DeFimans注目記事ピックアップ:北朝鮮のハッカー集団が7000万ドル規模のPhemexハッキングに関与している可能性
クリプトの大衆化が進む中、国際的なセキュリティ対策が求められる
複数のブロックチェーンセキュリティ専門家によると、北朝鮮のハッカーがPhemex暗号資産取引所の数千万ドル規模のハッキングに関与している可能性があるとのことです。木曜日、シンガポールを拠点とする同取引所は攻撃を受け、7000万ドル以上の暗号資産が奪われました。
木曜日早朝、Phemexは複数のブロックチェーンセキュリティ企業から不審な活動を警告され、出金を停止しました。その時点で約3000万ドルが流出していましたが、攻撃は続き、さらに多くのトークンが盗まれたとされています。
PhemexのCEOであるフェデリコ・バリオラ氏は、Xで「ホットウォレットに関する報告を調査中ですが、コールドウォレットは安全で、誰でも確認可能です。詳細は追ってお知らせします」と述べました。
この攻撃は、他の著名な暗号資産取引所のハッキングで見られた脅威モデルに類似しているようです。MetaMaskの主任セキュリティ研究者テイラー・モナハン氏は、「すべての窃盗や詐欺には独自のオンチェーンの挙動があり、何が起きたのか、関与した人数、攻撃者の経験度合いを示すことができます」と語っています。
今回のケースでは、多数の異なる資産が同時に複数のチェーンで流出しました。盗まれたトークンは即座にネイティブ資産に交換され、まずは凍結可能なステーブルコインから価値の高い順に処理されました。攻撃者はBTC、ETH、SOLといった高価値資産を優先的に奪い、ステーブルコインであるUSDCやUSDTもETHにすぐさま交換しました。
その後、攻撃者はあまり知られていないトークンにも手を伸ばしたようです。例えば、最後の3件の取引ではARPAが1000ドル、ZRCが997ドル、NKNが1020ドル分盗まれました。また、何百もの異なるトークンが奪われ、取引所のウォレットにはわずか数セント分の無名アルトコインが残されました。
モナハン氏は「これらすべてが同時に行われていますが、スクリプトによる自動化ではありません」と述べ、「資産は手動で新しいアドレスに送られ、交換後さらに新しいアドレスに転送されます。その後、これらの資産はリアルタイムで動かされるのではなく、次週や翌月に洗浄チームが処理するまで保管されます」と説明しました。
取引の多さと標的となったブロックチェーンの広範さから、この攻撃は「これまでに何度も同様のことを行ってきた脅威的なグループ」によるものと考えられます。
仮名「SomaXBT.eth」で活動する暗号資産の脅威調査員は、北朝鮮と関連する、または北朝鮮を拠点とするグループが今回の攻撃の背後にいる可能性が高いと述べています。
「攻撃手法が彼らのものと似ています」と彼は語り、「他のチェーンで彼らの活動を見たことはありません」と付け加えました。
別のセキュリティ研究者(匿名を希望)が、この攻撃が、FBIが日本の暗号資産取引所DMM Bitcoinに対する3億800万ドル規模の攻撃の背後にいると考える国家支援グループ「TraderTraitor」を想起させると述べました。
Etherscanによると、EVMチェーンで少なくとも275件の取引が行われました。このグループは、イーサリアムのベースチェーン上で資産を奪うために少なくとも8つのアドレスを使用しており、Arbitrum、Base、Polygon、Optimism、zkSyncといったレイヤー2にも対応したアドレスを持っていました。
攻撃に関連するメインウォレット(0x5b34で始まるアドレス)は、少なくとも4400万ドルが流入したことが確認されており、Avalanche、Binance Smart Chain、Polkadot、Solana、Tronなどの資産を奪うためのアドレスも持っていました。
ブロックチェーンエクスプローラーによれば、SOLは少なくとも1600万ドル、XRPは1200万ドル、ビットコインは500万ドル相当が盗まれたと報告されています。
一方で、Phemexには現在約18億ドル相当の暗号資産が残されており、そのうち11億ドルが取引所独自のトークン「PT」によるものです。次いで大きな保有資産は、3億5500万ドル相当のビットコインと2億900万ドル相当のUSDTです。
同取引所は、CoinGeckoの信頼スコアで37位、取引量では55位にランクされており、今回のハッキングで被害を受けたユーザーに対する「補償計画」に取り組んでいると述べています。
攻撃に関連するアドレスでの取引は、東部標準時午前10時(平壌時間の午前0時)ごろに停止したことが確認されています。
元記事: