セーフウォレットの開発チームは、2月に発生した仮想通貨取引所バイビットの14億ドル規模のハッキングについて、詳細なサイバー攻撃の手口を明らかにする報告書を発表した。
セーフウォレットとサイバーセキュリティ企業マンディアントによるフォレンジック分析によると、ハッカーグループはセーフの開発者のアマゾン・ウェブ・サービス(AWS)のセッショントークンを乗っ取り、多要素認証(MFA)を回避したことが判明した。
セーフウォレットのAWS設定ではチームメンバーに12時間ごとにAWSセッションの再認証が求められており、ハッカーグループは新しいMFAデバイスを登録することで侵入を試みた。しかし、MFAデバイスの登録に何度も失敗した後、攻撃者は開発者のMacOSシステムをマルウェアによって侵害し、そのセッションがアクティブな間にAWSセッショントークンを使用することに成功したという。
ハッカーはAWS環境内で攻撃の準備を進め、最終的にハッキングを実行した。
攻撃のタイムライン. Source: Safe
マンディアントのフォレンジック分析では、今回のハッカーが北朝鮮とつながりのあるハッカーグループが関与していることも確認された。このグループは、攻撃の準備から実行までに19日間を費やしていたという。
最新の発表では、今回のサイバー攻撃がセーフのスマートコントラクトには影響を及ぼさなかったことが改めて強調された。また仮想通貨史上最大規模のハッキングを受け、セーフの開発チームは追加のセキュリティ対策を講じたことも明らかにした。
バイビットハッカーによる資金洗浄に警戒
米連邦捜査局(FBI)はバイボットのハッキング事件を受け、ノード運営者に対し北朝鮮ハッカーに関連するウォレットアドレスのトランザクションをブロックするよう要請した。FBIは、これらの資金がマネーロンダリングされ、法定通貨に変換される可能性が高いと警告している。
FBI warning about North Korean hackers behind バイビット hack. Source: FBI
実際バイビットのハッカーは盗んだ資金のマネロンを進めている。3月4日、バイビットのあるベン・チョウCEOは、盗まれた資金の約77%(約10億7000万ドル相当)は依然としてオンチェーン上で追跡可能であると述べた。一方、約2億8000万ドル分の資金は追跡不能になっているという。
