メインコンテンツまでスキップ

19 ヶ月で 3 度目の BtcTurk ハッキング:新興市場の CEX における「信頼の税金」

· 約 15 分
Dora Noda
Dora Noda
Software Engineer

3 件の侵害。19 か月。1 億 4,000 万ドル以上の消失。それにもかかわらず、BtcTurk は依然としてトルコの年間約 2,000 億ドルの仮想通貨取引量の大部分を処理しています。それは、ほとんどのトルコ人ユーザーにとって他に選択肢がないからです。

この緊張感こそが、4,800 万ドルという見出しではなく、2026 年 1 月の BtcTurk ハッキング事件の真実の物語です。トルコで支配的な取引所が 2024 年中盤以降で 3 度目となるホットウォレット資金の流出を許し、個人ユーザーが肩をすくめて取引を続けるとき、何らかの構造的な破壊が起きています。新興市場の仮想通貨ユーザーは、実質的な「信頼税」を支払っています。つまり、法定通貨の送金経路を確保する代わりに、国際的な競合他社よりも著しく脆弱なカストディを受け入れているのです。世界の仮想通貨の普及が投機的な取引からステーブルコイン建ての貯蓄へと移行するにつれ、この「税金」は無視できないものになろうとしています。

3 つの事件、1 つのパターン

2026 年 1 月 1 日の侵害は、Ethereum、Arbitrum、Polygon にわたる BtcTurk のホットウォレットを直撃しました。ブロックチェーン セキュリティ企業 AnChain は、損失額を 4,800 万ドルと推定しました。盗まれた資産はすぐに単一のロンダリング用ハブに集約され、分散されました。Binance は、被害額の約 11% にあたる 530 万ドルを凍結し、捜査を支援しました。

この一連の流れは、2024 年 6 月 22 日に起きたこととほぼ同一であるため、聞き覚えがあるはずです。その際、攻撃者は ETH、AVAX、ARB、BASE、OP、MANTLE、MATIC をカバーする 10 個の BtcTurk ホットウォレットから約 5,500 万ドルを引き出しました。Binance はその時も 530 万ドルを凍結しました。この全く同じ回収額は、高度な攻撃者が非協力的な場所を通じていかに迅速に資金洗浄を行っているかを物語っています。

その間の 2025 年 8 月には、3 度目の事件が発生しました。別のホットウォレットの侵害により、約 3,800 万ドルが失われました。

3 つの攻撃。それぞれがホットウォレットを経由しています。それぞれが同じ EVM チェーンのクラスターを横断しています。そして、それぞれが同じように解決しています。取引所が損失を吸収し、Binance がわずかな額を凍結し、数日以内にロンダリングが完了し、取引が再開されます。このパターンがあまりにも一貫しているため、単発の事件というよりは、2026 年においてホットウォレットを多用する取引所を運営するためのコストのようにさえ見えます。

なぜ損失は BtcTurk に留まるのか

3 つのハッキングすべてにおいて、BtcTurk は顧客の預金には影響がない、つまり盗まれた資金は取引所の所有物であると述べています。その表現は、取引所のバランスシート構造上は技術的に正確ですが、より深い脆弱性を隠しています。この規模のホットウォレットの損失は、営業利益、株主資本、あるいは最終的には損失が重なればユーザーの残高から捻出されることになります。

大手取引所が同じリスクをどのように構築しているかと比較してみてください。Coinbase は、保険会社シンジケートが引き受ける、1 事故あたりおよび累計限度額 3 億 2,000 万ドルの、毎年更新される商業犯罪保険を維持しています。複数の機関投資家向けプラットフォームのカストディを行う BitGo は、そのカストディ インフラストラクチャに保持されているデジタル資産を特にカバーする、2 億 5,000 万ドルのロイズ・オブ・ロンドンの保険に加入しています。Kraken は、特定の犯罪行為や侵害に対する保険適用を公表していますが、正確な数字は明らかにされていません。

BtcTurk の保険状況はそれほど明確ではありません。明らかなのは、合計 1 億 4,000 万ドルを超える 3 回の損失は、Coinbase 規模の保険プログラムであっても負担となり、次回の更新時に保険会社との再交渉を引き起こすだろうということです。

BtcTurk を代替不可能にするトルコのマクロ経済

なぜトルコのユーザーは、3 回も侵害された取引所を信じ続けるのでしょうか? それは経済的な必然性です。

トルコの仮想通貨市場は、中東および北アフリカ(MENA)地域で最大であり、年間取引額は約 2,000 億ドルに達します。これは UAE の 530 億ドルの約 4 倍です。MENA 地域全体では、2023 年 7 月から 2024 年 6 月の間にオンチェーンで約 3,387 億ドルが処理されましたが、トルコ単独でその大部分を占めています。

その原動力はリラです。2024 年のインフレ率は平均 58.5% で、2025 年後半には約 33% まで沈静化したものの、トルコの預金者は「リラは 2020 年から 2024 年の間に購買力の約 450% を失った」という厳しい教訓を学んでいます。仮想通貨は投機的な賭けではなく、家計の価値保存手段となりました。

特に USDT は現地市場を再構築しました。2024 年、USDT-TRY ペアは Binance で取引高が最大のペアとなり、220 億ドル以上が取引されました。これは次に多いペアの 5 倍以上です。現在、トルコの成人人口の半分以上が何らかの形で仮想通貨を保有しています。投資家ポートフォリオの 71% にビットコイン、45% にイーサリアム、33% にステーブルコインが含まれています。

それらのユーザーのほとんどにとって、BtcTurk は法定通貨のオンランプ(入り口)です。Binance Turkey、OKX、またはグローバルな取引所へのアクセスには通常、ステーブルコインの転送が必要になりますが、今月のリラの下落から逃れるために資産を動かしているとき、その摩擦は目的を台無しにします。そのため、ハッキングがあろうとなかろうと、ユーザーは現地のルートを使い続けるのです。

トルコの規制当局の対応とその限界

トルコは消極的だったわけではありません。2024 年 7 月、議会は同国初となる包括的な暗号資産法案を可決し、資本市場委員会(CMB)に暗号資産サービスプロバイダー(CASP)のライセンス付与および監督権限を与えました。2024 年 8 月までに、すでに 47 件のライセンス申請が行われました。2025 年 3 月 13 日、CMB は準備金、情報開示、カストディの分離をカバーする詳細な運用規則を発行しました。

トルコの金融犯罪調査機関である MASAK は、さらに踏み込みました。通達第 29 号(2025 年)では、BtcTurk の 3 つのハッキングすべてを特徴づけたような、急速なクロスチェーンの流出を遅らせるために設計された出金期間の制限、ステーブルコインの制限、および取引開示要件が導入されました。

しかし、規制は攻撃者の技術革新とは異なるタイムラインで動いています。2026 年 1 月の侵害では、MASAK の出金遅延メカニズムが作動する前に、数時間以内に 3 つの EVM チェーンを通じて資金洗浄が行われました。CMB のライセンスはガバナンス基準を強制しますが、取引所のホットウォレット アーキテクチャを書き換えるものではありません。

トルコ、そしてほとんどの新興市場で欠けているのは、取引所の規模に紐づいたカストディ保険の最低基準の義務化です。欧州の MiCA フレームワークや香港金融管理局のステーブルコイン制度は、いずれもその方向に進んでいます。トルコはまだその段階にありません。

地域的なパターンはもはや孤立したものではない

BtcTurk は例外ではありません。新興市場の CEX (中央集権型取引所)において、単なる逸話からトレンドへと変わったパターンの一部です。

  • WazirX、 2024年 7月(インド): Liminal との保管契約の下で運用されていたマルチシグウォレットから、約 2億 3,490万ドルが盗まれました。アナリストはこの攻撃を Lazarus Group によるものと断定しました。 1年にわたる法的手続きは 2025年 10月にようやく終了し、シンガポール高等裁判所は債権者再生計画を承認しました。ユーザーは全額回収ではなく、請求額の約 85% に相当する比例配分を受け入れることになりました。
  • Indodax、 2024年 9月(インドネシア): 約 2,200万ドルが盗まれ、 600万人以上のユーザーが影響を受けました。ここでも Lazarus Group が実行犯と疑われています。
  • BtcTurk、 3件の事件(トルコ): 本記事の主題です。

これらの取引所はいずれも自国市場を支配しています。各社は、国際的な取引所では簡単に再現できない現地通貨ペアを提供しています。そして、各社ともティア 1 の国際的な取引所であれば失格となるようなセキュリティ体験を提供してきました。

これが非対称性です。新興市場のユーザーは、必要なレールにアクセスするために、より高い手数料を支払い、より高い運用リスクを受け入れ、より薄い保険と法的救済しか受けられないのです。 3,400億ドルにのぼる MENA 地域の仮想通貨取引量は、その大部分がこの非対称性の上に成り立っています。

何がこのパターンを打破するのか

3つの現実的な道筋があり、それぞれにトレードオフが存在します。

1. グローバル取引所による現地法定通貨統合の深化 Binance Turkey、 OKX、 Bybit はすでに同地域で事業を展開していますが、トルコリラ( TRY )の入出金についてはサードパーティの銀行パートナーに依存しています。もし銀行が BtcTurk と同じ速度とコストで直接的な TRY レールを受け入れれば、ユーザーの移行が可能になります。制約:トルコの銀行規制当局は歴史的に、現地の取引所運営者を保護する目的もあり、仮想通貨と銀行の統合を制限してきました。

2. カストディ・保険の下限の義務化 トルコ資本市場委員会( CMB )は、ライセンスを持つ CASP (暗号資産サービスプロバイダー)に対し、毎日のホットウォレットのスループットに比例したインシデントごとの補償を維持するよう求める可能性があります。これは MiCA の資産分離ルールや、ステーブルコイン発行者に対する香港金融管理局( HKMA )の枠組みに似たモデルです。制約:この規模の保険キャパシティはどこからか調達しなければなりませんが、グローバルな引受会社はすでに新興市場の仮想通貨リスクを警戒しています。

3. インフラの MPC およびセルフカストディへの移行 BtcTurk の 3つの事件すべてに共通する弱点は、ホットウォレットのアーキテクチャ自体です。マルチパーティ計算( MPC )署名、 HSM (ハードウェア・セキュリティ・モジュール)に裏打ちされたキーシャード、およびポリシー強制型の出金コントロールは、構造的に損失面を縮小させます。制約:運用の複雑さとコストです。現地の取引所は歴史的に、規制上の圧力がある場合にのみこれらを受け入れてきました。

単一の道筋だけで問題が解決することはありません。グローバルな取引所が現地の価格設定に圧力をかけ、規制当局が保険とカストディの基準を義務付け、インフラプロバイダーがより優れたプリミティブを提供することの組み合わせが、今後 5年間の現実的な軌道となるでしょう。

より広範な市場シグナル

2026年 1月の BtcTurk ハッキング事件は、仮想通貨インフラの議論が「ステーブルコインはスケールするか?」から「それを保持するレールは、実際の普及に耐えられるか?」へとシフトしているタイミングで発生しました。 2026年第 2四半期には、世界のステーブルコイン時価総額が 3,110億ドルを超え、 USDT 単体で約 1,840億ドルに達しました。その成長の多くは、トルコ、アルゼンチン、ナイジェリア、ベトナムなどの新興市場での利用によるもので、ユーザーはステーブルコインを取引の担保としてではなく、貯蓄として保有しています。

もしそれらの貯蓄が BtcTurk レベルのセキュリティを持つ現地の CEX に置かれているのであれば、たった一度の壊滅的な事件が、一夜にして数百万人の個人ユーザーをセルフカストディへ向かわせるか、あるいはドルの現金や金へと押し戻す可能性があります。どちらの結果も、取引所の経済性、そして「貯蓄としてのステーブルコイン」という広範なテーゼにとって弱気な材料となります。

開発者やインフラプロバイダーにとっての教訓は実用的です。取引所ツールにおける次の成長フロンティアは、ティア 1 取引所が機能を追加することではありません。ティア 2 やティア 3 の現地取引所が、普及が深まるにつれてユーザーの信頼を維持できるレベルまで、カストディ、決済、保険をアップグレードすることにあります。

BtcTurk の 3度目のハッキングは、トルコだけの物語ではありません。それは、ホットウォレットのアーキテクチャがステーブルコイン規模のユーザー残高と出会ったときに、新興市場の仮想通貨スタック全体で何が起こるかを示すプレビューなのです。信頼に対するコストは実在し、それは複利的に増大しています。

BlockEden.xyz は、 Ethereum 、 Arbitrum 、 Polygon 、 Sui 、 Aptos 、および取引所のカストディ業務が実行されるその他のチェーンにわたって、エンタープライズグレードの RPC およびインデックス・インフラを提供しています。API マーケットプレイスを探索して、ホットウォレット時代の後に訪れる安定層のために設計されたインフラ上で構築を開始しましょう。

情報源

Share on Twitter