仮想通貨はトラッキングできます。多くの場合、ハッカーはプライバシーツールを使って盗んだ資金を拡散しますが、そのようなツールを使用したとしても、 ハッキング された仮想通貨の流れはある程度追うことができます。
Roninネットワークを狙った ハッキング に関する調査報告
3月に発生した6億2500万ドルのRoninブリッジ攻撃の背後にいるハッカーは北朝鮮のサイバー犯罪グループとされていますが、今回のレポートによると、ハッキングの後、renBTCとビットコインのプライバシーツールBlenderおよびChipMixerを使って、資金のほとんどをEther(ETH)からビットコイン(BTC)に移したとのことです。
ハッカーの活動は、SlowMistで働くオンチェーン調査員₿LiteZeroによって追跡され、同社の2022年中間期ブロックチェーンセキュリティレポートに寄稿されています。
ハッキング された資金の流れ
3月23日の攻撃以降、盗まれた資金の取引経路を概説は以下の通りです:
盗まれた資金の大半は、もともとETHに変換され、現在認可されているイーサリアム暗号ミキサーTornado Cashに送られた後、ビットコインネットワークにブリッジされ、Renプロトコル経由でBTCに変換されています。
I've been tracking the stolen funds on Ronin Bridge.
— ₿liteZero (@blitezero) August 20, 2022
I've noticed that Ronin hackers have transferred all of their funds to the bitcoin network. Most of the funds have been deposited to mixers(ChipMixer, Blender).
This thread🧵 will illustrate the tracking analysis procedures.👇🏻 pic.twitter.com/yrazcJ22xF
レポートによると、北朝鮮のサイバー犯罪組織「Lazarus Group」とみられるハッカーは当初、資金の一部である6249ETHを、3月28日にHuobiの5028ETH、FTXの1219ETHなどの仮想通貨取引所(CEX: central exchange)に送金しただけだったそうです。
その後、CEXでは、6249ETHがBTCに変換され、その内の439BTC(執筆時の時価総額2050万ドル)を、5月6日に米財務省から制裁を受けたビットコインのプライバシーツール「Blender」に送金しています。
しかし、盗まれた資金の圧倒的大多数である175,000ETHは、4月4日から5月19日の間に段階的にTornado Cashに転送されています。
ハッカーはその後、分散型取引所のUniswapと1inchを使って約113,000ETHをrenBTC(BTCのラップバージョン)に変換し、レンの分散型クロスチェーンブリッジを使ってイーサリアムからビットコインネットワークに資産を移し、renBTCをBTCに変換しました。
そこから約6,631BTCが様々な中央集権型取引所や分散型プロトコルに分散されました。
ハッカーがBTCを送金するために使用したプラットフォームの一覧がここに示されています。また、Roninのハッカーは、8月22日時点で3,460BTCのうち2,871BTC、つまり6,160万ドル相当のビットコインのプライバシーツールChipMixer経由で引き出したと報告されています。
ハッカーが出金した後のプラットフォーム上のBTC残高はこのようになっていて、まだ多くの資金が残っています。
このようにRoninのハッキングで盗まれた仮想通貨は依然としてチェーン上に残っており、継続して調査・追跡するべきものだということがわかります。
プライバシーツールを使われても仮想通貨の流れを追うテクニック
盗まれた資金は通常Tornado Cash のようなミキサーに送金され、詐欺師やハッカーが資金洗浄のために選択するプラットフォームになっていることが多くの事件からわかっています。
関連記事:Tornado Cash の制裁は始まりに過ぎない
このようなプライバシーツールを替えした取引の分析には新しいアプローチが必要で、レポート内にTornado Cashからの送金を分析するための手法の一つが紹介されていたので、簡単に開設します。
- まず、現在わかっている情報(送金総数、初回入金時刻、初回入金時のブロック高など)をメモしておく
- そして、用意したDuneのダッシュボードにパラメータを入力する。
- 出金データを予備的に取得し、さらに特徴分類法でフィルタリングする。
- スクリーニングの結果、詐欺師に関連する可能性が最も高いアドレスがリストされるので、最も高い確率の結果セットを選択し、検証を行う。
このようにすることで、Roninネットワークのハッキングをはじめとする数々のインシデントで盗まれた資金の引き出し先を正しく特定することができるとのことです。
参考記事:Ronin hackers transferred stolen funds from ETH to BTC and used sanctioned mixers