ監査、技術基準、情報開示などの要件など、特定の規制要件も定めています。
マンキュー弁護士の要約
ハッカー攻撃に直面しても、十分な準備金によってプラットフォームの支払い能力が確保され、完璧な保管メカニズムによって顧客資金のリスクが軽減されます。
しかし、この事件はプラットフォームのフロントエンドセキュリティと内部リスク管理の欠陥も明らかにし、ホスティングだけに頼るだけでは攻撃を完全に防ぐのに十分ではないことを示唆した。これは単なる孤立したケースではありません。2024年には、WazirX、Radiant Capital、DMMもこの手法により数千万ドル、あるいは数億ドルの損失を被りました。
そのため、マンキュー氏は、仮想資産取引プラットフォームは以下の面でセキュリティを強化する必要があると考えています。
プラットフォームは、署名要求が厳密に検証され、取引の悪意のある偽造を防止するために、特に資金移動に関連する署名操作インターフェースにおいて、フロントエンドシステムのセキュリティ監査と脆弱性の修復を定期的に実施する必要があります。
イントラネット経由でハッカーが侵入して攻撃するのを防ぎます。仮想資産取引プラットフォームでは、エンドポイント保護ソフトウェアのインストール、VPN と 2 要素認証の使用など、従業員のデバイスの厳格な管理を実施して、企業ネットワークのセキュリティを確保できます。
仮想資産取引プラットフォームは、顧客資産がプラットフォーム自身の資金から分離されていることを保証するだけでなく、分散型ストレージ戦略を採用して単一のコールドウォレットの盗難リスクを軽減し、ハードウェアセキュリティモジュール(HSM)と高度な暗号化技術を組み合わせてキー管理を強化する必要があります。
規制当局は、セキュリティ インシデントが継続的に発生するにつれて、将来的に規制の枠組みと基準をより的を絞った形で改良することができます。
仮想資産プラットフォームの保管要件、特にコールドストレージの割合、鍵管理の技術基準、およびプラットフォームのキャッシュフローと準備金に関する開示義務をさらに明確にします。さらに、投資家保護を強化するために保険の仕組みを導入する必要がある。
プラットフォームは、認可を受けたサードパーティの保管機関と協力し、規制の枠組み内で機関間の情報共有を強化して、プラットフォームのセキュリティ状況をタイムリーに監視し、同様のインシデントの発生を防ぐことが推奨されます。
セキュリティインシデントについては、セキュリティインシデントの最短開示時間、資産回復計画、定期的な開示など、仮想資産取引プラットフォームのセキュリティインシデント処理能力を向上させるための緊急対応基準を実装できます。
法執行機関間の協力メカニズムを構築し、管轄区域をまたいだ資産凍結および回収調整手順を確立して、ハッカー資金回収の成功率を高めます。
資金準備金と保管の安全性は、プラットフォームの安定した運営だけでなく、業界全体の信頼と健全な発展にも関係します。したがって、仮想資産取引プラットフォームと世界の規制当局は、コンプライアンス基準を引き上げ、セキュリティ対策を強化することで、市場に透明性と安全性を高めた環境を提供するために協力する必要があります。
