Bybit、ParaSwap DAOにハッキング関連手数料の返還要求:事件の経緯と波紋
2025年03月06日
リサーチメモ(masao i)
この記事を簡単にまとめると(AI要約)
目次
- Bybit、ParaSwap DAOにハッキング関連手数料の返還要求:事件の経緯と波紋
- ハッキング事件の経緯と手数料返還要求の背景
- Bybitの主張とParaSwap DAOの対応
- DeFiにおけるDAOの責任論と今後への影響
※免責事項:このレポートは生成AIで作成されており、査読は行われていますが必ずしも正しいとは限りません。重要な情報は確認するようにしてください。
2025年2月に発生した史上最大規模のハッキング事件(被害額14.6億ドル)で被害を受けた暗号資産取引所Bybitが、ParaSwap DAOに対し、ハッキングに関連する手数料の返還を求めており、この動きが業界内で大きな議論を巻き起こしています。
何が起きたのか。事件の時系列を含む経緯、Bybitの主張、ParaSwap DAOの対応、コミュニティや専門家の見解、さらにDAOの責任やDeFi全体への影響について概要を整理しました。
今回のParaSwapの対応が前例となり、THORChainをはじめとする他の暗号資産プロジェクトや類似の被害ケースにも影響を及ぼす可能性がありますので、この問題は単なる一企業とDAOの対立にとどまらず、DeFiの原則や倫理を問う試金石となるのでは?という見方もあります。CeFi/DeFiの運営者や導入を検討している方にとって、ハッキング発生時の対応を考える上での参考になれば幸いです。
今回のParaSwapの対応が前例となり、THORChainをはじめとする他の暗号資産プロジェクトや類似の被害ケースにも影響を及ぼす可能性がありますので、この問題は単なる一企業とDAOの対立にとどまらず、DeFiの原則や倫理を問う試金石となるのでは?という見方もあります。CeFi/DeFiの運営者や導入を検討している方にとって、ハッキング発生時の対応を考える上での参考になれば幸いです。
Bybit、ParaSwap DAOにハッキング関連手数料の返還要求:事件の経緯と波紋
ハッキング事件の経緯と手数料返還要求の背景
2025年2月21日、暗号資産取引所のBybitで大規模なハッキング事件が発生。北朝鮮系ハッカー集団「ラザルス(Lazarus)グループ」と思われるハッカーにより、約50万ETH(評価額14億ドル超)がBybitのウォレットから不正に引き出され、盗まれた資産の多くは数日のうちに分散型金融(DeFi)プロトコル経由で洗浄され、特に以下のルートが使われました。
- ParaSwap経由のスワップ取引: ハッカーは盗んだ資産の一部(LidoのステーキングETH=stETH)をParaSwapでETHにスワップしました。その際に発生した交換手数料として約44.67 ETH(約10万ドル相当)がParaSwap DAO(分散型自律組織)の収入となり、自動的にwETH(Wrapped Ether)にラップされてDAOトレジャリーに蓄積されました。
- THORChain経由の資金移動: 盗まれたETHの大部分はTHORChainという分散型クロスチェーン流動性プロトコルを使ってBTCに変換され、何千ものウォレットに分散されました。2月下旬にはTHORChain上の交換ボリュームが急増し、10日間で約59億ドル相当の取引高と550万ドルもの手数料収入が発生したと報告されています。THORChain運営コミュニティではハッキング資金流入を一時停止する提案が出されましたが、バリデータ(検証者)らは取引停止措置を取らず、これに抗議してコア開発者が辞任する事態にもなりました。一部では「見て見ぬ振りは怠慢であり、最悪の場合私利私欲だ」とTHORChainの対応を批判する声も上がっています。
このように盗難資金の追跡は困難を極めましたが、Bybit側も諦めず対策を講じました。Bybitの共同創業者かつCEOであるBen Zhou氏は、3月4日にX(旧Twitter)上で「盗難資産の77%は依然として追跡可能で、20%は行方不明、3%は凍結済みだ」と報告しています。具体的には、全体の約72%(361,255 ETH相当、約9億ドル)はTHORChain経由でBitcoinに交換され、16%はExCHというプラットフォームで姿を消し、8%(約1億ドル)はOKXのWeb3プロキシ経由で移動したとの分析結果を明らかにしました。さらにBybitは被害資金の回収に向けたLazarus Bountyプログラム(懸賞金制度)を立ち上げ、協力者への報奨金を提供しています。これまでにマンテルネットワークやブロックチェーン分析家のZachXBT、そしてParaSwapなど11の協力者によって計217万ドル相当の賞金が支払われたとされています。ParaSwapもハッカーが支払った手数料44.67 ETHを凍結し、返還提案に応じる姿勢を見せたことで資金追跡に貢献したとみなされています。
2025年3月3日、BybitはParaSwapのガバナンスフォーラムにPIP-59という提案を投稿し、前述の44.67 wETHを凍結してBybit指定のアドレスへ返還するよう正式に要求しました。提案文には「倫理的・評判的な影響を踏まえ、ParaSwap DAOがこの不正資金に起因する手数料を保有し続けるべきではない」として、資産回収を支援し責任あるガバナンス姿勢を示すため返還が望ましいと記されています。提案直後、ParaSwapコミュニティ内では投稿者の真偽に疑念の声も上がりましたが、3月5日になってBybit公式Xアカウントが「この提案はBybitによるものだ」と確認メッセージを発信し、正規の依頼であることを裏付けました。
Bybitの主張とParaSwap DAOの対応
Bybit側の主張と返還要求の理由
Bybitは、自社から盗まれた資産の一部がParaSwap DAOの収入(手数料)という形で留まっている状況に着目し、これを「犯罪に起因する利益」だと捉えて返還を求めています。提案の中でBybitは、ParaSwapが「広く報道されたエクスプロイト(ハッキング)に関連する収益」を意図せず保持する結果になっていると指摘しました。その上で「倫理的・道義的観点」からこの44.67 wETHを被害回復のため返還することが望ましいと訴えています。つまり、DeFiプロトコルがハッキング被害者を支援する姿勢を示すことで、業界全体の信頼醸成やガバナンスの健全性アピールにつながるという主張です。
Bybit側の主張の根拠としては、以下のポイントが挙げられます。
- 不正資金を利得しないという倫理観: ParaSwap DAOがハッカーによる不正取引から利益を得てしまうのは「悪い印象(bad optics)」を与えるとされます。そのため、その利益分を返還することで「他の業界プレイヤーを支援する姿勢」を示すべきだという論理です。実際、DeFi研究者のIgnas氏(ParaSwapのDAOデリゲートでもある)は「ParaSwapがハックから収益を得るのは見栄えが良くない。返還すれば業界の仲間をサポートすることになる」と指摘しています。
- 規制・法的リスクの回避: 不正由来の資金を保持し続けることは規制当局の監視や法的トラブルを招く可能性があるとも示唆されています。特に今回のハッカー集団は制裁対象にもなっている北朝鮮系であるため、DAOがその流出資金から派生した収益を抱える状況は好ましくない、という懸念です。Ignas氏も「資金を保持すると規制当局の scrutinies(調査の目)や法的な厄介事を引き寄せかねない」と述べています。Bybit提案文でも「この資金を凍結せず通常通りステーカーやDAO参加者に分配すれば、その出所ゆえにリスクにさらされる恐れがある」とリスク喚起されました。
- 業界全体での被害軽減: ParaSwapの対応が、他のプロトコルや被害事例にも波及する可能性があるとParaSwapの代表者は述べており、特に今回ハッカーが利用した他プロトコルとしてTHORChainが挙げています。事実、THORChain経由ではParaSwapをはるかに上回る500万ドル以上の手数料が発生しており、Bybitが同様の要求を行えばさらなる資金回収が見込める状況です。BybitとしてはまずParaSwapに前例を作ってもらい、業界横断的にハッキング被害資金の回収協力体制を築きたい思惑もうかがえます。
以上のようにBybitは、自社のセキュリティ不備から生じた損失であることを認めつつも、「コードによる自動収益であっても倫理的責任はあるはずだ」との立場から返還を求めています。その姿勢は被害者救済と業界の連帯を強調したものであり、中央集権・分散型の垣根を越えた協調を呼びかけるものと言えます。一方で、Bybit自身は「今回の損失は全て社内の準備金で穴埋めできる」と公言しており、返還資金がなくともユーザー影響はないとしています。それでもなお返還要求を行ったのは、金銭的補填だけでなく原則的な問題として提起したかったためでしょう。
ParaSwap DAO内での対応と議論
Bybitからの異例とも言える返還提案に対し、ParaSwap DAOコミュニティは真っ二つに意見が割れました。提案はフォーラム上で活発な議論を巻き起こし、賛成派・慎重派それぞれから多彩な主張が展開されています。
賛成派(返還容認派)の主な意見:
- 不正利益を保持すべきでない: 「ParaSwapは犯罪から得た利益で潤うべきでない」という倫理観に基づく意見です。あるメンバーは「Paraswapは防げるなら犯罪から利益を得てはいけない」と述べ、北朝鮮ハッカー由来の資金を保持すること自体が法的にも問題を孕むと指摘しました。このケースは業界全体に関わる重大事例であり、小口の詐欺案件まで逐一対応するのは現実的でないにせよ、「今回のような大規模で明白なケースでは協力すべきだ」という主張です。
- 業界仲間への支援・信用構築: 中央集権の取引所(CeFi)と分散型プロトコル(DeFi)の橋渡しとして、ここで返還に応じることは「善意と協調のアクト(行為)」だと評価する声もあります。ParaSwapが自ら進んで被害者救済に動けば、CeFi側との信頼関係が強まり、将来的な協業や信用向上につながるという見方です。この意見に立つメンバーは、「ハッキング被害の放置は業界全体のセキュリティ不安につながる。DeFiコミュニティができる支援は積極的に行うべきだ」とのスタンスを示しました。
- 部分的返還(バウンティ提案): 全額返還ではなく一部をDAO側で留保する中間案も複数提起されています。例えば「10%程度をバグ報奨金(バウンティ)として留保し、残りを返す」という案は有力な折衷策として議論されました。ParaSwapのコミュニティメンバーMehdi氏は「倫理基準を守りつつ、処理にかかる手間への対価として4.47 wETH(10%)をDAOの報酬としよう」と提案しています。この10%という数字は、Bybit自身が設けているバグバウンティ制度(不具合報奨金)の水準に合わせたものだと言及されています。他にも「返還額の一部をPSPトークンに換えて一定期間ステーキングしてもらい、Paraswapに利益をもたらす形で返す」というユニークな条件付き提案も出ました。いずれもDAO側が完全に損を被らない落とし所を探る試みと言えます。
- 正式な手続きと保証の要求: 賛成派の中でも慎重なメンバーは、返還に応じる前提として提案者が本当にBybit公式である証明や、法的な免責保証を求めています。実際、ParaSwapフォーラムではSEED Govというユーザーが「この投稿者が真のBybitかどうか確認したい。公式チャネルからの確認連絡はあるか?」と質問し、Bybit側に明確な証拠提示を求めました。また別のユーザーは、過去にMango Markets(DeFiプラットフォーム)のハッキング救済で返還と引き換えに法的免責契約を結んだ前例(Mango DAO事件)を引き合いに出し、同様にBybitから今後いかなる請求も行わないとの誓約書を取るべきだと提案しています。つまり、返還するにしてもDAOが法的リスクを背負わない体制を整えることが条件だという主張です。
慎重派(返還反対派)の主な意見:
- 「コードこそ法律」原則と前例づくりへの懸念: DeFiの基本原則である「コード・イズ・ロー(Code is law)」を盾に取る意見が多く聞かれました。ParaSwapで発生した手数料はスマートコントラクトに従い正当に得た収益であり、人為的に干渉すべきではないという立場です。「一度このような例外対応を認めてしまえば、今後ハッキングのたびに返金要求が押し寄せるだろう。どこで線引きするのか?」との懸念が示されています。実際フォーラムでは「小規模な詐欺でも返還するのか?主観的な基準が入り込めば、DeFiの中立性が損なわれる」といった指摘がありました。ParaSwapデリゲートのIgnas氏自身も「今回返したら、将来のケースではどうする?危険な前例になる」と警告しています。
- Paraswapの非責任とサービス提供の正当性: 「今回の盗難はBybit側のセキュリティ失態であって、ParaSwapに落ち度はない」という主張も根強いです。フォーラムではあるメンバーが「ParaSwapはハッキングに何ら責任はないし、被害資金そのものを保有していたわけでもない」と強調しました。ParaSwapはユーザーがトークンを交換する非託管型のツールを提供したに過ぎず、盗まれた資金の本体(プリンシパル)は既にハッカーの手元から離れている、という理屈です。実際、44.67 ETHはあくまでサービス提供に対する利用料(手数料)であり、「銀行強盗が盗んだ金でパン屋のケーキを買ったからといって、その代金をパン屋が銀行に返す義務はないだろう」というたとえ話も飛び出しました。この喩えになぞらえ、「我々は無許可型(パーミッションレス)のDEXとして正当にサービスを提供した。その対価を返せというのは筋違いだ」と強い否定の意見が出ています。
- すでにある“前例”との整合性: ParaSwap DAOは過去にも類似のケースに直面し、返還要求を否決した前例があります。2023年9月に起きたGMBL.Computerというプロジェクトのハックでは、ハッカーがParaSwapで資金をスワップした際に発生したUSDC手数料の返還提案が出されました。しかし当時のParaSwap DAOは「サービス提供による手数料なのだから返金しない」と判断し、返還を行わない決定を下しています。フォーラムでも「2023年の件と同じ理由で今回も対応すべきだ。前回ダメだったのに今回は特別扱いする理由はない」と指摘されました。この過去の意思決定との一貫性を重んじ、今回も返還拒否が妥当との声が上がっています。
- 中央集権的な「裁量介入」への抵抗: 慎重派は、DAOが各種ハッキング事案ごとに返金対応していくことは中央集権的な裁量介入に近づくと懸念しています。特定のケースだけ特別扱いし始めると、プロトコルの中立性・自律性が揺らぎ、「結局DeFiも恣意的な救済措置を行うならCeFiと変わらない」と見做されかねません。ParaSwapは「常にパーミッションレス(許可不要)であるべきで、中途半端な姿勢は示すべきでない」という意見もあり、もし返還に応じれば「Paraswapは自己の原則を曲げ、評判に傷が付く」といった批判も聞かれました。ある参加者は「DAOがCeFiのリスク管理の尻拭い役になるのか?分散型ガバナンスの独立性が問われている」と述べ、安易な返還はDeFi本来の理念(第三者による救済なき自己責任)を掘り崩すと警鐘を鳴らしています。
- 継続的負担への警戒: 一度返還を認めれば、今後Paraswapは「ハッキング被害の度に補填を期待される」存在になる可能性があります 。ハッキングは珍しい出来事ではなく業界内では頻発しています。慎重派は「今回 precedent(判例)を作れば、DAOにとって将来的な財政的負担となり得る」と主張しました。特にParaswapは本来ユーザーの取引から継続的収益を上げて成長するモデルであり、都度大口の返金を行っていればDAOトレジャリーやステーカーへの配当が目減りし、長期的に見てプロトコルの発展を阻害すると懸念されています。
こうした議論の末、ParaSwapコミュニティ内ではおおむね返還反対派が優勢との見方も出てきました。しかし明確な結論はまだ下されておらず、提案は引き続き審議中です。フォーラム上では賛否双方が丁寧に意見を積み重ねており、「最終判断にあたってはDAOメンバー全員の投票による民主的な決定が必要」とされています。「全額返還」「拒否」「一部返還(バウンティ留保)」という三つの選択肢が議論の軸となっており、近く正式な投票プロセスに移行する可能性があります。
現時点でParaSwap公式(Foundationや開発元のLaita Labs)からの明確な声明は出ていませんが、コミュニティの声を尊重しつつ対応を検討しているものと思われます。Bybit側も提案者としてフォーラムで対話を続けており、仮に返還が承認された場合はすみやかに資金移転が行われる準備があるようです。逆に却下となった場合でも、Bybitが直ちに法的措置に訴えるといった素振りは今のところ見られません。この問題は両者の主張の正当性が真正面から衝突する構図となっており、単なる一企業対DAOの争いを超えてDeFiの原則と倫理を巡る試金石と位置付けられています。
DeFiにおけるDAOの責任論と今後への影響
今回のBybitによる手数料返還要求とParaSwap DAOの対応をめぐる議論は、DeFiにおけるDAOの責任範囲について改めて考えさせられる出来事となりました。今後、同様のケースやそれに伴うルール作りにどのような影響を与えるのか、いくつかの観点から整理します。
DAOの責任範囲とガバナンスの変化:
これまで多くのDeFiプロトコルは「スマートコントラクトに従った結果には人為介入しない」という不文律を貫いてきました。利用者もそれを前提に「コードに責任を預ける」選択をしていたわけです。しかし今回の件のように、第三者のハッキング行為によってプロトコルが間接的に利益を得てしまうケースでは、DAOとしての意思決定が問われることになります。Paraswapコミュニティ内でも「今後この種の依頼は今回が最後ではないだろう。一貫した指針を持つ必要がある」との指摘がありました。具体的には「ハッキング被害の規模や性質によって対応を分類し、○○の場合は返還/○○の場合は拒否」といったフレームワーク作りを検討すべきとの声です。今回、ParaSwapがどのような結論を出すにせよ、それがひとつの判例となり他のプロジェクトも参考にする可能性が高いでしょう。DAOにとっては、自らのガバナンスポリシーや使命を見直すターニングポイントになると考えられます。
既存DeFiガバナンスへの課題提起:
ParaSwapの議論から浮かび上がった課題の一つに、「提案者の身元確認問題」があります。誰でも提案し得るDAOにおいて、今回のようにBybitを名乗る提案が本物かどうかを確かめるプロセスは整備されていませんでした。幸い公式確認が取れましたが、悪意ある第三者が嘘の返還要求を出すリスクもゼロではありません。今後、重要提案ではオフチェーンでの身元照合(例えば署名付きメッセージや関係者への照会)を行うルール作りが求められるかもしれません。また「意思決定の迅速性」も問われています。今回Paraswapは丁寧に議論を進めていますが、その間にも盗難資金はどんどん移動してしまいました。他方、THORChainのように対応を急がず自由放任にした結果、開発者が離反する事態も起きています。セキュリティ緊急時にDAOガバナンスは機敏に動けるのか?という課題は、他のプロジェクト含め検討が必要でしょう。
規制やルール変更の可能性:
DeFi領域でこのようなケースが増えれば、規制当局や法制度にも何らかの変化が起きる可能性があります。例えば、今回ParaSwapが返還を拒否した場合、法執行機関や裁判所が介入してDAOトレジャリーの資金差し押さえを求めるようなケースも将来的には考えられなくはありません(もっとも技術的・法的に容易ではありませんが)。逆に返還に応じた場合、「DAOも犯罪収益を返還する責任がある」との認識が広まれば、各国当局がDeFiプロジェクトに対し一定のコンプライアンス義務を課す口実になるかもしれません。既に米国などでは「DeFiもAML(マネーロンダリング対策)や制裁遵守をすべき」という議論が出始めています。今回のように北朝鮮関与が疑われるケースでは、OFAC(米国財務省外国資産管理局)の制裁対象資産に触れる恐れもあり、DAOメンバー個々人が法的責任を問われるリスクもゼロとは言えません。そのため、自主的に返還することは「結果として法的リスクを下げる」動きとも考えられ、そうした意味での自己規制が業界標準になる可能性もあります。
また、今回の議論を契機にDeFiプロジェクト間の連携や共同体制が強まる可能性もあります。Bybitの提案はある意味で「DeFi側へ助けを求めた」形ですが、将来的には主要なDEXやブリッジ、レンディングプロトコル同士でハッキング時の連携協定を結ぶ、といった動きも考えられます。例えば「大規模ハック発生時には関係プロトコル間で情報共有し、不正利用が判明した資金の凍結・返還に協力する」といったルールづくりです。これが進めば業界内の自主規制体制として評価され、逆にそれができないようであれば政府による介入・規制強化の口実となるでしょう。
結論:
BybitによるParaSwap DAOへの手数料返還要求は、単なる一件のトラブルに留まらず、分散型金融の原則と現実のせめぎ合いを浮き彫りにしました。DAOはコードに従うだけの機械的存在なのか、それとも倫理や社会的責任も担う主体となり得るのか――コミュニティは今、まさにその岐路に立たされています。今回のケースがどう決着するにせよ、その過程で示された議論の数々は今後のDeFiガバナンスの貴重な参考例となるでしょう。中央集権と分散型の壁を越えた新たな責任のあり方が模索されるなか、コミュニティの知恵と意思決定に世界中の関係者が注目しています。そして何より、この議論がより安全で信頼できる暗号資産エコシステム構築への一歩となることが期待されています。