国内で暗号資産関連サービスを運営する企業。カストディアルウォレットで顧客資産を管理しており、日次の送金処理は数百件規模でした。セキュリティ体制はマルチシグとホットウォレット / コールドウォレットの分離を実施済みでしたが、社内承認フローは人的な確認が中心でした。
ある朝、オペレーション担当者が定時の残高確認を行ったところ、ホットウォレットの残高が前日比で大幅に減少していることに気付きました。送金履歴を確認すると、深夜帯に複数の未知のアドレスへ大口の送金が実行されていました。
分からなかったこと:誰が送金を承認したのか、秘密鍵がどのように漏洩したのか、送金先のアドレスが攻撃者のものなのか内部犯行なのか、そして——まだ被害が続いているのかどうか。
時間との戦いが最大の制約でした。ブロックチェーン上のトランザクションは不可逆ですが、送金先がまだ中央集権型の取引所に資産を移動していない場合、凍結要請によって回収の可能性が残ります。しかし、攻撃者がミキサーやブリッジを通じて資金を分散させると、追跡と回収の難易度は飛躍的に上がります。
次に、法的な枠組みが複雑でした。海外の取引所に対する凍結要請は、その国の法制度に準拠する必要があります。また、国内の法執行機関に被害届を出す際にも、ブロックチェーン上の証拠を「法的に有効な形式」で整理する必要がありました。
さらに、内部犯行の可能性が排除できない段階では、社内の誰に情報を共有するかも慎重に判断しなければなりませんでした。
同社の法務顧問を通じて、発覚当日の午前中にopen brainに連絡がありました。NDAは即日で締結し、2時間後にはオンラインでの緊急ヒアリングを開始。
すぐに決めたこと:ホットウォレットからコールドウォレットへの全資産退避、送金APIキーの全無効化、そして不正送金先アドレスのオンチェーン追跡の即時着手。
あえて決めなかったこと:「内部犯行か外部攻撃か」の仮説固定。証拠が揃う前に犯行主体を決めつけると、調査のバイアスにつながるためです。両方の可能性を等しく追う方針を取りました。
暗号資産の不正送金対応で最も重要なのは、「時間の使い方」です。ブロックチェーンの不可逆性は、攻撃者にとっても被害者にとっても同じです。資金が中央集権型の取引所に滞留している間が「回収の窓」であり、この窓が閉じる前に動けるかどうかが結果を分けます。
open brain が大切にしているのは、「全容が分かるのを待たずに、動ける部分から動く」こと。完璧な調査報告を作ってから行動するのでは遅い。不完全な情報の中でも、「今の時点で確度が高い部分」を見極め、そこから着手する。この判断力が、回収率に直結します。
また、オンチェーン追跡は技術だけでは完結しません。取引所のコンプライアンス部門との交渉、法執行機関との連携、法務チームとの協働——技術と法務と交渉力の三位一体が求められます。
不正送金に気づいたら、まず「出血を止める」こと。ウォレットの隔離とキーの無効化を最優先にしてください。その次に、できるだけ早く専門チームに連絡すること。時間が経つほど、回収の可能性は下がります。
「どこまで追えるか分からない」状態でも大丈夫です。オンチェーン上にデータは残っています。追跡の可否と回収の見込みは、初回のヒアリングで概算を出せます。
NDA対応可。緊急時は24時間体制で一次受付を行っています。