暗号資産のハッキング事件は、ニュースになる。犯人が逮捕された場合も同様だ。2016年に発生した暗号資産取引所ビットフィネックスのハッキングに関連して、約36億ドル相当のビットコイン(BTC)が押収され、2名がマネーロンダリング容疑で逮捕されたことも、その一例だ。
この2人の逮捕には、暗号資産分析が大きな役割を果たした。一方、その分析サービスが、取引所ハッキングの2人の容疑者の汚名を晴らした例もあるのだ。
2020年11月、ベネズエラ人のソフトウェア開発者、ホゼ・マヌエル・オソリオ・メンドーサ(José Manuel Osorio Mendoza)氏とケルビン・ジョナサン・ディアス(Kelvin Jonathan Diaz)氏は、バンカー(Bancar)と呼ばれる暗号資産取引所から約100万ドル相当のビットコインを盗んだ疑いで現地警察に身柄を拘束された。
2人は無罪を主張したが、それを裁判で証明できるかどうかについては自信がなかった。
「ベネズエラは暗号資産に対してはオープンな姿勢だが、この国には、技術的に無知な面が多くある。(中略)テック企業で働いていたが、あまりに新しく、異質な暗号資産というものを、どのように説明できるのかと、疑問を感じていた」と、メンドーサ氏は裁判官に伝えた。
身柄を拘束された当時、2人は以前バンカーにサービスを提供していたベネズエラのソフトウェア開発会社POSINTで働いていた。会社やスタッフの汚名を晴らそうと、POSINTのCOOダニー・ペナゴス(Danny Penagos)氏は、ブロックチェーン分析企業サイファーブレード(CipherBlade)にバンカーへの攻撃の調査を依頼した。
その結果、サイファーブレードから提出されたレポートをCoinDeskは入手。そこには、セキュリティの脆弱性と罪の転嫁の複雑なストーリーが語られていた。そして盗まれたビットコインは、先日ブラックリストに掲載されたSuex.ioからロシア国籍の人物の元にまでたどられていた。レポートによると、盗まれたビットコインは最終的に、大手取引所バイナンスへとたどり着いたのだ。
ベネズエラの裁判所は、サイファーブレードのレポートに目を通すことに同意した。それに基づき、拘束からひと月以上経った2021年1月、裁判所は2人に条件付きでの自由を認めた。2021年の8月には、裁判所は正式に2人に対するすべての告訴を棄却した。
2019年から2020年にかけて、違法な暗号資産取引の取引高は半分以上減少したが、それでも数十億ドル規模である。ブロックチェーン分析企業に対する違法取引追跡の需要は、急上昇している。
大手ブロックチェーン分析起業チェイナリシス(Chainalysis)は、米政府と数百万ドル規模の契約を結んでおり、昨年9月にはマスターカードが、ブロックチェーンをスキャンして違法行為を検知する企業サイファートレース(CipherTrace)の買収に合意した。
サイファーブレードの調査官ミゲル・アロンゾ・トーレス(Miguel Alonso Torres)氏は、同社はハッキングから盗難まで様々な事件を取り扱うと語った。時には、離婚する夫婦の1人が、相手が保有する暗号資産を完全に開示していないと疑うケースを担当することもあるそうだ。
しかし、2人の容疑者の嫌疑を晴らすのは、トーレス氏にとっても初めての経験だった。「裁判所に対して、逮捕された人が本当は無実であることを証明するためにハッキングを調査するというのは、まったくもって独特な経験だった。それまで一度もなかったことだ」と、トーレス氏は語った。
取引所のハッキング
ことの始まりは、バンカーがPOSINTに、暗号資産取引所構築のサポートを依頼したことだった。
ベネズエラのマドゥラ大統領は2018年、同国の備蓄石油が裏づける政府発行のデジタル通貨「ペトロ」をローンチ。ペトロの普及を押し進めるための大統領の強引な手法は、多くの国営企業に売上の一部をペトロに交換するよう命じたり、国民に対して、新しいパスポートの料金をペトロで支払うよう義務づけるなど、多岐にわたっている。
地元メディアは2018年10月、マドゥロ大統領が6つの地元暗号資産取引所に、ペトロの販売を許可したと報じ始めた。報道によると、バンカーは大統領が許可を与えた6つの取引所の1つであった。
バンカーが承認を受けたことで、POSINTが取引プラットフォームの開発を依頼されたと、ペナゴス氏は語った。そして、依頼された作業が完了すると、POSINTはソースコードをバンカーに引き渡したと、ペナゴス氏は説明した。
バンカーは、複数回にわたるコメントの求めに応じなかった。
サイファーブレードのレポートによれば、その1年後、100万ドル相当の103.99BTCがバンカーからサイバー攻撃によって盗まれた。ビットコインは2019年9月4日に行われた3件の取引、9月7日に行われた2件の取引によって、盗まれたのだ。
ペナゴス氏によれば、バンカーはすぐさまPOSINTを疑った。ペナゴス氏は、単純な追跡作業を行い、盗まれた資金がバイナンスに渡ったことを突き止めた。
「プロのハッカーが、それだけの資金をバイナンスのような大型取引所に預け入れるとは思えない」と、ペナゴス氏は語った。
ペナゴス氏はバンカーにメールで連絡し、ハッキングの調査をサイファーブレードに依頼するか、バイナンスに盗まれた資金の回収を依頼するよう頼んだ。
そしてさらに1年後の2020年12月、地元メディアはメンドーサ氏とディアス氏の逮捕を報じた。当時メンドーサ氏はPOSINTの最高技術責任者、ディアス氏はシニア開発者であった。
「私たちは困惑した」と、拘束された日を振り返ってディアス氏は語った。
地元メディアや国際的な暗号資産ニュースサイトは、2人の拘束について伝えた。
「プラットフォームのセキュリティを迂回した後、2人はビットコインと法定通貨を、関連する複数のアカウントへと移動させたとされている」と、暗号資産ニュースプラットフォームDecryptoは報じた。
一方、容疑者となった2人は自らの無実を証明できるかどうか、確信できなかった。
「拘束されている間は、疑念が増して行った」と、メンゾーサ氏は語った。
POSINTは、2人が盗みを働くことができなかったことを証明すれば良かったが、それは簡単なことではなかった。
「すべての取引が、公開された、変更不可能で永続的なブロックチェーン台帳に記録されるため、暗号資産は独自の透明性を持っている」と、チェイナリシスのガーベイス・グリッグ(Gurvais Grigg)氏は説明し、次のように指摘した。
「ブロックチェーンは人間を読み取ることはできない、というのが困難な点だ。取引は匿名で行われるため、ブロックチェーン上の取引を行った人を割り出すのは困難だ」
2人が拘束された後、ペナゴス氏は自らバイナンスに連絡を試みたが、返答をもらえなかった。そこでついに、サイファーブレードに頼ることになったのだ。
「調査が始まると、やっと安心し始めることができた」と、メンドーサ氏は語った。
資金の流れを追跡
調査を始めてひと月以内に、サイファーブレードは盗まれた資金の軌跡を、かなり詳細に突き止めることができた。
「資金の流れを見ると、あまり巧妙に実行されなかった目眩しの手法があった」と、サイファーブレードのポール・シベニック(Paul Sibenik)氏は語った。
103.99BTCが5件の取引でバンカーから盗まれると、犯人は盗んだビットコインを2つのアドレスへと送った。
そして最終的に、盗まれたビットコインはバイナンス上の以下の1つのアドレスに集約された。1ECeZBxCVJ8Wm2JSN3Cyc6rge2gnvD3W5K
しかし、何かがおかしかった。
「最初は、すべてのビットコインがバイナンスに行ったのを突き止めた」と、シベニック氏は述べる。「しかし、資金が向かったアドレスは、バイナンス上のハッカーの個人アカウントではなかったことが分かった。何らかのサービスを提供するアカウントだったのだ」
サイファーブレードによると、バイナンスは調査官に対して、アドレスはOTC(相対取引)サービスを提供するモスクワの企業Suex.ioと関連するものだと伝えた。
つまり、バンカーから盗まれたビットコインはまず、犯人の持つ2つのアドレスに向かい、犯人はその後、Suex.ioを使ってビットコインを別の資産に交換したのだ。
犯人はSuex.ioのOTCサービスを使って、盗んだビットコインをマネーロンダリングしたのだ。Suex.ioはその後、盗まれたビットコインを、バイナンスのアカウントへと送った。
サイファートレードは、Suex.ioに情報提供を依頼したが、シベニック氏とトーレス氏によると、同社は協力的ではなかった。
「Suex.ioのクライアントとなる可能性がある人は当時、Suex.ioには情報を提供する義務がないことを知っていた」とトーレス氏は語り、次のように続けた。
「どんな人と取引をしているのか、資金がどこから来たのかなんて気にしないのだ。私としても匿名性やプライバシーは尊重したいが、倫理的な責任もある。この事件は非常に重要なものだ。2人の人が刑務所に入れられていたのだから」
レポートによると、バイナンスはSuex.ioに資金源情報開示を要請し、空白を埋めることでサイファーブレードを助けてくれた。暗号資産取引所は、顧客にそのような要請を行い、プラットフォームに預け入れられた資産の起源を説明するよう依頼できるのだ。
Suex.ioがシェアした情報によって、サイファーブレードは犯人のIPアドレスからメッセージアプリ「テレグラム」でのハンドルネーム、インターネットプロバイダからWebブラウザまで、あらゆる情報を突き止めることができた。すべての情報が、ロシア国籍の人物を示唆していた。
「メンドーサ氏とディアス氏が罪を着せられていたことが、明白となった」と、シベニック氏は語った。
一方、Suex.ioは2021年9月、暗号資産取引所として初めて、米財務省外国資産管理局の制裁対象となり、テロリストや麻薬密輸人と同じ分類に入れられた。興味深いことに、バイナンス上のSuex.ioのアドレスは、外国資産管理局の制裁対象リストに挙げられたデジタル通貨アドレスの1つだったのだ。Suex.ioも、複数回にわたるコメントの求めに応じなかった。
バイナンスはCoinDeskに対し、サイファーブレードの調査に協力したこと、社内でのセキュリティ措置に基づいて、問題のアカウントを停止したことを認めた。しかし、アカウント停止の時期を具体的に明かすことはなかった。
「銀行やその他の伝統的金融機関同様、違法な資金が取引所を経由した場合、取引所自体が犯罪者に隠れ蓑を提供している訳ではなく、仲介業者として悪用されているのだ」と、バイナンスの広報担当者は説明した。
取引所の脆弱性
サイファーブレードはまた、バンカーの調査も行い、攻撃を可能にした多くの脆弱性を発見した。
まず、「http://bancarexchange.io」上には、バンカーが作ったものではない7000以上のスパムページが存在していた。サイファーブレードのレポートでは、バンカーのウェブサイトを検索すると、ロシアの花嫁からレンタカー、ゴーストライターまで、あらゆるものの広告ページが表示される。
サイファーブレードは調査によって、バンカーのSSL証明書(ウェブサイトの実在性を証明するもの)は正常に組み込まれたが、2020年12月、攻撃の1年後に無効となっていたことも突き止めた。証明書が無効になる理由は多くあるが、秘密鍵が漏洩した兆候も、そのひとつだ。
レポートの最後にサイファーブレードは、ベネズエラ当局が犯人を逮捕し、事件を解決するための方法も提示している。ベネズエラ当局が問題の人物を追跡しているかどうかは、分かっていない。しかし、サイファーブレードは希望を持っている。
「最初は、当局が私たちの意見を考慮してくれることについて、あまり楽観的ではなかった。しかし、そうしてくれたのだ」と、シベニック氏は語った。
|翻訳・編集:山口晶子、佐藤茂
|画像:Shutterstock
|原文:They Were Jailed for Hacking an Exchange. Blockchain Data Cleared Them