Hackers

週末、ブロックチェーンセキュリティ企業と専門家は、暗号通貨取引所Bybitから15億ドル以上が盗まれた事件と北朝鮮のハッキンググループLazarusを関連付けた。

現在、史上最大の暗号強盗と考えられているもので、攻撃者はBybitのコールドウォレットの1つからホットウォレットへの計画的な資金移動を妨害し、暗号資産を彼らの支配下にあるブロックチェーンアドレスにリダイレクトした。

“2025年2月21日午後12時30分頃(UTC)、Bybitは、当社のイーサリアム(ETH)コールドウォレットの1つで、定期的な送金プロセス中に不正な活動を検出しました。この転送は、当社のETHマルチシグコールドウォレットからホットウォレットへのETHの定期的な移動の一部でした。

「残念ながら、この取引はスマートコントラクトのロジックを変更し、署名インターフェイスを隠蔽する巧妙な攻撃によって操作され、攻撃者はETHコールドウォレットを制御することができました。その結果、15億ドル以上に相当する40万以上のETHとstethが正体不明のアドレスに送金されました。”

これにより15億ドル相当以上のETHとstETHが盗まれた一方で、Bybitは、この事件が公表された後、58万件もの大量の引き出し要求があったにもかかわらず、同社のサービスはほとんど影響を受けなかったと述べている。また、他のすべてのコールドウォレットと資産は安全であると付け加えた。

同暗号取引所はその後ETHの埋蔵量を回復しており、同社のCEOは、失われた資産が完全に回復されないとしても、Bybitには支払能力があると述べている。

Lazarusハッカーに関連するBybit暗号強盗

この攻撃以来、暗号詐欺調査者のZachXBTは、攻撃者が盗んだBybitの資金を以前PhemexBingXPoloniexのハッキングで使用されたイーサリアムアドレスに送ったことから、Bybitのハッカーと悪名高い北朝鮮のLazarus脅威グループとのつながりを発見しました。

「ZachXBT氏は、「今日、Bybitハックの資金洗浄を行った際、Poloniexハックも連結アドレス0x15ecでオンチェーンリンクされました。”これは現在、同じエンティティが4つの異なるハッキング(Bybit、Poloniex、Phemex、BingX)に関連していることを示しています。”

Phemex-Bybit overlap
PhemexとBybitの重複(ZachXBT)

研究者はまた、脅威行為者は盗んだ暗号通貨を洗浄するためにPump Funミームコインを立ち上げ、取引しており、Bybitハッキングからの資金は920以上のブロックチェーンアドレスに到達して いると述べた。ZachXBTはまた、LazarusのハッカーがeXch(集中型ミキサー)を使用してBybitハックから盗まれたETHをロンダリングし、Chainflipを介してビットコインに資金を橋渡ししていると主張した。

“eXchチームは、今日BybitハックからLazarusグループのために$35M+をロンダリングした後、誤って34 ETH($96K)を別の取引所のホットウォレットに送りました “と彼らは言いました。

ZachXBTの調査結果は、ブロックチェーンインテリジェンス会社TRM Labsによって確認され、”Bybitハッカーが管理するアドレスと、過去の北朝鮮による窃盗に関連するアドレスの間に観察された実質的な重複に基づき、”Bybitハッキングの背後に北朝鮮のハッカーがいることを “高い信頼性で “断定した。

ブロックチェーン分析会社EllipticはLazarusのハッカーは、資産の実際の出所を隠し、追跡の試みを遅らせるために、すでに盗まれた資金を大量の暗号通貨ウォレットを通じて移動させたと述べた。

「Ellipticの共同設立者でチーフサイエンティストのトム・ロビンソンは、「特にある取引所eXchは、Bybitからの中止要請にもかかわらず、故意に数千万ドル相当の盗難資産を洗浄しているようです。”盗まれた資産は、ほとんどがビットコインに変換されている – 以前のロンダリングパターンが踏襲されている場合、我々は次のビットコインミキサーの使用を見ることが期待されるかもしれない – お金の痕跡を隠そうとする。”

Ben Zhou eXch tweet

しかし、eXchはBybitから盗まれた資金の洗浄を否定しており、”eXchはLazarus/DPRKの資金洗浄を行っていない “とし、”ByBitのハッキングからの資金の些細な部分が最終的に我々のアドレスに入った[…]孤立したケースであり、我々の取引所で処理された唯一の部分であり、そこから得られた手数料は公共の利益のために寄付される “と述べている。

12月、ブロックチェーン分析会社Chainalysisは、北朝鮮のハッカーが2024年に47の暗号強盗で13億4000万ドルを盗み、2022年の11億ドルの記録を更新したと発表した。

2022年3月の1回の攻撃で、北朝鮮の2つのハッキンググループ(LazarusとBlueNorOff)がAxie InfinityのRoninネットワークブリッジから6億2000万ドルの暗号通貨(17万3600イーサリアムと2550万USDCトークン)を盗んだ。