どうも、奨学金1500万プレイヤー阪大生のPEN(@PENwitmi)です。
タイトルの通り、仮想通貨をハッキングで盗まれてしまいました。
放心状態で放置してしまっていたのですが、少し回復したので原因を改めて調査しました。
結果から言うと、私のミスでEvernoteにMetamaskのSeed Phraseが残ってしまっていたことが原因でした。
今後、同様の被害が減ってほしいと思い、ブログ記事に残しておきます。
なおトランザクション記録から、被害にあったのは2021/8/31のようです。
『奨学金1512万でも破産せず幸せに生きています。』という本を書きました。
Amazonのkindleで購入することができます。
スマホやタブレットでも読めるのでぜひ一度ご覧ください。
0.137BTCと、1.82ETHを盗まれた
まず被害総額を確認しておきます。
盗まれたのは0.137BTCと、1.82ETHです。
それぞれ日本円で、約96万円、約84万円です。(10/29のレート換算)
合計すると約180万円ということになります。
経緯
Venus Protocolに2通貨をレンディング
盗まれた通貨2種類は、Binance Smart ChainのVenus Protocolにレンディングしていました。
またそれら両方を担保に設定し、少額のBUSDを借り入れていました。
年利は当初に比べてそれほど高くありませんでしたが、何もしないよりはと預け入れたままにしていました。
8/29に確認したときは、まだ無事だった
基本的には放置してガチホしていたのですが、定期的に残高を確認して記録していました。
8/29には、0.137BTC、2.01ETHを預け入れていることを確認しています。
また借入残高は2500BUSDでした。
担保割合的にも余裕があり、価格変動には余裕で持ちこたえられる想定です。
このとき、そろそろポートフォリオを変更して安全資産に移そうかと考えていたのですが、時間がなくて次の機会にまわしてしまいました。
このときに、せめてBinanceへ移行だけでもしておけば、と後悔しています。
9/14に確認したら、無くなっていた
次に、いよいよポートフォリオを変更しようとして確認したところ、Venusの残高がおおきく減っていました。
BTCはすべてなくなり、0.3ETHだけが残されていました。
そしてなぜか借入が350BUSDと0.74BNBになっていました。
おそらく残された0.3ETHを担保に、その時の上限まで借入れを行ったのだと思われます。
最初は値動きによる強制精算を疑いましたが、借りていないはずのBNB残高が変わっていたため、ハッキングを確信しました。
トランザクションを確認すると、8/31にこれらの作業が行われていたようでした。
この時点で、放心状態になってしまい、すべての作業を諦めました。
10/29に再度確認したら、更に残高が変わっていた
Venus Protocolに預けられていた残りの0.3ETHのうち、0.12ETHが更に減っていることを確認しました。
確認すると、どうやら10/16にまた操作が行われた様子でした。
この1ヶ月で相場が急騰したため、担保額が変動して生まれた余剰を引き出したものと思われます。
考察
当初の考察(9/14)
まず最初に、Seed PhraseやSecret Key(秘密鍵)をどこかに入力したかどうかを考えました。
偽のサイトにSeed Phraseを入力させる詐欺が当時横行しており、その被害についても多方面から聞いていたためです。
しかし、Seed Phrase自体をMetamaskのウォレット作成と、新しいPC購入時にしか使っていません。
また、Secret Keyはコピペ自体したことがありません。
なので、入力による鍵の盗難は考えられませんでした。
次に、公共ネットワークを使用している間にPCがハッキングされた可能性も考えました。
しかし、基本的にそのタイミングではDeFiを触らないようにしていたので、これも選択肢から外しました。
盗まれた資産はVenus Protocolのものだけで、Alpaca FinanceやPancakeswapにプールしたものは残されていました。
なのでVenusを狙ったハッキングを一瞬疑いましたが、どうやらそういった公式アナウンスもありませんでした。
途方に暮れて、ここで考えることをやめてしまいました。
10/29にわかったこと
10/29、突然見に覚えのないノートがEvernote(オンラインメモ帳)に追加されていました。
これが原因で、Evernoteのアカウントがハッキングされていることが判明しました。
私は日常にEvernoteを多用しています。
しかし、仮想通貨関係ではあまり使わないように気を遣っているつもりでした。
Seed Phraseは印刷して自室の引き出しにしまい込んでおり、Evernoteには残していないつもりでした。
しかしどうやら、その印刷をする際に一度Evernoteにペーストしたノートの情報が残ってしまっていたようでした。
これが原因で、MetamaskのSeed Phraseが漏れてしまい、資産を引き出されてしまったことがわかりました。
対応
残った資産をBinanceへ
盗まれた資産はVenus Protocolに預けていたBTCとETH、そしてウォレットに残っていた少額のBNBです。
PancakeswapやAlpaca Financeにプールしていた資産はすべてそのまま残っていました。
合計30万円程度しかありませんが、一旦救出することにしました。
これらの資産を一旦全てMetamaskに戻し、Binanceの口座へ送金しました。
Metamaskの主導権は握られたままなので、作業に時間がかからないように迅速に行いました。
MetamaskのSeed Phraseの変更はできないようなので、今後Metamaskを使う時には再セットアップして、全く新しいウォレットを使うことになりそうです。
(今はまだそのまま放置しています)
Evernoteのセキュリティ見直し
Evernoteには二段階認証システムが追加されていたのですが、面倒臭がって設定を先延ばしにしていました。
これを改めて設定し直しました。
また、端末ログインを確認すると、なんと3件も見覚えのないログインがあったため、それらすべての端末ログインを解除しました。
今後、新たな端末でログインや操作を行うときには、自分の携帯電話宛のSMSが必要になりました。
またその上で、Seed Phraseが書かれたノートをきちんと削除。
紙に印刷したものが家に残されているだけの状態です。
(火災などで消失するリスクが残りますが…また今後の課題です)
反省点
Seed PhraseがEvernoteに残っていた
これが最大のミスです。
MetamaskのSeed Phraseは盗難のリスクが非常に高いため、誰にもアクセスできない状態にしておくべきです。
私の場合、削除した”つもり”の状態でオンライン上に残っていました。
Evernoteアカウントを二段階認証にしていたならまだしも、メールアドレスとパスワードだけでログインできる状態でした。
実際、ベトナム、ウクライナ、パキスタンの3箇所からログインの痕跡がありました。
(メールでその旨の通知が来ていましたが、見落としていたようです)
資産をVenus Protocolに集中させていた
Binance Smart Chain上にあった資産の殆どを、Venus Protocolに集中させていました。
一時はAlpaca Financeに分散させたり、そもそもチェーンを変えてpolygon(MATIC)に入れていたのですが、管理のしやすさのために放置する前に一箇所に集めてしまっていました。
そもそもリスク資産をもっと早くリバランスすべきだった
今回の事件は、実はプライベートで大きな出費があり、生活資産が不足するために現金化を考えている矢先のことでした。
もともとは急騰するまえに購入した通貨だったのですが、値上がり後もそのままのバランスで放置していました。
有価証券や投資信託、もしくは預金などの資産とのバランスを、随時変更していくべきだったと思います。
今後の方針
今回盗まれた資産は、もともと急騰する2021年1月よりも前に購入したものがほとんどです。
購入原資としては、せいぜい20〜30万円程度でしょうか。
増えたあぶく銭が、手元に入る前に消えてしまった、という感じです。
それが不幸中の幸いでしょうか、もともとなかったものと考えるしかありません。
運用原資のほとんどを持っていかれたので、一旦はBSCを使うことをやめることにしました。
国内取引所に残っている残高をガチホ継続するだけとしておきます。
また、リスク資産と安全資産のリバランスについて、より注意深く考えることにします。
もしご支援いただける方がいらっしゃれば、よろしくお願いいたします。
