オンチェーンデータが示す、2億9200万ドルのKelpDAOと2100万ドルのHumanityハッキングは同一犯行

オンチェーン調査機関は、2億9200万ドルのKelpDAOブリッジ不正流出事件と2100万ドルのHumanity Protocol盗難事件が、同一の北朝鮮関連攻撃者によって実行されたことを確認した。

オンチェーンアナリストは、Humanity Protocolから盗まれた2360万ドルの資金を、4月に発生した2億9200万ドルのKelpDAOブリッジ不正流出の収益も保持するビットコインウォレットまで追跡し、この2つの攻撃が同一グループによるものであることを確認した。

「資金は同一のウォレットに到達している」と、ブロックチェーンアナリストのSpecter氏は述べ、オンチェーン証拠に基づき、Humanity攻撃者が1万5403 ETHをビットコインネットワークにブリッジし、そこでKelpDAO不正流出に由来する収益と混合されたと指摘した。

4月18日に発生したKelpDAO攻撃では、ハッカーがLayerZero Labsが運営する内部RPCノードを侵害し、イーサリアムブリッジコントラクトを欺いて、送信元チェーン上での対応するトークンバーンなしに11万6500 rsETHを引き出させた。Chainalysisはこの不正流出を北朝鮮のLazarus Groupによるものと断定した。6月8日に発生したHumanity Protocolのセキュリティ侵害は異なる手法を用いたが、同一の最終着地点に至った。Quantstampが6月11日にHumanity Protocol向けに作成したインシデント報告書によると、韓国の取引所Bithumbを装ったフィッシングメールにより、攻撃者は会社役員のWindowsマシンへのリモートデスクトップアクセスを獲得した。攻撃者はMetaMaskウォレットの鍵を複製し、それらを使用してイーサリアムおよびBNBスマートチェーン上で無許可の$Hトークンを鋳造・売却し、トークン価格を約89%暴落させた。Quantstampはこの侵入を「北朝鮮による侵入の特徴」と表現した。

2ヶ月の間隔があり、まったく異なるインフラを標的とした2つの攻撃間の確認された関連性は、DeFiおよび暗号アイデンティティプロトコルに対する調整された国家支援キャンペーンを示唆しており、セクター全体のセキュリティ監査および保険コストの重要性を高めている。

資金はどのように追跡されたか

Specter氏は、Humanity Protocolの攻撃者が約2360万ドル相当の1万5403 ETHを新しいイーサリアムアドレスに移動させた後、ビットコイン上に資金を移したことを特定した。そこで、盗まれた資産はKelpDAO不正流出の収益と混合された。これは、別々の作戦からの資金を統合して統一されたビットコインウォレットにまとめ、その後ミキサーや店頭取引デスクを通してルーティングするという、Lazarus Groupのよく知られた手法である。

KelpDAO攻撃だけで約2億9200万ドルのrsETHが引き出されたが、Arbitrum Security Councilが攻撃者の下流資金のうち3万ETH以上を凍結し、KelpDAOの緊急停止によりさらに9500万ドルの流出が防止された。Quantstampの調査結果によると、Humanity Protocol攻撃者の既知のアドレスにある収益はETH換算で2100万ドル以上にのる。

法的な複雑さが回復を困難に

北朝鮮との関連性が確認されたことで、資金回収の取り組みに法的なひねりが加わった。北朝鮮に対して8億7700万ドルを超える未払いの米国裁判所判決を保有する原告らは、4月30日にArbitrum DAOに対し制止通知を送達し、KelpDAO不正流出に関連する凍結資金のうち約3万766 ETH（約7100万ドル）の差し押さえを求めた。原告らは、資金が北朝鮮に関連している以上、未払い判決の一部として北朝鮮に関連する資産を差し押さえる権利があると主張した。

裁判所は後に、凍結されたKelpDAO資金をAaveに戻すというArbitrumのガバナンス投票を承認した。Aaveは、この不正流出が80億ドルを超えるユーザー引き出しを引き起こした後、推定1億9000万ドルから2億3000万ドルの不良債権を抱えていた。2つの攻撃間の確認されたオンチェーンリンクに対して原告らがどのように対応するかは不明だが、Humanity Protocolの損失も同様の訴訟に直面する可能性がある。

本記事は情報提供のみを目的としており、投資助言を構成するものではない。