ブロックチェーンセキュリティ企業は21日、暗号資産(仮想通貨)取引所のBybit(バイビット)から大量の資金が盗まれたことを報告した。
盗まれた資金は暗号ミキサー(トランザクションの履歴を混ぜ、追跡を困難にするサービス)へ送られ、ビットコイン(BTC)に変換されたとされる。この動きは、取引履歴を隠す狙いの試みと考えられている。
Elliptic(エリプティック)は、北朝鮮のハッカーグループ「ラザルスグループ」(国家支援型ハッカー集団)の関与を示唆した。 同グループは盗まれた資金を暗号ミキサーを利用してマネーロンダリングしており、追跡を困難にしている。
Bybitハッカーの動向
同社は、バイビット取引所でのハッキング事件により、14億ドル(約2000億円)のデジタル資産が盗まれたと報告した。
ハッカーは暗号ミキサー(トランザクションの履歴を混ぜ、追跡を困難にするサービス)を利用して資金を送金し、当局の追跡を逃れようとした。
「過去のマネーロンダリングのパターンに従えば、次にミキサーが使用される可能性がある」と同社は述べた。
同社は、数十億ドル規模の暗号資産強盗事件を北朝鮮の同グループに帰属させた。
同社は盗まれた資産の規模が極めて大きいため、洗浄が困難である可能性を指摘している。
「北朝鮮のラザルスグループは、最も洗練され、最もリソースが豊富な暗号資産のマネーロンダリンググループであり、常に手法を改良して資金の識別や押収を回避している」と同社は公式ウェブサイトで説明した。
マネーロンダリングのプロセス
同社は、北朝鮮のラザルスグループが特徴的なパターンで資金洗浄を行うと説明した。 最初の工程は、盗まれたトークンをネイティブブロックチェーン資産、例えばイーサ(Ether)に交換することである。
この手法は、トークン発行者の存在によりウォレットが凍結される可能性がある一方、イーサやビットコインには中央機関が存在しない点に由来する。
バイビットの盗難事件では、stETHやcmETHなど数百万ドル相当のトークンが初動でイーサに交換された。 ハッカーは分散型取引所(DEX)を利用して資金交換を実施した。
「マネーロンダリングの第二段階は、盗まれた資金を『層にする(layer)』ことで取引履歴を隠す試みだ。ブロックチェーンの透明性によりこの取引履歴は追跡可能だが、これらの層を重ねる手法は追跡プロセスを複雑にし、洗浄者に貴重な時間を稼ぐことができる」と同社は指摘した。
この『層化』は、複数の仮想通貨ウォレットを介して資金を送金するか、異なるブロックチェーン間で移動させるか、または異なる暗号資産間で交換する方法で行われる。
システマティックに空にされた資金
同社は、北朝鮮のハッカーがマネーロンダリングの第二段階である『層化』プロセスを進めていると述べた。 この手法では、ハッカーが盗んだ資金を事件発覚後わずか2時間以内に50の異なるウォレットへ送金し、各ウォレットには約1万イーサが保持されている。
同社によれば、23日午後10時(UTC)時点で、盗まれた資産の10%(約1億4000万ドル相当)がこれらのウォレットから移動済みである。 その後、資金は分散型取引所、クロスチェーンブリッジ、中央集権型取引所などの各種サービスを経由して洗浄された。
歴史上最大の強盗事件
報告によると、2025年2月21日にドバイ拠点のバイビットから推定14億6000万ドル(約2100億円)のデジタル資産が盗まれた。 調査員は、マルウェアを用いて取引所に不正な取引を承認させ、資金が盗人へ送金される仕組みを構築されたと示唆した。
この事件は「史上最大の暗号資産強盗事件」と呼ばれ、2021年にPoly Network(ポリネットワーク)から盗まれた6億1100万ドル(約800億円)の事件規模を大きく上回るものである。
