史上最大の窃盗：バイビットのハッカーによる資金追跡

2025年2月21日、ドバイを拠点とする暗号通貨取引所Bybitで約14億6000万ドル相当の暗号資産が盗難に遭った。初期の報告によると、攻撃者はマルウェアを使用して取引所を騙し、資金を窃盗犯の口座に送金する取引を承認させたという。

これはこれまでで最大の仮想通貨強盗であり、2021年にPoly Networkから盗まれた6億1,100万ドルをはるかに上回っています（その事件の資金のほとんどは最終的にハッカーによって返還されました）。実際、これは歴史上最大の単独窃盗であることはほぼ確実で、その記録は2003年のイラク戦争前夜にイラク中央銀行から10億ドルを盗んだサダム・フセインが保持していた。

エリプティックは、盗まれた暗号資産のマネーロンダリングルートの分析を含むさまざまな要素を分析し、バイビット盗難の首謀者は北朝鮮のラザルスグループであると断定した。 20年以来

過去17年間にわたり、北朝鮮と関係のあるハッカーらは、同国の弾道ミサイル計画を支援するために使われたとされる資金を含む60億ドル以上の暗号資産を盗んだ。

ラザルスグループは、標的の組織に侵入して暗号資産を盗むだけでなく、何千ものブロックチェーン取引を通じて盗んだ資金をロンダリングできる強力で洗練された攻撃能力を開発しました。盗難後、エリプティックはバイビット、暗号通貨サービスプロバイダー、その他の捜査官と24時間体制で協力し、盗まれた資金を追跡して換金されるのを防いだ。暗号通貨取引所およびウォレットスクリーニングソリューションの大手グローバルプロバイダーであるEllipticのソフトウェアは、世界中の顧客に盗難による資金を受け取ったかどうかを警告しています。これにより、Bybit から盗まれた資金の一部が直接凍結されました。

ラザルス グループのマネーロンダリング プロセスは、一般的に典型的なパターンに従います。最初のステップは、盗まれたすべてのトークンを ETH などの「ネイティブ」ブロックチェーン資産に変換することです。これは、トークンには、特定の状況下で盗まれた資産を含むウォレットを「凍結」できる発行者がいるのに対し、ETH やビットコインを凍結できる中央機関が存在しないためです。

これはまさに、Bybit の盗難から数分後に起こったことで、stETH や cmETH などの数億ドル相当の盗まれたトークンが ETH に交換されました。攻撃者は分散型取引所（DEX）を使用してこれを達成しましたが、これはおそらく、資金洗浄に中央集権型取引所を使用した場合に発生する可能性のある資産凍結を回避するためだと考えられます。

マネーロンダリングのプロセスの第 2 段階は、盗んだ資金を「階層化」して取引の経路を不明瞭にすることです。ブロックチェーンの透明性は、これらの取引経路を追跡できることを意味しますが、これらの階層化された戦略は追跡プロセスを複雑にし、マネーロンダラーに現金化するための貴重な時間を稼ぐことになります。階層化プロセスには、次のようなさまざまな形式があります。

• 多数の暗号通貨ウォレットを通じて資金を送金する

• クロスチェーンブリッジまたは取引所を使用して資金を他のブロックチェーンに転送する

• DEX、トークンスワップサービス、または取引所を使用して、異なる暗号資産を切り替える

• Tornado CashやCryptomixerなどの「ミキサー」を使用する

ラザルスグループは現在、マネーロンダリングの第2段階にある。盗難から2時間以内に、盗まれた資金は50の異なるウォレットに送金され、各ウォレットには約10,000 ETHが保管されていました。これらのウォレットは計画的に空にされており、2月23日午後10時（UTC）の時点で、盗まれた資産の10％（現在1億4000万ドル相当）がこれらのウォレットから移動されていました。

これらのウォレットから資金が移動されると、DEX、クロスチェーンブリッジ、中央集権型取引所などのさまざまなサービスを通じて資金洗浄が行われます。しかし、eXchと呼ばれる暗号通貨取引所は、マネーロンダリングの主要な自発的な促進者となっている。 eXchは、ユーザーが匿名で暗号資産を交換できることで知られており、北朝鮮による複数の窃盗を含む犯罪行為から数億ドル相当の暗号資産を交換するために使用されています。ハッキング以来、Bybit から盗まれた暗号資産数千万ドル相当が eXch を通じて交換されている。 Bybitからの直接の要請にもかかわらず、eXchは活動をブロックすることを拒否しました。

盗まれたETHはeXchやその他のサービスを通じて徐々にビットコインに変換されています。過去のマネーロンダリングのパターンが踏襲された場合、次にトランザクションパスをさらに難読化するためにミキサーが使用される可能性があります。しかし、盗まれた資金の額が莫大であるため、これは困難になる可能性があります。

北朝鮮のラザルスグループは、現存する最も専門的で資金力のある暗号通貨マネーロンダリング業者であり、盗難資産の特定と押収を回避するためにその手法を絶えず改良している。バイビットの盗難から数分以内に、エリプティックチームはバイビット、顧客、その他の捜査員と24時間体制で協力し、これらの資金を追跡して北朝鮮政権が利益を得るのを阻止しようと取り組んできた。