DeFiプロトコルの脆弱性を突いた攻撃が、暗号資産(仮想通貨)の世界で最もよくあるタイプの犯罪となって久しい。一方で、昔からの取引所へのハッキングは大幅に減った。だからと言って、サイバー犯罪者が古くからあるハッキングへの関心を失ったわけではない。
暗号資産決済処理業者CoinsPaidに対する先日のハッキングは、世界でも最も精力的なサイバー犯罪者集団が中央集権型組織への侵入に恐ろしいほどのリソースを費やすことを依然として厭わないことを示している。
エストニアで登記されたウクライナ企業のCoinsPaidは、7月22日にハッキングされ、推定3730万ドル(約52億円、1ドル140円換算)の暗号資産を失ったと伝えられた。マックス・クルピシェフ(Max Krupyshev)CEOによると、同社は最終的に自己資金から顧客に返金したという。ブロックチェーン・インテリジェンス・グループ(Blockchain Intelligence Group)によると、顧客には複数のオンラインカジノが含まれている可能性が高い。
8月7日に発表された事件の詳細な説明の中でCoinsPaidは、ハッカーのオンチェーンの行動から判断すると、北朝鮮のLazarus(ラザルス)グループ、またはその関係者である可能性が非常に高いと述べている。
CoinsPaidから資金を吸い上げるために、攻撃者たちはLazarusによるものとされる別の攻撃(6月のAtomic Walletのハッキング)で発見されたものを含むウォレットを使ったとブロックチェーン・インテリジェンス・グループは指摘している。
CoinsPaidによると、攻撃者は何カ月も前からCoinsPaidをターゲットにしていた。フィッシングとソーシャル・エンジニアリングの企ては3月に始まり、ウクライナの暗号資産処理スタートアップの仲間を装った人物から、CoinsPaidの開発者に会社の技術インフラについて尋ねるような要求があったとブログ記事には記されている。攻撃者はまた、CoinsPaidのスタッフを買収しようとし、同社のサーバーを狙ったDDoS攻撃(分散型サービス拒否攻撃)も行った。
騙されやすい従業員を釣る
そして7月、数人の従業員が、取引所のクリプトドットコム(Crypto.com)を含む他の暗号資産企業のリクルーターを装ったリンクトイン(LinkedIn)のアカウントから、好条件の求人情報を受け取った。
「例えば、私たちのチームメンバーの何人かは、報酬が月1万6000~2万4000ドル(約220万円~340万円)に及ぶ仕事のオファーを受けた」
最初の接触後、偽のリクルーターは従業員に対し、7月にLazarusによってハッキングされたとされるユーザー認証のためのプラットフォームであるJumpCloudや、おそらくテストタスクを実行するための他のソフトウェアをインストールするよう求めた。何人かの従業員は餌に釣られて悪意あるソフトウェアをインストールし、その後攻撃者はCoinsPaidのインフラにアクセスした。
CoinsPaidの最高財務責任者(CFO)パベル・カシュバ(Pavel Kashuba)氏がCoinDeskのインタビューに答えたところによると、攻撃者は7月21日深夜にCoinsPaidのブロックチェーンノードにアクセスし、トロン(Tron)ベースのテザー(USDT)、ビットコイン(BTC)、イーサリアムブロックチェーン上で動作する複数のERC20トークンの大量引き出しを開始した。同氏によると、攻撃のアクティブフェーズには約4時間23分かかったという。
クルピシェフCEOによれば、ハッカーは同社のサーバーに自由にアクセスできたが、CoinsPaidのウォレットの秘密鍵は侵害されなかった。「サーバーの電源を切るとすぐに、送金は止まった」とクルピシェフCEOは説明し、同社が同じ鍵で新しいウォレットを立ち上げると、そこから資金は流出しなかったため、鍵が安全であることが確認できたと付け加えた。
ブロックできない
いずれにせよ、会社は損失を被った。盗まれた資金の大半は、トロン・ブロックチェーン上のUSDTで、クロスチェーンブリッジを介してアバランチ(Avalanche)上のUSDTと交換され、その後、DEX(分散型取引所)SwftSwapに送られたとクルピシェフCEOは述べた。ブログによると、攻撃者はまた、DEXのユニスワップ(Uniswap)とサンスワップ(SunSwap)、中央集権型取引所のバイナンス(Binance)、フォビ(Huobi)、クーコイン(Kucoin)、バイビット(Bybit)、ビットゲット(Bitget)、MEXCも利用していた。
ブロックチェーンのデータ分析を手がけるエリプティック(Eliptic)によると、北朝鮮のハッカーが最も使用するミキサー「Sindbad」経由で、ビットコインはロンダリングされた。
CoinsPaidは、中央集権型取引所に資金が移動していることを確認するとすぐに通知したものの、犯罪関連のアドレスにラベルをつけ、取引所が対策を講じることは、数分で現金化していたハッカーに対応するには遅すぎると述べた。
カシュバ氏は、警察がハッカーの口座を凍結するよう取引所を説得することに時間がかかることに不満を露わにし、「お金をブロックする必要があるが、そのお金はすでになくなっている」と語った。
要するに、取引所はセキュリティ対策に注意を払い、スタッフに対して十分なトレーニングを行う必要があるとカシュバ氏は言う。そしてそれは、あらゆる種類のサイバー犯罪に対して言えることだ。
|翻訳・編集:山口晶子、増田隆幸
|画像:Shutterstock
|原文:Lessons of a $37M Attack: How a Ukrainian Payment Processor Was Hacked