2020年最大の暗号資産取引所ハッキングを行ったLazarus Groupによる新たな マネーロンダリング手法

Chat With Us
Thanks for your interest! We'll be in touch shortly.
Oops! Something went wrong while submitting the form.

このブログはChainalysis 2021 Crypto Crime Reportからの抜粋です。全文をダウンロードするにはこちらをクリックしてください。

Lazarus Groupは、北朝鮮政府のために活動するサイバー犯罪集団です。Lazarusは、数々の暗号資産取引所へのハッキングを仕掛けており、2019年にはUpbitのハッキングで4,900万ドル相当の暗号資産を窃取しています。これまでの活動期間中にLazarusは17億5,000万ドル相当を超える暗号資産を盗んだと言われており、この収益は、北朝鮮の核兵器プログラムに使われているだろうと専門家は見ています。国際的な安全と安定のためには、彼らの活動に対抗することが極めて重要です。そのため、米国政府は2020年に、複数の暗号資産ハッキングで盗まれた資金のロンダリングに協力した2人の中国人に経済制裁を課し、Lazarusのハッキングに関連した280件の暗号資産アドレスに対して没収の申し立てを行うなどの対応を行いました。

対象とする暗号資産: BAT, BCH, BNB, BTC, ETH, LTC, MKR, OMG, PAX, TUSD, USDC, USDT


しかし、Lazarusは依然として、シンガポールの暗号資産取引所KuCoinから、約2億7,500万ドル相当の暗号資産を窃取するなど、大規模事件を引き起こしています。これは暗号資産窃盗事件として2020年で最大、史上3番目に大きな事件となりました。この2億7,500万ドル相当の暗号資産は、2020年に盗まれた全暗号資産の半分以上を占めています。KuCoinのCEOによると、今回のハッキングは、サイバー犯罪者が取引所のホットウォレットの秘密鍵にアクセスした後に発生したと説明します。直後に同氏は、KuCoinから盗まれた資金のうち2億400万ドル相当は回収できたと発表しました。

ChainalysisはKucoin事件がLazarusによるものと判断できました。これはKuCoinのハッカーが、Lazarusが過去に頻繁に使用していた特定のマネーロンダリング手法を使用していたことに依ります。この手法では、盗んだ暗号資産を同額(ビットコインの場合、通常は小数点以下の金額)に揃えてミキサーに送ります。その額は、資金洗浄される総額の大きさに応じて高くなったり低くなったりします。Lazarusは通常、追加でミキサーに送金する前に、各送金がミキサーによって出力できているか、確認のために待ちます。これは、ミキシングが失敗した場合の損失を最小限に抑えるためです。暗号資産がミキシングされた後は、Lazarusは通常、いくつかの暗号資産取引所のうちの1つのOTCブローカーに暗号資産を送ります。KuCoin事件の犯人は、盗んだ暗号資産の一部にこの手法を利用しましたが、このことは(現時点では公に共有できない他の証拠と合わせて)、Lazarusを犯人と特定するのに役立ちました。さらに、Lazarusが今年盗んだ暗号資産を送金した先の2つのアドレスも、Harvest Financeへのハッキングで盗まれた暗号資産を受け取っており、Lazarusがその攻撃を実行したのではないかとの憶測を呼んでいます。しかし、それが本当かは未だに確認されていません。

KuCoinハッキングの新たなポイントは、Lazarusが盗んだ資金の一部を洗浄するために、DeFiプラットフォームを使用したことが挙げられます。DeFiプラットフォームは、ユーザがある種類の暗号資産を別の暗号資産と交換できるようにするもので、(通常の取引所のように)中央管理的なプラットフォームがユーザの暗号資産を保管することはありません。暗号資産を保管しないという事は、多くのDeFiプラットフォームが顧客からKYC情報を取る必要がないと考えており、サイバー犯罪者が匿名性を高めて資金を移動することを容易にしているということを意味します。以下のReactorグラフは、LazarusがKuCoinから盗んだ資金の一部を洗浄するために、DeFiプラットフォームを正確にどのように使用したのか、例を示しています。

緑の線はETHまたはトークンの送金を表し、紫の線は、DeFiプラットフォームの相互作用を表す。

犯人はまず、盗んだLINKトークンを最初のウォレットから仲介のアドレスに移し、そこからUniswapに送ってETHと交換しています。 DeFiプラットフォームであるUniswapでは、ユーザがUniswapに資金を預けることなく、ETHと数種類のERC-20トークンを交換することができます。ユーザはKYC情報を提供せずとも、あるアドレスからUniswapに資金を送るだけで、同じアドレスで (手数料を引いた) 同額のトークンを受け取ることができます。つまり、今回のケースでは、Kucoinハッカーは「0xC194...」というアドレスからUniswapに12,552.96 LINKを送り、同じアドレスに360.60ETHを返してもらったということになります。もし捜査官が、犯人がこれらの暗号資産を送着金したウォレットを管理していることを知らなければ、暗号資産の動きを追跡してスワップ(トークン交換)を発見することは困難だったでしょう。グラフにあるように、犯人はハッキングで盗んだ他の種類のトークンを使って、同様のDeFi取引を多数行っています。

DeFiプラットフォームの使用は、Lazarusのマネーロンダリング手法の転換を表しています。以下のグラフは、Lazarusが過去数年間に盗んだ暗号資産を送金した先のサービスの種類の内訳を示しています。 

対象とする暗号資産: BCH, BTC, ETH, LTC, MKR, OMG, PAX, TUSD, USDT

LazarusのDeFiプラットフォームの利用は、2020年にほぼ倍になっています。またもう一つの目立つ傾向は、Lazarusが主要な暗号資産取引所の利用を減少させていることです。2019年にLazarusによって盗まれた暗号資産の大部分を暗号資産取引所が受け取った一方で、2020年にはその多くがミキサーに流れました。これは、8月に米国司法省の民事告訴により明らかにされた、Lazarusのハッカーが暗号資産取引所に入れ子になった(ネストされた)アドレスを使って、盗んだ資金を暗号資産取引所やOTCブローカーを通じて頻繁に移動させていたということにより、暗号資産取引所のセキュリティ対策が強化された結果かもしれません。

しかし、Lazarusがサービスに暗号資産を送る割合がそれほど高くないとしても、資金洗浄のために一層多くのユニークな入金アドレスを使用しています。この傾向は2019年9月に加速し、その後も続いています。Lazarusは通常、20件の異なる暗号資産取引所グループの入金アドレスを好んで利用しています。下のチャートでは、2018年以降、Lazarusから暗号資産を受け取った暗号資産取引所の入金アドレスの伸びを示しています。

2019年12月、Lazarusは上位20の暗号資産取引所で少なくとも1,000ドル相当の盗んだ暗号資産を受け取った470個の暗号資産アドレスを持っていましたが、2020年12月末までには、その数は2,078個に増えていました。これは、Lazarusが1つのアドレスが特定され凍結されるリスクを軽減するために、暗号資産を分散させていることを示唆しています。これはまた、Lazarusの順応性のパターンにも当てはまります - 毎年、サービスがセキュリティへの取り組みを改善するにつれて、彼らのマネーロンダリング手法も変化しています。

これらのアドレスのうち、どれだけの数がLazarusによって直接管理されているのか、どれだけの数がOTCブローカーに管理されているのか、どれだけの他のネストサービスプロバイダーによって管理されているのか、はっきりとは言えません。しかし、2020年にLazarusグループのアドレスから1,000ドル以上の暗号資産を受け取ったすべてのサービスデポジットアドレスの活動を分析し、それらのアドレスから受け取った合計値と、犯罪者からの暗号資産のシェアを見て、以下にそれを推測します。

資金の大部分は、Lazarusやその他の犯罪者のアドレスから多額の資金を受け取っていますが、全体的な活動のほとんどが適法であり、一見すると安全そうに見えるデポジットアドレスに送られています。これらのアドレスは、不正な資金の移動のみを行うウォレットではなく、主に合法な取引を処理するネストされたサービスに属している可能性が高いです。このような傾向は、暗号資産取引所が、プラットフォーム上のネストされたサービスによって行われた取引の詳細を調査することの重要性を強調しています。大規模のネストされたサービスで、リスクの高い取引の割合が低いものであっても、Lazarusのような国家ぐるみの犯罪グループに代わって何十万もの取引を行っている可能性があり、見た目よりもはるかに危険な状態になっている場合があるということです。


このブログはChainalysis 2021 Crypto Crime Reportからの抜粋です。全文をダウンロードするにはこちらをクリックしてください。

Read the Full Report

To see our full research on this topic, sign up to receive access to the complete Chainalysis Crypto Crime Report: Decoding hacks, darknet markets, and scams.

Get Access to the Report

Learn more about KYT for Stablecoins & Token Issuers

Monitor transactions across the token’s full lifecycle, from issuance to redemption—and any transaction in between.

Learn More
Thank you! We'll be in touch shortly.
Oops! Something went wrong while submitting the form.
Thank you! We'll be in touch shortly.
Oops! Something went wrong while submitting the form.

We’re growing! Check out our 25+ open roles >

Thank you! We'll be in touch shortly.
Oops! Something went wrong while submitting the form.
Oops! Something went wrong while submitting the form.
Please check your mailbox for a copy of the report.
Oops! Something went wrong while submitting the form.
Next article

Chainalysis Team

Watch Our Exclusive Webinar

Jan 31, 12PM ET

Chainalysis senior economist, Kim Grauer, answers audience questions on our latest research in a recorded webinar.

Watch Recording