Category

Chainalysis in Action

Category

今回のSuexに対する制裁、およびランサムウェアへの送金の制裁リスクに関するOFACの新規ガイダンスについて、Chainalysisの調査メンバー及び米国財務省の高官によるWebinarが開催されますので、ぜひこちらからご登録・ご視聴ください。 2021年9月22日、米国財務省外国資産管理局(the U.S. Treasury’s Office of Foreign Assets Control: OFAC)は、ロシアの暗号資産OTCブローカーSuexを大統領令13694に従い、経済制裁対象に指定しました。Suexは制裁対象のリスト(Specially Designated Nationals and Block Persons List: SDN List)に登録され、今後この制裁対象者との取引は罰せられることとなります。ChainalysisのツールもこのSuexにおける調査に寄与しました。 Suexは2018年に活動を開始して以来、ビットコイン、イーサ、テザーなど1億ドル額以上の暗号資産を動かしており、その資金源の多くは高リスクもしくは違法なものでした。ビットコインだけでも、Suexが持っていた大手取引所の入金アドレスへは、ランサムウェアや詐欺の関係者やダークネットマーケットの運営者などから1.6億ドル相当以上の資金が流入していました。Suexは受け取った暗号資産を、モスクワやサンクトペテルブルクあるいはロシア以外の国の拠点で現金化していたことが、Chainalysisの調査で判明しました。さらにSuexは、ロシア系の暗号資産取引所BTC-eがサイバー犯罪に関わる資金洗浄のためアメリカ当局に閉鎖された後も、2018年から2021年にかけてBTC-eのアドレスで5000万ドル相当額を超えるビットコインを受け取っていました。 ChainalysisはSuexのマネーロンダリング活動をしばらくの間追ってきました。この調査により、複数のSuexのアドレスは、我々が特に目をつけていた273件のサービス入金アドレスに含まれることがわかりました。これら273件のアドレスというのは、2020年における違法なアドレスからの資金流入の55%を占めていたものであり、直近のCrypto…

イスラエルの対テロ機関であるNational Bureau for Counter Terror Financing (NBCTF)は、イスラム原理主義組織ハマスによって行われた寄付金集めキャンペーンに関連するウォレットの暗号資産を差し押さえたと公表しました。押収対象には、ハマスの軍事部門であるAl Qassam Brigades (AQB)が含まれています。 この対応は、イスラエル軍との戦闘激化の後、5月にハマスへの暗号資産での寄付が増加したことに起因しています。これは、テロ資金供与関連のあらゆる種類の暗号資産の押収としては初の事案です。NBCTFは、ソーシャルメディアの投稿やブロックチェーンデータを含むOSINTの分析を多大に駆使した調査により、ビットコインだけでなくETHやXRP、Tetherなどの暗号資産を押収しました。 以下に、ブロックチェーン分析がどのように調査に役立ったかを解説します。 ブロックチェーン分析による寄付金の動きの把握 以下のChainalysis Reactorのグラフは、NBCTFが公表した多くのビットコインアドレスに関わる資金移動を表しています。これらのアドレスの多くは寄付キャンペーンに関わった特定の個人のものであると判明しています。 (画像を新規タブで開けば拡大できます) グラフ上のオレンジ色の六角形は、NBCTFが公表した特定の個人が管理していた、大手暗号資産取引所の入金アドレスを指しています。また、このグラフからは、ハマスの寄付受付用アドレスから中間ウォレットを介し、高リスクな取引所や非銀行等金融機関(Money Services Businesses: MSBs)に資金移動があることがわかります。興味深いことに、公表されたアドレスのうちの2つはシリアのイドリブにある取引所BitcoinTransferのものでした。なお、この取引所は昨年の事案でも取り上げられています。さらに、他のアドレスの一つには、過去にテロ資金供与に関与していた組織Ibn…

2020年11月5日、米国司法省は、10億ドルを超える相当額の暗号資産の差押えの訴状を提出しました。これは、デジタル資産の差押えとしては過去最大の規模です。具体的に押収された資産は、約69,370.22491543ビットコイン(BTC)、69,370.10730857ビットコインゴールド(BTG)、69,370.10710518ビットコインSV(BSV)、69,370.12818037ビットコインキャッシュ(BCH)です。法執行機関はChainlysisのツールと捜査協力により、初期のダークネットマーケットとして著名だったSilk Roadにつながる最大の暗号資産ウォレットを突き止め、ブロックチェーン上の証跡からの手がかりを掴むことができました。このビットコインは、米国政府の管理するウォレットを経て、差押が成立した際には財務没収基金(Treasury Forfeiture Fund: TFF)に移されます。TFFは、違法な資金の特定・没収のためにブロックチェーン分析ツールやトレーニングなどの革新的な法執行プログラムに予算を投じています。今年にあった同様の事例として、法執行機関がテロ資金や北朝鮮によるハッキング事案に関わる暗号資産に対し資産差押えの訴状を出したことがありましたが、これらでもChainalysisが提供するツールや捜査支援が活用されました。11月3日に、ツイッターbotの@Whale_alertが69,369BTCもの資金が動いたことを通知し、長らく眠っていたSilk Roadウォレットの資金がハッキングで盗まれたか、所有者が移動させたのではないかという憶測を呼びました。実際のところ、これは法執行機関による資産没収によるものであり、資金は政府管理のウォレットに移されたのでした。このウォレットは今では、”Silk Road Marketplace Seized Funds 2020-11-03”と、Chainalysis製品でラベル付けされています。Silk Roadの背景Silk Roadは、最初期のデジタル世界のダークネットマーケットであり、違法薬物などの違法物品やサービスの売買に利用されていたとして知られています。2013年に、法執行機関はSilk Roadを閉鎖させ、その管理・運営を行っていたRoss Ulbricht(別名“Dread Pirate Roberts”)を逮捕しました。注: ビットコインの保有量自体は今回差し押えられた量となるが、ビットコイン価格は時期により変動しているChainalysisのデータによれば、2013年にはSilk Roadに関連するビットコイン取引額は、ビットコイン全体の取引額の20%ほどを占めていました。Silk Roadの経済活動は合計で4億3500万ドル相当にも及びますが、2013年9月がピークで、この月には4000万ドル弱の取引がありました。法執行機関はどのように資金を特定・没収したのか今年の始めに、IRS-CIはChainalysisを利用してSilk…

2020年9月25日、KuCoinがハッキングを受け、2億7,500万ドルを超える額の暗号資産が流出しました。これはKuCoinで発生したこれまでの流出事件の中でも最大級の被害額です。流出したと判明している暗号資産は以下の通りです。1,008 BTC ($10,758,404.86)11,543 ETH ($4,030,957.90)19,834,042 USDT-ETH ($19,834,042.14)18,495,798 XRP ($4,254,547.54)26,733 LTC ($1,238,539.89)999,160 USDT ($999,160)1億4,700万ドル相当の各種ERC-20トークン8,700万ドル相当のStellarトークン現時点では、これまでに流出した全ての暗号資産の所在についてお伝えすることはできませんが、10月2日午前10時(アメリカ東海岸時間)時点で言えることは以下の事項です。盗まれた1,008BTCは、2つのアドレスに分けられ、それぞれ201BTCと807BTC保持されている。犯人は、盗んだアルトコイン(Litecoinなど)を取引所に入金し、約875BTCを購入・出金したが、そのうち約683BTCはミキシングサービスに投入された。盗まれたUSDT-ETHのうち50,001USDT-ETHは既に資金移動が見られるが、20,000USDT-ETHが分散型取引所Uniswap、11,000USDT_ETHが取引所MXC、1,000USDT-ETHが取引所Poloniex、500USDT_ETHが取引所FatBTCに流された。また、3,000USDT_ETHは3つのアドレスに移され、残りの15,400USDT_ETHは中間ウォレットに留まったままとなっている。盗まれた26,733LTCは複数の取引所に入金された。この中で特筆すべきは、犯人がETHやERC-20トークンをロンダリングするためにDeFiプロトコルを利用したことです。DeFiとはDecentrilized Financeの略で、一般的にはEthereumネットワークなどのスマートコントラクトが利用できるブロックチェーンの上に展開される分散型アプリケーション(dApps: decentralized apps)を指します。このようなdAppsは、スマートコントラクトによって管理される特定の金融機能を実現します。つまり、トレードやローンといった取引を特定の条件が満たされた時に自動的に実行する働きをするわけです。中央管理型のインフラや人による管理を必要としないことで、dAppsは他のfintechアプリケーションや金融機関に比べて、少ない手数料で金融取引を可能すると言われています。今回の事案で、犯人は、分散型取引所(DEX)として知られる一種のdAppであるUniswapやKyberを利用しました。DEXでは、特定のブロックチェーン(多くの場合Ethereum)の上で、異種トークンをウォレットから直接に売買・交換することが可能であり、プライバシーやセキュリティが高められています。このようなプラットフォームでは、通常の取引所のようにユーザの資金を預かることはせず、あくまでユーザ間の直接取引を仲介するだけです。ユーザは、通常の取引所と同じように通貨の交換や板取引ができますが、本人確認(KYC)を求められることはありません。Chainalysisは、今回の事案で見られたERC-20トークンの多くをサポートしているため、DeFiによる複雑化にもかかわらず、捜査官はReactorを利用してほとんどの資金を追跡できています。以下のパートでは、犯人がこの手法でロンダリングしようとした一部のETHやERC-20トークンの動きを示します。盗まれたLINKトークンの動きの分析以下のChainalysis Reactorのグラフでは、犯人がERC-20トークンの一部をどのように移動したかを図示しています。このグラフに含まれるトークンは以下の通りです。LINKTIAOld OceanCOMPKardiaChainこのグラフは複数のトークンやDeFiプロトコルを含むため複雑に見えますが、ここでは特にLINKに着目してみましょう。他のトークンの動きのパターンも同様です。緑の線はETHやトークンの資金移動、紫の線はDEXのインタラクションを示す。(新規タブで画像を開くことで拡大できます)犯人は、まずLINKを自身のウォレットから中間アドレスに移し、そこからUniswapで送りETHに交換しました。DEXであるUniswapでは、ETHと数種類のERC-20トークンを交換できますが、Uniswapでは資金を預からず、ユーザが本人確認を求められることはありません。ユーザはあるアドレスからUniswapに送金するだけで、全く同じアドレスにて入金額相当(若干の手数料を除く)のトークンを受け取れます。今回の場合、犯人は12,552.96LINKを、アドレス”0xC194…”からUniswapに送り、同じアドレスにて360.60ETHを受け取りました。グラフで分かる通り、他のトークンについても同じようにDEXでのトランザクションを行っています。犯人はDEXを利用することで、本人確認を求め流出資金のアドレスを注視するような通常の取引所を通ることなく、盗んだ資金を他の暗号資産に交換することに成功しました。スマートコントラクトで流入した資金の大部分が凍結される前、犯人は少なくとも1,300万ドル相当のERC-20トークンを売却したと推定されています。また、いくつかのトランザクションはフォークにより未成立にされています。DeFiは新規の手法だが解決可能この記事では、KuCoin事件の犯人がETHやERC-20トークンをどのようにロンダリングしようとしたかを解説しました。今回の事案は、DeFiプラットフォームが使われた場合、捜査が困難になり得るという例とも言えるでしょう。しかし、DeFiプロトコルに資金が流れたとしても、法執行機関やコンプライアンス担当者がツールの利用により資金追跡ができるよう、Chainalysisはより多くのERC-20トークンへの対応を進めています。また、今回のようなトランザクションを追う新しい手法について、Chainalysisのトレーニング及びプロフェッショナルサービスのチームは、調査担当者を随時サポートします。Chainalysisの製品では、ETHやERC-20トークンに限らず、これまでに犯人に属する流出資金のウォレットアドレスは全て識別済みです。また、今後も新しいアドレスが分かり次第クラスタの識別を継続して行います。今後、KuCoinの事案について新たな情報が掴めた際には続報します。犯罪者がDeFiなどの新規テクノロジーをどのように使っているのかについて興味がありましたら、是非来年2021年のCrypto Crime Reportへのサインアップをお願いします。サインアップして頂ければ、レポートが来年1月に公開された際に自動通知されます。