暗号資産交換業のQUOINE(東京都千代田区)は2021年9月3日、8月19日発生した不正アクセスと暗号資産の流出についての最終調査結果報告を公表した。
事案の経過については、同社とシンガポール関係会社Quoine Pte.Ltd.が暗号資産の入出庫用に利用しているMPCウォレットに、何者かが不正アクセスして暗号資産を流出させた。MPCウォレットは保安性が高い技術だが、緊急時のバックアップ用のリカバリー鍵が存在しており、このリカバリー鍵を悪用することによりウォレットを侵害して暗号資産を流出させたものと判断しているという。
被害状況については、総額約7.54億円(約686万米ドル)相当で、QUOINEの管理ウォレットからの流出という。顧客から預かっている暗号資産は、その相当額以上を分別管理用のコールドウォレットで保管していて、コールドウォレットには被害はなかった。
一方、Quoine Pte.Ltd.の被害は総額約100.5億円(約9,135万米ドル)相当で、流出した暗号資産のうち、約19.1億円(約1,740万米ドル)相当のERC-20の暗号資産については、暗号資産コミュニティおよびその他の取引所の支援によりこれらの移動について凍結処理(オンチェーン移動は無効)となっている。今後も引き続き資産回収を続けるという。
不正アクセスはウォレット関係に限定されており、顧客の個人情報等に被害はない。
対応状況については、悪用されたリカバリー鍵は完全に無効化し、新規のリカバリー鍵を再作成、24時間体制の監視体制を含めた厳重な管理下に置いている。
復旧作業と並行してハッキング直後から停止していた入出庫サービスは安全確認後、BTC(ビットコイン)は8月27日、他の4通貨は8月30日に復旧した。
また、QUOINEとQuoine Pte.Ltd.は、親会社リキッドグループからの増資手続きを8月31日に完了した。