仮想通貨取引所バイビットで発生した15億ドル規模のハッキング事件の調査において、ブロックチェーン調査機関ナンセンとチェイナリシスは、北朝鮮のハッカー集団「ラザルスグループ」の資金洗浄手法を明らかにした。この手法には、流動性の低い資産を換金し、複雑な送金経路を構築することや、一部のウォレットを長期間休眠させることで監視の目を逃れるといった戦略があるという。
ナンセンによると、ラザルスグループの典型的な手法は、まず流動性の低い資産をより交換可能な資産に変換することから始まる。バイビットのハッキング後、犯人は少なくとも2億ドル相当のステーキングトークンをイーサ(ETH)に交換した。ETHはブロックチェーン上でより簡単に移動できるため、資金洗浄に適しているという。
資産を流動性の高いものへと変換した後、マネーロンダリングのプロセスが実行された。追跡を困難にするため、ハッカーは複数の中間ウォレットを経由し、資金の流れを複雑化させた。チェイナリシスによると、盗まれた資金は分散型取引所(DEX)、クロスチェーンブリッジ、さらにはKYC(顧客確認)が不要な即時スワップサービスを通じて洗浄された。
The complexity of Lazarus Group’s laundering efforts. Source: Chainalysis
最終的に、多くのETHはビットコイン(BTC)やステーブルコインのDai(DAI)に交換された。一部のブロックチェーン分析チームは、この資金の動きをリアルタイムで追跡することに成功し、Chainflipなどの分散型プロトコルを運営する組織が、犯人による資金洗浄の試みを阻止した。
この洗浄プロセスでは、盗まれた資金は細かく分割され、多数のウォレットに分散された。最初の送金(「ホップ」)では1つのウォレットから42のウォレットに分配され、その後42のウォレットからさらに数千のウォレットへと送金された。
現在までに、バイビットのハッキングで資金洗浄されたのは15億ドルの一部に過ぎない。ラザルスグループは、高額なハッキング事件が注目を集めることを避けるため、「待機する」という戦略も採用している。現在、複数のウォレットには合計9億ドル相当の盗まれた資金が眠ったままとなっており、監視の目が緩むのを待っているとみられる。
今回の約15億ドル規模のハッキングは、ラザルスグループが2024年に実行した47件の攻撃による合計13億ドルを上回るものであり、仮想通貨史上最大のハッキング事件となった。この事件は、バイビットを支援し、ハッカーと戦う仮想通貨コミュニティの結束を強める結果となった。
ラザルスグループは監視が厳しくなる中でも適応を続けている。コインテレグラフの報道によると、同グループのサイバー戦略は依然として世界で最も収益性が高く、洗練されたものの一つとされている。
