今月、分散型取引所DriftでのN2億8,500万ドルのハッキング事件は、取引所Bybitが14億ドルを失った1年以上前以来、最大の暗号資産ハッキングとなった。両攻撃において、北朝鮮政府支援のハッカーが主要容疑者として挙げられている。
昨年秋、攻撃者は量的トレーディング企業を装い、大手暗号資産カンファレンスでDriftのプロトコルチームに直接接触したと、Driftは日曜日のX投稿で述べた。
「これは標的型アプローチであると理解されており、このグループの個人は、その後6か月間、複数の国の複数の主要業界カンファレンスで、特定のDrift貢献者を意図的に探し出し、直接接触し続けていた」と分散型取引所は述べた。
これまで、北朝鮮のサイバースパイは、バーチャルコールやリモートワークを通じてオンラインで暗号資産企業を標的にしてきた。カンファレンスでの直接接触は通常疑惑を招かないが、Driftのハッキング事件は、参加者が最近のイベントで作った接点を見直すのに十分なはずだ。
ハッキングにより、DriftのTVLは約12分で半分以上減少した。出典: DefiLlama
北朝鮮、ハッキングを超えて暗号資産戦略を拡大
ブロックチェーンフォレンジック企業TRM Labsは、この事件を2026年(これまでのところ)最大のDeFiハッキングであり、2022年の3億2,600万ドルのWormholeブリッジハッキングに次ぐ、Solana史上2番目に大きなハッキングと説明した。
TRMによると、最初の接触は約6か月前に遡るが、ハッキング自体は3月中旬に遡る。攻撃者はTornado Cashから資金を移動し、CarbonVote Token (CVT)を展開することから始め、ソーシャルエンジニアリングを使用してマルチシグ署名者に昇格された権限を付与するトランザクションを承認するよう説得した。
その後、彼らは大量に発行し、取引活動を膨らませて実際の需要をシミュレートすることで、CVTの信頼性を作り上げた。Driftのオラクルはそのシグナルを拾い上げ、トークンを正当な資産として扱った。
4月1日に事前承認されたトランザクションが実行されたとき、CVTは担保として受け入れられ、出金限度額が引き上げられ、USDCを含む実際の資産で資金が引き出された。
TRMは、Driftのハッキングの準備に使用された3月のTornado Cashからの資金の動きを概説している。出典: TRM Labs
関連記事: 北朝鮮のスパイがミスを犯し、偽の求人面接で関係を明らかにする
TRMによると、その後のマネーロンダリングの速度と攻撃性は、Bybitハッキングで見られたものを上回った。
北朝鮮は、DriftやBybit攻撃などの大規模な暗号資産窃盗と並行して、テクノロジー企業や暗号資産企業のリモート職に工作員を配置して安定した収入を生み出すなど、長期的な戦術を使用していると広く信じられている。国連安全保障理事会は、そのような資金が同国の兵器プログラムを支援するために使用されていると述べている。
セキュリティ研究者のTaylor Monahanは、DeFiプロトコルへの潜入は「DeFiの夏」にまで遡ると述べ、約40のプロトコルが北朝鮮工作員の疑いのある者と接触していたと付け加えた。
北朝鮮の国営メディアは木曜日、同国がクラスター弾頭を装備した火星11号として知られる短距離弾道ミサイルと電磁兵器をテストしたと報じた。
火星11Aとしても知られるKN-23の推定寸法。出典: Christian Maire, FRS
潜入ネットワークが安定した暗号資産収益を促進
別の調査により、北朝鮮に関連するITワーカーのネットワークが、長期にわたる潜入を通じて数百万ドルを生み出した方法が明らかになった。
ZachXBTが共有した匿名ソースから取得したデータは、ネットワークが開発者を装い、暗号資産企業やテクノロジー企業に潜入し、月に約100万ドル、11月以降で350万ドル以上を生み出していることを示した。
グループは偽造された身元を使用して仕事を確保し、共有システムを通じて支払いをルーティングし、その後資金をフィアットに変換し、Payoneerなどのプラットフォームを介して中国の銀行口座に送金した。
ウォレットトレーシングにより、フローの一部が既知の北朝鮮活動に関連するアドレスにリンクされたと、ブロックチェーン探偵は述べた。出典: ZachXBT
関連記事: あなたはフリーランサーですか?北朝鮮のスパイがあなたを利用しているかもしれません
この作戦は、共通のパスワードを持つ共有ウェブサイトや収益を追跡する内部リーダーボードを含む基本的なインフラストラクチャに依存していた。
工作員はVPNと偽造文書を使用して白昼堂々と役割に応募し、工作員を埋め込んで安定した収益を引き出す長期戦略を示していた。
潜入戦術の拡大に伴い防御が進化
Cointelegraphは、Heiner Garcíaが主導した2025年の調査で同様の計画に遭遇し、彼は疑わしい工作員と数か月間接触していた。
Cointelegraphは後に、日本人だと主張する「Motoki」と名乗る容疑者とのGarcíaのダミー面接に参加した。容疑者は、母国語と称する方言で自己紹介できなかった後、激怒して通話を切った。
調査により、工作員は米国などの国に物理的に配置されたデバイスへのリモートアクセスを使用して地理的制限を回避していることがわかった。VPNの代わりに、彼らはそれらのマシンを直接操作し、活動をローカルに見せかけた。
今では、テクノロジーのヘッドハンターは、バーチャル求人面接の相手が実際に北朝鮮のサイバースパイである可能性があることに気づいている。バイラルな防御戦略は、容疑者に金正恩を侮辱するよう求めることだ。これまでのところ、この戦術は効果的だった。
北朝鮮のITワーカーの疑いのある者が、金正恩を「太った醜い豚」と呼ぶよう求められたときに凍りついた。出典: Tanuki42
しかし、Driftが直接接触され、Garcíaの調査結果が工作員が地理的制限を回避する創造的な方法を見つけていることを示したように、北朝鮮の行為者はイタチごっこのダイナミクスに適応し続けている。
面接対象者に北朝鮮の最高指導者を「太った豚」と呼ぶよう求めることは、当面は効果的な戦略だが、セキュリティ研究者は、これが永遠に機能するわけではないと警告している。
雑誌: ファントムビットコインチェック、中国がブロックチェーンで税金を追跡: Asia Express
- #Cryptocurrencies
- #Cybercrime
- #North Korea
- #DeFi
- #Features
- #Industry
