ブロックチェーン分析企業チェイナリシスは、仮想通貨取引所バイビットから14億6000万ドルが盗まれた手口を詳細に分析し、北朝鮮のハッカー集団ラザルスが使用した資金洗浄の手法について明らかにした。
2月21日、バイビットは大規模なハッキング被害を受け、イーサリアム(ETH)を含む複数のトークンが不正流出した。セキュリティプラットフォームのブロックエイドは、この事件を史上最大の取引所ハッキングと呼び、ブロックチェーン分析を手掛けるZachXBT氏は、犯人が北朝鮮に関連するラザルスグループであると特定した。
2月24日、チェイナリシスは攻撃の詳細をまとめたレポートを発表した。このレポートでは、北朝鮮系ハッカーが使用する「共通の手口」に言及し、ソーシャルエンジニアリングと複雑な資金洗浄技術の存在を指摘している。
チェイナリシスによるリアクターグラフ. Source: Chainalysis
バイビットハッキングの手口
チェイナリシスによると、ハッキングはバイビットのコールドウォレット署名者を標的としたフィッシング攻撃から始まった。その後、攻撃者はバイビットのユーザーインターフェースにアクセスし、マルチシグウォレットの実装コントラクトを悪意のあるバージョンに置き換えた。これにより、不正な資金移動の処理が可能となった。
チェイナリシスによれば、ハッカーはバイビットのイーサリアムコールドウォレットからホットウォレットへの通常の転送を傍受し、約40万1000ETH(14億6000万ドル相当)を自身のアドレスへリダイレクトした。さらに、取引の追跡を困難にするために、資金を複数の仲介ウォレットに分割するという手法を用いた。
「盗まれた資産は、その後、複雑な仲介アドレスのネットワークを通じて移動された。これは、取引の痕跡を隠し、ブロックチェーン分析の追跡を妨害するための一般的な手法だ」とチェイナリシスは述べている。
ハッカーは盗んだETHの一部を、ビットコイン(BTC)やダイ(DAI)といった他の資産に交換し、分散型取引所(DEX)、クロスチェーンブリッジ、KYC(顧客確認)なしの即時スワップサービスを利用して資金を移動させた。
その後、これらの資金は複数のアドレスに分散され、動きを止めている。チェイナリシスは、これは北朝鮮のハッカーが使用する意図的な戦略であると説明している。
「資金洗浄を遅らせることで、こうした高額なハッキングの直後に発生する厳しい監視を回避しようとしている」と同社は指摘した。
仮想通貨コミュニティが盗難資金4000万ドルを凍結
ハッカーの資金洗浄が進行する中、チェイナリシスはブロックチェーンの透明性を活かし、サイバーセキュリティ企業が違法活動を追跡・監視できることを強調した。
同社は業界関係者と協力し、バイビットから盗まれた資金のうち4000万ドル以上を凍結することに成功したという。今後も官民協力のもと、可能な限り多くの資金を凍結・押収する方針だ。
コインテレグラフへのコメントで、チェイナリシスは今回の事件が脅威対策への積極的な投資の必要性を浮き彫りにしていると強調した。また、ユーザー資金の保護における透明性の確保が重要であるとし、「取引所は、規制当局やユーザーに対し、どのようにして資金の安全性を確保しているのかを明確に説明する必要がある」と述べた。
さらに、民間および公的機関の強固なパートナーシップが、こうした事件への対応能力を強化する鍵となると付け加えた。
