SharkTeam: 2023 暗号資産犯罪分析レポート
この記事では、主に契約リスク、フィッシング攻撃、Rugpullおよび詐欺、ランサムウェア、マネーロンダリング、および現在の制裁措置を含む、ブロックチェーン犯罪のいくつかの報告について説明しています。2023年、Web3業界では、2022年比で50%以上増加し、合計940件以上の大小さまざまなセキュリティインシデントが発生し、損失額は17.9億ドルに上りました。そのうち、第3四半期が最も多い360件のセキュリティインシデントと最も大きな損失(74億ドル)を記録し、2022年比で47%増加しました。特に7月には187件のセキュリティインシデントが発生し、損失額は3.5億ドルに達しました。
図: Web 3 2023年の四半期/月次セキュリティインシデントの数
図:Web 3 2023年の四半期/月次セキュリティインシデントの損失額(百万ドル単位)
まず、ハッカーによる攻撃は依然として大きな損失の主要な原因です。2023年には216件のハッキング事件が発生し、10.6億ドルの損失を引き起こしました。契約違反、秘密鍵盗難、フィッシング攻撃、国家によるハッキングなどが、Web3エコシステムのセキュリティを脅かす重要な要因となっています。
第二に、ラグプルと財務詐欺が増加しています。2023年には250件のラグプルと詐欺事件が発生し、そのような事件が最も頻繁に発生しているのはBNBChainです。詐欺プロジェクトは、一見魅力的な暗号資産プロジェクトを投稿し、いくつかの虚偽の流動性を提供することで投資家を引き付けます。十分な資金が集まると、突然すべての資金が盗まれ、資産が移転されます。この種の詐欺は投資家に深刻な財務損失をもたらすだけでなく、投資家が適切なプロジェクトを選択する難しさを大幅に増加させます。
さらに、ランサムウェアはLockbit、Conti、Suncrypt、およびMontiなどの暗号資産を使用して身代金を集める傾向にあります。 暗号資産は法定通貨よりも追跡が難しく、オンチェーン分析ツールを使用してランサムウェアギャングを追跡および特定する方法もますます重要になっています。
最終的に、仮想通貨ハッキング攻撃や詐欺的な恐喝などの犯罪活動では、犯罪者はしばしば仮想通貨を入手した後、オンチェーンの資金移動やOTCを通じて資金を洗浄する必要があります。資金洗浄は通常、分散化と中央集権化の方法を組み合わせて行われます。中央集権化取引所は、資金洗浄の最も集中する場所であり、次にオンチェーンのコインミキシングプラットフォームが続きます。
2023年はWeb3規制の重要な進展の年でもあります。FTX2.0が再開され、Binanceが制裁を受け、HamasなどのUSDT禁止アドレスが存在し、SECは2024年1月にビットコインスポットETFを承認しました。これらの画期的な出来事は、規制がWeb3の発展に深く関与していることを示しています。
このレポートでは、2023年のWeb3ハッキング攻撃、Rugpull詐欺、ランサムウェア、暗号資産のマネーロンダリング、Web3規制など、主要なトピックの体系的な分析を行い、暗号資産業界のセキュリティの現状を把握します。
1. 契約上の抜け穴
契約の脆弱性攻撃は主にEthereumで発生しました。2023年下半期には、Ethereumで36件の契約の脆弱性攻撃が発生し、損失額は2億ドル以上に上り、次いでBNBChainが続きました。攻撃方法に関しては、ビジネスロジックの欠陥とフラッシュローン攻撃が依然として最も一般的です。
図: Web 3 2023四半期ハッキング事件と損失(百万ドル単位)
図:Web 3 2023H2における月間契約エクスプロイトとハッキング攻撃の数と量
図:異なるWeb 3 2023H2チェーンでの月ごとの契約エクスプロイト攻撃数と損失額
図:特定の攻撃手法を使用してWeb 3 2023H2契約の脆弱性によって引き起こされた損失の数と金額
典型的なイベント分析:Vyperの脆弱性により、CurveやJPEG'dなどのプロジェクトが攻撃される
JPEG’dが攻撃される例を取るとします:
攻撃者のアドレス:0x6ec21d1868743a44318c3c259a6d4953f9978538
攻撃者の契約: 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab
攻撃トランザクション:
0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c
(1) 攻撃者(0x6ec21d18)は0x466B85B4契約を作成し、[Balancer: Vault]からフラッシュローンを通じて80,000 WETHを借りました。
(2) 攻撃者(0x6ec21d18)はpeth-ETH-F(0x9848482d)の流動性プールに40,000 WETHを追加し、32,431 pETHを取得しました。
(3) その後、攻撃者(0x6ec21d18)は、繰り返しpeth-ETH-F(0x98482D)流動性プールから流動性を削除しました。
最終的に、攻撃者(0x6ec21d18)は86,106 WETHを取得し、フラッシュローンを返金した後、6,106 WETHの利益が市場から抜けました。
脆弱性分析:この攻撃は典型的な再入攻撃です。攻撃されたプロジェクト契約のバイトコードの逆コンパイル。次の図からわかるように、add_liquidity および remove_liquidity 関数は、ストレージスロット値を検証する際に同じではありません。異なるストレージスロットを使用すると、再入ロックが機能しない可能性があります。この時点で、Vyperの基本設計のバグである可能性が疑われます。
Curveの公式ツイートと組み合わされました。最終的には、ターゲティングはVyperバージョンのバグでした。この脆弱性は、0.2.15、0.2.16、および0.3.0のバージョンに存在し、再入ロック設計に欠陥があります。0.2.15より前の0.2.14と0.3.0を比較します。後に、0.3.1バージョンで、このコードの一部が常に更新されていることが発見されました。古い0.2.14と新しい0.3.1のバージョンにはこの問題がありませんでした。
Vyperに対応した再入ロック関連の設定ファイルdata_positions.pyでは、storage_slotの値が上書きされます。retでは、最初にロックを取得したスロットは0であり、その後、関数が再度呼び出されると、ロックスロットが1つ増加します。この時点で、再入ロックは期限切れになります。
II. フィッシング攻撃
フィッシング攻撃は、標的を騙して機密情報を入手させたり、悪意のある行動をさせることを目的としたサイバー攻撃の一種です。この種の攻撃は、通常、電子メール、ソーシャルメディア、SMS、その他の通信チャネルを介して行われます。攻撃者は、プロジェクト関係者、当局、KOLなどの信頼される実体になりすまして、被害者に秘密鍵、ニーモニック、または取引の認証情報を提供させるよう誘導します。フィッシング攻撃は、契約の脆弱性攻撃と同様に、Q3では高頻度で高損失を示しました。総数107件のフィッシング攻撃が発生し、そのうち58件が7月に発生しました。
図:2023年のWeb3における四半期ごとのフィッシング攻撃と損失の数(百万ドル)
図:2023年のWeb 3における月間フィッシング攻撃の件数
典型的なフィッシング攻撃のオンチェーン資産移動の分析
2023年9月7日、アドレス(0x13e382)はフィッシング攻撃を受け、2,400万ドル以上の損失を被りました。フィッシングハッカーは資金盗難、資金交換、分散型資金送金を利用しました。最終的に失われた資金のうち、3,800 ETHがTornado.Cashにバッチで送金され、10,000 ETHが中間アドレス(0x702350)に送金され、1,078,087 DAIが中間アドレス(0x4F2F02)に残っています。
これは典型的なフィッシング攻撃です。攻撃者は、ウォレットの認証や秘密鍵をだまし取ってユーザーの資産を盗むことで、フィッシング+マネーロンダリングの闇産業チェーンを形成しています。現在、ますます多くの詐欺ギャングや全国的なハッカーでさえ、フィッシング手法を使用してWeb3分野で犯罪を犯しており、すべての人の注意と警戒が必要です。
SharkTeamのオンチェーンビッグデータ分析プラットフォームChainAegis(https://app.chainaegis.com/)によるとフォローアップ分析では、典型的なフィッシング攻撃の詐欺プロセス、資金の移動、および詐欺者のオンチェーン行動を分析します。
(1) フィッシング攻撃プロセス
被害者アドレス(0x13e382)は、 '増加アローワンス'を介して詐欺師アドレス1(0x4c10a4)にrETHとstETHを付与します。
詐欺師のアドレス1(0x4c10a4)が被害者のアドレス(0x13e382)の口座から約$15.32百万の金額で、9,579 stETHを詐欺師のアドレス2(0x693b72)に送金しました。
詐欺師のアドレス1(0x4c10a4)は、被害者のアドレス(0x13e382)の口座から約841万ドルの額で詐欺師のアドレス2(0x693b72)に4,850 rETHを送金しました。
(2)資産の交換・譲渡
2023-09-07の早朝から、詐欺師のアドレス2(0x693b72)はUniSwapV2、UniSwapv3、およびCurveプラットフォームで複数の取引を行い、合計9,579 stETHおよび4,850 rETHをそれぞれETHに交換し、合計14,783.9413 ETHに交換しました。
stETH取引所:
rETH取引所:
ETHをDAIに交換してください。 詐欺師のアドレス2(0x693b72)がUniSwapv3プラットフォームDAIを介して1,000 ETHを1,635,047.761675421713685327に交換しました。 詐欺師は分散型資金移動を使用して複数の中間ウォレットアドレスに1,635,139DAIと13,785ETHを合計しました。 そのうち、1,785 ETHが中間アドレス(0x4F2F02)に転送され、2,000 ETHが中間アドレス(0x2ABDC2)に転送され、10,000 ETHが中間アドレス(0x702350)に転送されました。 さらに、中間アドレス(0x4F2F02)が翌日に1,635,139DAIを受け取りました
中間ウォレットアドレス(0x4F2F02)への資金移動:
アドレスは段階的な資金移動を経て、1,785 ETHと1,635,139 DAIを保有しています。資金の分散化された移動DAI、およびETHに換算された少額
まず、詐欺師は2023年9月7日の早朝に10回の取引で529,000DAIの送金を開始しました。その後、最初の7つの合計452,000台のDAIが中間アドレスから0x4E5B2E(fixedFloat)に、8番目のDAIが中間アドレスから0x6CC5F6(OKX)に転送され、最後の2つの合計77,000台のDAIが中間アドレスから0xF1DA17(exCH)に転送されました。
第二に、9月10日、28,052 DAIがUniswapV2を介して17.3 ETHに交換されました。
9月8日から9月11日までに、18件の取引が行われ、すべて1,800 ETHがTornado.Cashに送金されました。
送金後、最終的に盗まれた資金のうち1078,087 DAIが送金されなかったアドレスに残っていました。
中間アドレス(0x2ABDC2)への資金移動:
アドレスは資金のティアを介して転送され、2,000ETHを持っています。まず、9月11日にアドレスが中間アドレス(0x71C848)に2,000ETHを送金しました。
その後、中間アドレス(0x71C848)は、9月11日と10月1日の2回の資金移動を通じて、それぞれ100ETH、合計2000ETHの20トランザクションをTornado.Cashに送金しました。
アドレスは資金の階層を通じて転送され、10,000 ETHを保有しています。2023年10月08日現在、このアドレスの口座に10,000 ETHが転送されていません。
アドレスの手がかり追跡:詐欺師のアドレス1(0x4c10a4)と詐欺師のアドレス2(0x693b72)の過去の取引を分析した後、EOAアドレス(0x846317)が1.353 ETHを詐欺師のアドレス2(0x693b72)に送金したことが判明し、このEOAアドレスの資金源には中央集権取引所KuCoinとBinanceのホットウォレットアドレスが関与していました。
III. ラグプルと詐欺
2023年のRugpull詐欺事件の頻度は著しい上昇傾向を示しました。第4四半期は73件で、損失額は1900万ドルで、平均単一損失額は約26,000ドルです。年間全体で最も多かったRugpull詐欺の損失割合が最も高かった四半期は第2四半期で、次いで第3四半期で、損失の30%以上を占めています。
2023年下半期には、139件のRugpull事件と12件の詐欺事件が発生し、それぞれ7,155万ドルと3億4000万ドルの損失が生じました。
2023年後半には、Rugpullイベントが主にBNBChainで91回発生し、損失額は2957万ドルに達し、損失の41%を占め、65%以上を占めました。イーサリアム(44回)が続き、739万ドルの損失が発生しました。イーサリアムとBNBChainに加えて、BALD Rugpull事件が8月にベースチェーンで発生し、2560万ドルの深刻な損失を引き起こしました。
図:Web 3 2023年のラグプルおよび詐欺事件数と損失額(百万ドル単位)ごとの四半期別
図: Web 3 2023H2 における Rugpull と Scam の月あたりのインシデントと損失の数
図: 2023H2年のさまざまなWeb 3チェーンでの毎月のRugpullイベント数と損失額
ラグプール詐欺工場の行動分析
BNBChainでは、Rugpullトークンを大量生産し、詐欺を犯すために、Rug詐欺ファクトリーモデルが人気があります。偽のSEI、X、TIP、およびBlueトークンのRugpullファクトリーの詐欺パターンを見てみましょう。
(1) SEI
まず、偽のSEIトークン保有者0x0a8310eca430beb13a8d1b42a03b3521326e4a58は、249枚の偽のSEIを1Uと交換しました。
その後、0x6f9963448071b88fb23fd9971d24a87e5244451A一括売買操作を実施しました。売買操作では、トークンの流動性が著しく増加し、価格も上昇しました。
フィッシングやその他のプロモーション手法を通じて、多くのユーザーが購入を誘惑されます。流動性が増加すると、トークン価格が倍になります。
トークンの価格が一定値に達すると、トークン所有者は市場に参入してラグプル操作を行います。以下の画像からもわかるように、参入収穫期間や価格はすべて異なります。
(2)偽のX、偽のTIP、偽の青
最初に、X、TIP、およびBlueトークン保有者0x44A028DAE3680697795a8d50960c8c155cbc0d74は、対応するトークンとの交換のために1Uを交換しました。その後、まるで偽のSeiトークンのように。
0x6f9963448071b88fb23fd9971d24a87e5244451取引所での大口買いおよび売りの操作。買いおよび売りの操作により、流動性が著しく増加し、価格が上昇しました。
その後、フィッシングやその他のチャネルを通じてプロモーションされ、多くのユーザーを誘い込んで購入させました。流動性が増加するにつれ、トークンの価格が倍増しました。
偽のSEIのように、トークンの価格が一定値に達すると、トークン所有者は市場に参入して売却し、Rugpull操作を行います。下の画像からわかるように、参入収穫期間と価格はすべて異なります。
偽のSEI、偽のX、偽のTIP、および偽のBlueトークンの変動チャートは次のとおりです:
資金の追跡性と行動パターンから学ぶことができます:
ファンドのトレーサビリティコンテンツでは、コインファクトリークリエーターとトークンクリエーターの資金は複数のEOAアカウントから来ています。また、異なる口座間での金融取引もあります。その中には、フィッシングアドレスを介して転送されるものもあれば、以前のRugpullトークンを介して取得されるものもあれば、Tornado Cashなどの混合プラットフォームを介して取得されるものもあります。さまざまな方法で資金を送金することは、複雑で複雑な金融ネットワークを構築することを目的としています。また、さまざまなアドレスで複数のトークンファクトリーコントラクトが作成され、大量生産されたトークンが作成されています。
トークンRugpullの動作を分析したところ、アドレスが見つかりました
0x6f9963448071b88fb23fd9971d24a87e5244451aは資金提供元の1つです。バッチメソッドも使用されて、トークン価格を操作するために使用されます。アドレス0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3は複数のトークン保有者に対して対応する資金を提供する資金提供者としても機能します。
分析すると、この一連の行為の背後には、明確な労働分業があるWeb3詐欺団があり、黒い産業チェーンを形成しています。主にホットスポットの収集、自動コインの発行、自動取引、虚偽の宣伝、フィッシング攻撃、Rugpull収穫などが関与しており、これらの多くはBNBChainで発生しています。発行された偽のRugpullトークンはすべて業界のホットなイベントと密接に関連しており、非常に混乱させ、奨励しています。ユーザーは常に警戒し、合理的であり、不必要な損失を避けるべきです。
IV. ランサムウェア
2023年のランサムウェア攻撃の脅威は常に機関や企業に脅威をもたらしています。 ランサムウェア攻撃はますます洗練されており、攻撃者は組織のシステムやネットワークの脆弱性を悪用するさまざまな技術を使用しています。 増殖するランサムウェア攻撃は世界中のビジネス組織、個人、および重要インフラに重大な脅威をもたらし続けています。 攻撃者は、リークされたソースコード、インテリジェントな攻撃スキーム、新興プログラミング言語を使用して、違法な利益を最大化するために攻撃戦略を絶えず適応および磨き上げています。
LockBit、ALPHV/BlackCat、BlackBastaは、現在最も活発なランサムウェア組織です。
図:恐喝組織の被害者数
現在、ますます多くのランサムウェアが暗号資産の支払い方法を使用しています。 Lockbitを例に取ると、最近Lockbitによって攻撃された企業には、今年6月末のTSMC、10月のBoeing、11月の中国工商銀行のアメリカ子会社などが含まれます。 ほとんどの場合、Bitcoinを使って身代金を集め、LockBitは身代金を受け取った後に暗号資産の資金を洗浄します。 Lockbitを使用したランサムウェアの資金洗浄モデルを分析しましょう。
ChainAegisの分析によると、LockBitランサムウェアは主にBTCを使って身代金を収集し、異なる支払いアドレスを使っています。いくつかのアドレスと支払い金額は以下のように配置されています。1回の脅迫でのBTCは0.07から5.8までの範囲で、約$2,551から$211,311までの範囲です。
図: LockBitの一部の支払いアドレスと支払い金額
最も関与している金額の高い2つのアドレスを使用して、オンチェーンアドレスのトラッキングとマネーロンダリング防止の分析が実施されました:
身代金受領アドレス 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;
身代金受取人アドレス2:1hpz7rny3kbjeuurhkhivwdrnwaasgvVVPH.
(1) ランサムウェア収集アドレス1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem
以下の分析によると、2021年3月25日から2021年5月15日までに、アドレス1(1Ptfhw)は合計17回のオンチェーン取引を受け取りました。資金を受け取った後、資産は迅速に13の中核中間アドレスに移動されました。これらの中間アドレスは、資金レイヤーを介して6つの第2階層の中間アドレスに転送されます。すなわち、3fVzPx… cuVH、1gVKmU… Bbs1、bc1qdse… ylky、1gucci… vSGB、bc1qan… 0ac4、および13CPvF… Lpdpです。
中間アドレス 3fVzPx...cuvHは、オンチェーン分析を通じて、ダークウェブアドレス361AKMknnwywzrsce8ppnMoH5AQF4V7G4Pへの最終フローが発見されたことを発見しました。
中間アドレス13cPVf… Lpdpが0.00022 BTCの少額をCoinPaymentsに送金しました。似たような取引が500件あり、合計0.21 BTCがCoinPaymentsアドレスbc1q3y… 7y88に集められ、CoinPaymentsを使用して資金を洗浄しました。
他の中間アドレスは、中央集権型取引所BinanceとBitfinexに流れ込んでしまいました。
図:アドレス1(1Ptfhw… hPEM)資金調達元と流出詳細
図: アドレス1(1Ptfhw… hPem)の資金流れの追跡
図:アドレス1(1Ptfhw… hPEM)に関与する中間アドレスと資金フローの詳細
図:アドレス1(1Ptfhw… hPEM)取引マップ
(2) 恐喝受付アドレス 2:1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH
被害者は、2021年5月24日から2021年5月28日までの11回の取引で、身代金オペレーターのLockBitに4.16BTCを支払いました。すぐに、アドレス 2 (1hpz7rn...vVPH)は、身代金の1.89BTCを中間アドレス1に迅速に送金しました。0ac4, 1.84 から中間アドレス 2:112qjqj...Sdha、0.34アイテムは中央のアドレスに移動します3:19Uxbt...9rdFです。
最終的な中間アドレス2:112qJqj… Sdhaと中間アドレス3:19Uxbt… 9rdFは、両方とも中間アドレス1: bc1qan… 0ac4に資金を送金しました。その直後、中間アドレス1 bc1qan… 0ac4は資金を引き続き送金しました。資金の一部は直接Binance取引所に送金され、資金の他の部分は中間アドレスを通じて層に分けられ、最終的にBinanceや他のプラットフォームに資金を洗浄するために送金されました。具体的な取引の詳細およびアドレスタグは以下の通りです。
図: アドレス2(1hpz7rn… vVPH)の資金調達元と流出詳細
図: アドレス2(1hpz7rn… vVPH)資金フローの追跡
図:アドレス2(1hpz7rn… vVPH)に関与する中間アドレスと資金フローの詳細
LockBitは、身代金を受け取った後、暗号資産の資金を洗浄します。従来の資金洗浄方法とは異なり、この資金洗浄モデルは通常、ブロックチェーン上で行われます。長いサイクル、分散した資金、高い自動化、高い複雑さを特徴としています。暗号資産の監督と資金追跡を行うためには、一方ではチェーン上とオフチェーンの分析およびフォレンジック能力を構築する必要があり、他方ではAPTレベルのセキュリティ攻撃と防御をネットワークセキュリティレベルで行う必要があり、攻撃と防御を統合する能力が必要です。
5. マネーロンダリング
マネーロンダリング(資金洗浄)は、不法な収益を合法化する行為です。主に、さまざまな手段を使って不法な収益の起源と性質を隠蔽し、不法な収益の正規化を指します。このような行為には、金融口座の提供、財産形態の変換の支援、資金の送金や海外送金の支援などが含まれます。ただし、暗号資産、特にステーブルコインは、低い送金コスト、地理的位置情報の非表示、および特定の検閲に対抗する特性から、かなり長い間資金洗浄に使用されてきました。これが、暗号資産が批判される主な理由の1つです。
従来のマネーロンダリング活動は、しばしば暗号資産OTC市場を利用して、法定通貨を暗号資産に交換したり、暗号資産から法定通貨に交換したりしています。その中で、マネーロンダリングのシナリオは異なり、形態も多様ですが、このような行為の性質にかかわらず、それらは従来の金融機関口座や暗号機関口座を含む資本リンクの捜査を法執行機関から遮断することを目的としています。
従来のマネーロンダリング活動とは異なり、新しいタイプの暗号資産マネーロンダリング活動の標的は暗号資産そのものであり、ウォレット、クロスチェーンブリッジ、分散取引プラットフォームなどの暗号資産業界のインフラはすべて違法に使用されます。
図:最近数年間に洗浄された金額
2016年から2023年まで、暗号資産は総額1477億ドルを洗浄しました。 2020年以降、洗浄された金額は年率67%で増加し続け、2022年には238億ドルに達し、2023年には800億ドルに達する見込みです。 洗浄された金額は驚異的であり、マネーロンダリング防止の取り組みが必須です。
ChainAegisプラットフォームの統計によると、2020年1月以来、オンチェーンのコインミキシングプラットフォームであるTornado Cashの資金額は急速な成長を維持しています。現在、この資金プールには約362万ETHの預金があり、総預金額は78億ドルです。Tornado CashはEthereumの最大の資金洗浄センターとなっています。しかし、2022年8月に米国法執行機関がTornado Cashに制裁を科したことで、週ごとのTornado Cashの預金と引き出しの数は急激に減少しましたが、Tornado Cashの分散型の性質のため、それらを根源で止めることは不可能であり、資金はシステムにコインを混ぜるために引き続き流入し続けました。
ラザラス・グループ(北朝鮮のAPT組織)のマネーロンダリングモデル分析
国家APT(Advanced Persistent Threat)組織は、特定のターゲットを長期間にわたって狙う国家的支援を受けたトップハッカーグループです。北朝鮮のAPT組織であるラザラス・グループは非常に活発なAPT集団です。攻撃の主な目的は資金を盗むことであり、これはグローバル金融機関にとって最大の脅威と言えます。彼らは最近の仮想通貨部門での多くの攻撃や資金窃盗事件に関与しています。
これまでに明確に数えられた暗号分野でのLazarus攻撃のセキュリティインシデントと損失は次のとおりです:
ラザロスによるサイバー攻撃で30億ドル以上の資金が盗まれました。報告によると、ラザロスハッカーグループは北朝鮮の戦略的利益をサポートし、北朝鮮の核・弾道ミサイルプログラムに資金を提供しています。このため、米国はラザロスハッカーグループに制裁として500万ドルの懸賞金を発表しました。米国財務省は関連するアドレスをOFAC特別指定国民(SDN)リストに追加し、国家資金換金を阻止し、これにより制裁を科しています。イーサリアム開発者のバージル・グリフィスは、仮想通貨を使用して北朝鮮が制裁を逃れるのを手助けしたため、5年3か月の懲役を宣告されました。2023年には、OFACはラザロスグループに関連する3人を制裁しました。制裁を受けた2人、チェン・ホンマンとウー・フイフイは、ラザロスのために仮想通貨取引を促進したOTCトレーダーであり、第3者のシム・ヒョンソプは他の金融支援を提供しました。
これにもかかわらず、ラザロスは10億ドル以上の資産移転と清掃を完了し、彼らのマネーロンダリングモデルが以下で分析されています。例として、Atomic Wallet事件を挙げてみましょう。ハッカーによって設定された技術的な妨害要素(大量の偽トークン送金取引+複数のアドレス分割)を取り除いた後、ハッカーの資金移動モデルを取得できます:
図:Atomic Wallet Victim 1の資金移動ビュー
被害者1は、0xb02d… c6072のアドレスからハッカーアドレス0x3916... 6340に304.36 ETHを転送し、中間アドレス0x0159... 7b70を通じて8回の分割支払いの後、アドレス0x69ca… 5324に戻ります。集められた資金はその後、アドレス0x514c… 58f67に転送されました。現在、資金はまだこのアドレスにあり、そのETH残高は692.74 ETH(約127万ドル相当)です。
図: Atomic Wallet被害者2の資金移動ビュー
被害者2は、アドレス0x0b45... d662からハッカーアドレス0xf0f7... 79b3に1,266,000 USDTを送金しました。ハッカーはそれを3つの取引に分割し、そのうち2つをUniswapに送金し、合計1,266,000 USDTを送金しました。残りの送金はアドレス0x49ce… 80fbに672.71 ETHを送金しました。被害者2は、22,000 USDTをハッカーアドレス0x0d5a… 08c2に送金しました。ハッカーは、中間アドレス0xec13... 02d6などを通じて複数回にわたり、直接または間接的に資金をアドレス0x3c2e… 94a8に集めました。
このマネーロンダリングモデルは、以前のRonin NetworkおよびHarmony攻撃のマネーロンダリングモデルと非常に一致しており、すべてが3つのステップを含んでいます:
(1) 盗まれた資金の統合と交換: 攻撃が行われた後、元の盗まれたトークンが整理され、さまざまなトークンがDEXやその他の方法を通じてETHに交換されます。これは資金の凍結を回避する一般的な方法です。
(2)盗まれた資金の回収:仕分けされたETHをいくつかの使い捨てウォレットアドレスに集めます。Roninの事件では、ハッカーは9つのアドレスを共有し、Harmonyは14のアドレスを使用し、Atomic Walletの事件では30近くのアドレスを使用しました。
(3)盗まれた資金からの送金:回収アドレスを使用して、Tornado.Cashを通じてマネーロンダリングを行います。以上で送金手続きは完了です。
同じ資金洗浄手続きを持っているだけでなく、資金洗浄の詳細にも高い一貫性があります。
(1) 攻撃者は非常に忍耐強いです。彼らは全員、最大1週間かけて資金洗浄作業を行い、事件発生後数日でフォローアップの資金洗浄作業を始めました。
(2) 自動取引は資金洗浄プロセスで使用されています。資金収集アクションのほとんどは、多くの取引、短い時間間隔、均一なモデルを持っています。
分析の結果、Lazarusのマネーロンダリングモデルは概ね以下の通りであると考えています。
(1) 分割口座を作成し、資産を少額かつ複数回の取引で移動して、追跡をより困難にします。
(2)追跡をより困難にするために、大量の偽造通貨取引の製造を開始します。アトミックウォレット事件を例にとると、27の中間アドレスのうち23はすべて偽造送金アドレスでした。最近、Stake.com のインシデント分析で同様の技術が発見されましたが、前回のRonin NetworkとHarmonyのインシデントにはこの干渉技術がなかったため、Lazarusのマネーロンダリング技術もアップグレードされたことが分かります。
(3)コインミキシングには、Tonado Cashなどのオンチェーンメソッドがより多く使用されています。以前のインシデントでは、Lazarusはしばしば中央集権取引所を使用して起業資金を得たり、その後のOTCを行ったりしていましたが、最近では中央集権取引所の使用が少なくなっており、可能な限り中央集権取引所の使用を避けようとしているとさえ考えられます。これは最近のいくつかの制裁事件と関連しているはずです。
VI. 制裁と規制
米国財務省の外国資産管理局(OFAC)や他の国の同様の機関など、国家安全保障および外交政策に脅威と見なされる国、政権、個人、および団体に対する制裁を採用している機関が存在します。 伝統的に、制裁の執行は主要な金融機関の協力に依存してきましたが、一部の悪質な行為者はこれらの第三者の仲介業者を回避するために暗号資産に頼るようになり、立法者や制裁機関に新たな課題をもたらしています。 ただし、暗号資産の固有の透明性や暗号資産サービスへの遵守意欲、特に暗号資産と法定通貨の間のリンクとして機能する多くの中央集権型取引所は、暗号通貨の世界での制裁の実施が可能であることを証明しています。
ここでは、2023年に米国で制裁を受けた仮想通貨に関連する個人や団体の一部と、OFAC制裁の理由について見ていきます。
世界最大のステーブルコインを提供するTetherの親会社は2023年12月9日に、米国財務省外国資産管理局(OFAC)の制裁対象者リストに掲載されている個人のウォレット内のトークンを「凍結」すると発表しました。Tetherはこの措置を「潜在的なTetherトークンの誤用を予防し、セキュリティ対策を強化するための自主的な一歩」と位置付けています。
これは、暗号資産犯罪の捜査および処罰が実質的な段階に入ったことも示しています。中核企業と執行機関の協力により、効果的な制裁を形成し、暗号資産犯罪を監視および処罰することができます。
2023年のWeb3規制に関して、香港も大きな進歩を遂げており、「コンプライアンスを遵守してWeb3および暗号資産市場を発展させる」というトランペットを鳴らしています。シンガポール金融管理局が2022年に小売顧客が暗号資産取引にてレバレッジやクレジットを使用することを制限し始めた際、香港特別行政区政府は「香港におけるバーチャルアセットの開発に関する政策宣言」を発表し、一部のWeb3人材や企業が新たな有望な地に向かいました。
2023年6月1日、香港は宣言を履行し、「仮想資産取引プラットフォーム事業者のためのガイドライン」を発行しました。仮想資産取引プラットフォームのライセンス制度が正式に実施され、第1種(証券取引)と第7種(自動売買サービスの提供)のライセンスが交付されました。
現在、OKX、BGE、HKBiteX、HKVAX、VDX、Meex、PantherTrade、VAEX、Accumulus、およびDFX Labsなどの組織が、仮想通貨取引プラットフォームライセンス(VASP)の申請を積極的に行っています。
李家超最高経営責任者(CEO)や陳茂波財務長官などは、香港政府を代表して、香港でのWeb3の立ち上げを支援し、世界中から仮想通貨企業や人材を誘致して構築するよう頻繁に発言しています。政策支援の面では、香港は個人投資家が暗号通貨を取引できるようにする仮想資産サービスプロバイダーのライセンスシステムを導入し、1,000万ドルのWeb3ハブエコシステムファンドを立ち上げ、デジタル経済の発展を加速し、仮想資産産業の発展を促進するために7億香港ドル以上の投資を計画しています。また、Web 3.0開発タスクフォースも設置しました。
しかし、偉大な進歩がなされているときには、危険な出来事も勢いを利用しました。無許可の暗号資産取引所JPEXは香港ドル10億ドル以上が関与し、HOUNAX詐欺事件は1億元以上が関与し、HongKongDAOとBitCupedは仮想資産詐欺が疑われました... これらの悪質な事件は香港証券監督委員会と警察から大きな注目を集めました。香港証券監督委員会は、週次で警察と協力して仮想資産事件のリスク評価ガイドラインを開発し、情報交換を行うと述べています。
近い将来、より完全な規制およびセキュリティシステムが香港を、東西の重要な金融拠点として、Web3に歓迎するのを支援すると信じています。
免責事項:
- この記事は[aicoin]. すべての著作権は元の著者に帰属します [SharkTeam]. If there are objections to this reprint, please contact the Gate Learnチームが速やかに対応いたします。
- 責任の免除: この記事で表現されている意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
- 記事の翻訳はGate Learnチームによって行われます。特記されていない限り、翻訳された記事のコピー、配布、または盗用は禁止されています。
مقالات ذات صلة
ステーブルコインとは何ですか?
定量的戦略取引について知っておくべきことすべて
SharkTeam: 2023 暗号資産犯罪分析レポート
1. 契約上の抜け穴
典型的なイベント分析:Vyperの脆弱性により、CurveやJPEG'dなどのプロジェクトが攻撃される
II. フィッシング攻撃
III. ラグプルと詐欺
5. マネーロンダリング
VI. 制裁と規制
2023年、Web3業界では、2022年比で50%以上増加し、合計940件以上の大小さまざまなセキュリティインシデントが発生し、損失額は17.9億ドルに上りました。そのうち、第3四半期が最も多い360件のセキュリティインシデントと最も大きな損失(74億ドル)を記録し、2022年比で47%増加しました。特に7月には187件のセキュリティインシデントが発生し、損失額は3.5億ドルに達しました。
図: Web 3 2023年の四半期/月次セキュリティインシデントの数
図:Web 3 2023年の四半期/月次セキュリティインシデントの損失額(百万ドル単位)
まず、ハッカーによる攻撃は依然として大きな損失の主要な原因です。2023年には216件のハッキング事件が発生し、10.6億ドルの損失を引き起こしました。契約違反、秘密鍵盗難、フィッシング攻撃、国家によるハッキングなどが、Web3エコシステムのセキュリティを脅かす重要な要因となっています。
第二に、ラグプルと財務詐欺が増加しています。2023年には250件のラグプルと詐欺事件が発生し、そのような事件が最も頻繁に発生しているのはBNBChainです。詐欺プロジェクトは、一見魅力的な暗号資産プロジェクトを投稿し、いくつかの虚偽の流動性を提供することで投資家を引き付けます。十分な資金が集まると、突然すべての資金が盗まれ、資産が移転されます。この種の詐欺は投資家に深刻な財務損失をもたらすだけでなく、投資家が適切なプロジェクトを選択する難しさを大幅に増加させます。
さらに、ランサムウェアはLockbit、Conti、Suncrypt、およびMontiなどの暗号資産を使用して身代金を集める傾向にあります。 暗号資産は法定通貨よりも追跡が難しく、オンチェーン分析ツールを使用してランサムウェアギャングを追跡および特定する方法もますます重要になっています。
最終的に、仮想通貨ハッキング攻撃や詐欺的な恐喝などの犯罪活動では、犯罪者はしばしば仮想通貨を入手した後、オンチェーンの資金移動やOTCを通じて資金を洗浄する必要があります。資金洗浄は通常、分散化と中央集権化の方法を組み合わせて行われます。中央集権化取引所は、資金洗浄の最も集中する場所であり、次にオンチェーンのコインミキシングプラットフォームが続きます。
2023年はWeb3規制の重要な進展の年でもあります。FTX2.0が再開され、Binanceが制裁を受け、HamasなどのUSDT禁止アドレスが存在し、SECは2024年1月にビットコインスポットETFを承認しました。これらの画期的な出来事は、規制がWeb3の発展に深く関与していることを示しています。
このレポートでは、2023年のWeb3ハッキング攻撃、Rugpull詐欺、ランサムウェア、暗号資産のマネーロンダリング、Web3規制など、主要なトピックの体系的な分析を行い、暗号資産業界のセキュリティの現状を把握します。
1. 契約上の抜け穴
契約の脆弱性攻撃は主にEthereumで発生しました。2023年下半期には、Ethereumで36件の契約の脆弱性攻撃が発生し、損失額は2億ドル以上に上り、次いでBNBChainが続きました。攻撃方法に関しては、ビジネスロジックの欠陥とフラッシュローン攻撃が依然として最も一般的です。
図: Web 3 2023四半期ハッキング事件と損失(百万ドル単位)
図:Web 3 2023H2における月間契約エクスプロイトとハッキング攻撃の数と量
図:異なるWeb 3 2023H2チェーンでの月ごとの契約エクスプロイト攻撃数と損失額
図:特定の攻撃手法を使用してWeb 3 2023H2契約の脆弱性によって引き起こされた損失の数と金額
典型的なイベント分析:Vyperの脆弱性により、CurveやJPEG'dなどのプロジェクトが攻撃される
JPEG’dが攻撃される例を取るとします:
攻撃者のアドレス:0x6ec21d1868743a44318c3c259a6d4953f9978538
攻撃者の契約: 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab
攻撃トランザクション:
0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c
(1) 攻撃者(0x6ec21d18)は0x466B85B4契約を作成し、[Balancer: Vault]からフラッシュローンを通じて80,000 WETHを借りました。
(2) 攻撃者(0x6ec21d18)はpeth-ETH-F(0x9848482d)の流動性プールに40,000 WETHを追加し、32,431 pETHを取得しました。
(3) その後、攻撃者(0x6ec21d18)は、繰り返しpeth-ETH-F(0x98482D)流動性プールから流動性を削除しました。
最終的に、攻撃者(0x6ec21d18)は86,106 WETHを取得し、フラッシュローンを返金した後、6,106 WETHの利益が市場から抜けました。
脆弱性分析:この攻撃は典型的な再入攻撃です。攻撃されたプロジェクト契約のバイトコードの逆コンパイル。次の図からわかるように、add_liquidity および remove_liquidity 関数は、ストレージスロット値を検証する際に同じではありません。異なるストレージスロットを使用すると、再入ロックが機能しない可能性があります。この時点で、Vyperの基本設計のバグである可能性が疑われます。
Curveの公式ツイートと組み合わされました。最終的には、ターゲティングはVyperバージョンのバグでした。この脆弱性は、0.2.15、0.2.16、および0.3.0のバージョンに存在し、再入ロック設計に欠陥があります。0.2.15より前の0.2.14と0.3.0を比較します。後に、0.3.1バージョンで、このコードの一部が常に更新されていることが発見されました。古い0.2.14と新しい0.3.1のバージョンにはこの問題がありませんでした。
Vyperに対応した再入ロック関連の設定ファイルdata_positions.pyでは、storage_slotの値が上書きされます。retでは、最初にロックを取得したスロットは0であり、その後、関数が再度呼び出されると、ロックスロットが1つ増加します。この時点で、再入ロックは期限切れになります。
II. フィッシング攻撃
フィッシング攻撃は、標的を騙して機密情報を入手させたり、悪意のある行動をさせることを目的としたサイバー攻撃の一種です。この種の攻撃は、通常、電子メール、ソーシャルメディア、SMS、その他の通信チャネルを介して行われます。攻撃者は、プロジェクト関係者、当局、KOLなどの信頼される実体になりすまして、被害者に秘密鍵、ニーモニック、または取引の認証情報を提供させるよう誘導します。フィッシング攻撃は、契約の脆弱性攻撃と同様に、Q3では高頻度で高損失を示しました。総数107件のフィッシング攻撃が発生し、そのうち58件が7月に発生しました。
図:2023年のWeb3における四半期ごとのフィッシング攻撃と損失の数(百万ドル)
図:2023年のWeb 3における月間フィッシング攻撃の件数
典型的なフィッシング攻撃のオンチェーン資産移動の分析
2023年9月7日、アドレス(0x13e382)はフィッシング攻撃を受け、2,400万ドル以上の損失を被りました。フィッシングハッカーは資金盗難、資金交換、分散型資金送金を利用しました。最終的に失われた資金のうち、3,800 ETHがTornado.Cashにバッチで送金され、10,000 ETHが中間アドレス(0x702350)に送金され、1,078,087 DAIが中間アドレス(0x4F2F02)に残っています。
これは典型的なフィッシング攻撃です。攻撃者は、ウォレットの認証や秘密鍵をだまし取ってユーザーの資産を盗むことで、フィッシング+マネーロンダリングの闇産業チェーンを形成しています。現在、ますます多くの詐欺ギャングや全国的なハッカーでさえ、フィッシング手法を使用してWeb3分野で犯罪を犯しており、すべての人の注意と警戒が必要です。
SharkTeamのオンチェーンビッグデータ分析プラットフォームChainAegis(https://app.chainaegis.com/)によるとフォローアップ分析では、典型的なフィッシング攻撃の詐欺プロセス、資金の移動、および詐欺者のオンチェーン行動を分析します。
(1) フィッシング攻撃プロセス
被害者アドレス(0x13e382)は、 '増加アローワンス'を介して詐欺師アドレス1(0x4c10a4)にrETHとstETHを付与します。
詐欺師のアドレス1(0x4c10a4)が被害者のアドレス(0x13e382)の口座から約$15.32百万の金額で、9,579 stETHを詐欺師のアドレス2(0x693b72)に送金しました。
詐欺師のアドレス1(0x4c10a4)は、被害者のアドレス(0x13e382)の口座から約841万ドルの額で詐欺師のアドレス2(0x693b72)に4,850 rETHを送金しました。
(2)資産の交換・譲渡
2023-09-07の早朝から、詐欺師のアドレス2(0x693b72)はUniSwapV2、UniSwapv3、およびCurveプラットフォームで複数の取引を行い、合計9,579 stETHおよび4,850 rETHをそれぞれETHに交換し、合計14,783.9413 ETHに交換しました。
stETH取引所:
rETH取引所:
ETHをDAIに交換してください。 詐欺師のアドレス2(0x693b72)がUniSwapv3プラットフォームDAIを介して1,000 ETHを1,635,047.761675421713685327に交換しました。 詐欺師は分散型資金移動を使用して複数の中間ウォレットアドレスに1,635,139DAIと13,785ETHを合計しました。 そのうち、1,785 ETHが中間アドレス(0x4F2F02)に転送され、2,000 ETHが中間アドレス(0x2ABDC2)に転送され、10,000 ETHが中間アドレス(0x702350)に転送されました。 さらに、中間アドレス(0x4F2F02)が翌日に1,635,139DAIを受け取りました
中間ウォレットアドレス(0x4F2F02)への資金移動:
アドレスは段階的な資金移動を経て、1,785 ETHと1,635,139 DAIを保有しています。資金の分散化された移動DAI、およびETHに換算された少額
まず、詐欺師は2023年9月7日の早朝に10回の取引で529,000DAIの送金を開始しました。その後、最初の7つの合計452,000台のDAIが中間アドレスから0x4E5B2E(fixedFloat)に、8番目のDAIが中間アドレスから0x6CC5F6(OKX)に転送され、最後の2つの合計77,000台のDAIが中間アドレスから0xF1DA17(exCH)に転送されました。
第二に、9月10日、28,052 DAIがUniswapV2を介して17.3 ETHに交換されました。
9月8日から9月11日までに、18件の取引が行われ、すべて1,800 ETHがTornado.Cashに送金されました。
送金後、最終的に盗まれた資金のうち1078,087 DAIが送金されなかったアドレスに残っていました。
中間アドレス(0x2ABDC2)への資金移動:
アドレスは資金のティアを介して転送され、2,000ETHを持っています。まず、9月11日にアドレスが中間アドレス(0x71C848)に2,000ETHを送金しました。
その後、中間アドレス(0x71C848)は、9月11日と10月1日の2回の資金移動を通じて、それぞれ100ETH、合計2000ETHの20トランザクションをTornado.Cashに送金しました。
アドレスは資金の階層を通じて転送され、10,000 ETHを保有しています。2023年10月08日現在、このアドレスの口座に10,000 ETHが転送されていません。
アドレスの手がかり追跡:詐欺師のアドレス1(0x4c10a4)と詐欺師のアドレス2(0x693b72)の過去の取引を分析した後、EOAアドレス(0x846317)が1.353 ETHを詐欺師のアドレス2(0x693b72)に送金したことが判明し、このEOAアドレスの資金源には中央集権取引所KuCoinとBinanceのホットウォレットアドレスが関与していました。
III. ラグプルと詐欺
2023年のRugpull詐欺事件の頻度は著しい上昇傾向を示しました。第4四半期は73件で、損失額は1900万ドルで、平均単一損失額は約26,000ドルです。年間全体で最も多かったRugpull詐欺の損失割合が最も高かった四半期は第2四半期で、次いで第3四半期で、損失の30%以上を占めています。
2023年下半期には、139件のRugpull事件と12件の詐欺事件が発生し、それぞれ7,155万ドルと3億4000万ドルの損失が生じました。
2023年後半には、Rugpullイベントが主にBNBChainで91回発生し、損失額は2957万ドルに達し、損失の41%を占め、65%以上を占めました。イーサリアム(44回)が続き、739万ドルの損失が発生しました。イーサリアムとBNBChainに加えて、BALD Rugpull事件が8月にベースチェーンで発生し、2560万ドルの深刻な損失を引き起こしました。
図:Web 3 2023年のラグプルおよび詐欺事件数と損失額(百万ドル単位)ごとの四半期別
図: Web 3 2023H2 における Rugpull と Scam の月あたりのインシデントと損失の数
図: 2023H2年のさまざまなWeb 3チェーンでの毎月のRugpullイベント数と損失額
ラグプール詐欺工場の行動分析
BNBChainでは、Rugpullトークンを大量生産し、詐欺を犯すために、Rug詐欺ファクトリーモデルが人気があります。偽のSEI、X、TIP、およびBlueトークンのRugpullファクトリーの詐欺パターンを見てみましょう。
(1) SEI
まず、偽のSEIトークン保有者0x0a8310eca430beb13a8d1b42a03b3521326e4a58は、249枚の偽のSEIを1Uと交換しました。
その後、0x6f9963448071b88fb23fd9971d24a87e5244451A一括売買操作を実施しました。売買操作では、トークンの流動性が著しく増加し、価格も上昇しました。
フィッシングやその他のプロモーション手法を通じて、多くのユーザーが購入を誘惑されます。流動性が増加すると、トークン価格が倍になります。
トークンの価格が一定値に達すると、トークン所有者は市場に参入してラグプル操作を行います。以下の画像からもわかるように、参入収穫期間や価格はすべて異なります。
(2)偽のX、偽のTIP、偽の青
最初に、X、TIP、およびBlueトークン保有者0x44A028DAE3680697795a8d50960c8c155cbc0d74は、対応するトークンとの交換のために1Uを交換しました。その後、まるで偽のSeiトークンのように。
0x6f9963448071b88fb23fd9971d24a87e5244451取引所での大口買いおよび売りの操作。買いおよび売りの操作により、流動性が著しく増加し、価格が上昇しました。
その後、フィッシングやその他のチャネルを通じてプロモーションされ、多くのユーザーを誘い込んで購入させました。流動性が増加するにつれ、トークンの価格が倍増しました。
偽のSEIのように、トークンの価格が一定値に達すると、トークン所有者は市場に参入して売却し、Rugpull操作を行います。下の画像からわかるように、参入収穫期間と価格はすべて異なります。
偽のSEI、偽のX、偽のTIP、および偽のBlueトークンの変動チャートは次のとおりです:
資金の追跡性と行動パターンから学ぶことができます:
ファンドのトレーサビリティコンテンツでは、コインファクトリークリエーターとトークンクリエーターの資金は複数のEOAアカウントから来ています。また、異なる口座間での金融取引もあります。その中には、フィッシングアドレスを介して転送されるものもあれば、以前のRugpullトークンを介して取得されるものもあれば、Tornado Cashなどの混合プラットフォームを介して取得されるものもあります。さまざまな方法で資金を送金することは、複雑で複雑な金融ネットワークを構築することを目的としています。また、さまざまなアドレスで複数のトークンファクトリーコントラクトが作成され、大量生産されたトークンが作成されています。
トークンRugpullの動作を分析したところ、アドレスが見つかりました
0x6f9963448071b88fb23fd9971d24a87e5244451aは資金提供元の1つです。バッチメソッドも使用されて、トークン価格を操作するために使用されます。アドレス0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3は複数のトークン保有者に対して対応する資金を提供する資金提供者としても機能します。
分析すると、この一連の行為の背後には、明確な労働分業があるWeb3詐欺団があり、黒い産業チェーンを形成しています。主にホットスポットの収集、自動コインの発行、自動取引、虚偽の宣伝、フィッシング攻撃、Rugpull収穫などが関与しており、これらの多くはBNBChainで発生しています。発行された偽のRugpullトークンはすべて業界のホットなイベントと密接に関連しており、非常に混乱させ、奨励しています。ユーザーは常に警戒し、合理的であり、不必要な損失を避けるべきです。
IV. ランサムウェア
2023年のランサムウェア攻撃の脅威は常に機関や企業に脅威をもたらしています。 ランサムウェア攻撃はますます洗練されており、攻撃者は組織のシステムやネットワークの脆弱性を悪用するさまざまな技術を使用しています。 増殖するランサムウェア攻撃は世界中のビジネス組織、個人、および重要インフラに重大な脅威をもたらし続けています。 攻撃者は、リークされたソースコード、インテリジェントな攻撃スキーム、新興プログラミング言語を使用して、違法な利益を最大化するために攻撃戦略を絶えず適応および磨き上げています。
LockBit、ALPHV/BlackCat、BlackBastaは、現在最も活発なランサムウェア組織です。
図:恐喝組織の被害者数
現在、ますます多くのランサムウェアが暗号資産の支払い方法を使用しています。 Lockbitを例に取ると、最近Lockbitによって攻撃された企業には、今年6月末のTSMC、10月のBoeing、11月の中国工商銀行のアメリカ子会社などが含まれます。 ほとんどの場合、Bitcoinを使って身代金を集め、LockBitは身代金を受け取った後に暗号資産の資金を洗浄します。 Lockbitを使用したランサムウェアの資金洗浄モデルを分析しましょう。
ChainAegisの分析によると、LockBitランサムウェアは主にBTCを使って身代金を収集し、異なる支払いアドレスを使っています。いくつかのアドレスと支払い金額は以下のように配置されています。1回の脅迫でのBTCは0.07から5.8までの範囲で、約$2,551から$211,311までの範囲です。
図: LockBitの一部の支払いアドレスと支払い金額
最も関与している金額の高い2つのアドレスを使用して、オンチェーンアドレスのトラッキングとマネーロンダリング防止の分析が実施されました:
身代金受領アドレス 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;
身代金受取人アドレス2:1hpz7rny3kbjeuurhkhivwdrnwaasgvVVPH.
(1) ランサムウェア収集アドレス1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem
以下の分析によると、2021年3月25日から2021年5月15日までに、アドレス1(1Ptfhw)は合計17回のオンチェーン取引を受け取りました。資金を受け取った後、資産は迅速に13の中核中間アドレスに移動されました。これらの中間アドレスは、資金レイヤーを介して6つの第2階層の中間アドレスに転送されます。すなわち、3fVzPx… cuVH、1gVKmU… Bbs1、bc1qdse… ylky、1gucci… vSGB、bc1qan… 0ac4、および13CPvF… Lpdpです。
中間アドレス 3fVzPx...cuvHは、オンチェーン分析を通じて、ダークウェブアドレス361AKMknnwywzrsce8ppnMoH5AQF4V7G4Pへの最終フローが発見されたことを発見しました。
中間アドレス13cPVf… Lpdpが0.00022 BTCの少額をCoinPaymentsに送金しました。似たような取引が500件あり、合計0.21 BTCがCoinPaymentsアドレスbc1q3y… 7y88に集められ、CoinPaymentsを使用して資金を洗浄しました。
他の中間アドレスは、中央集権型取引所BinanceとBitfinexに流れ込んでしまいました。
図:アドレス1(1Ptfhw… hPEM)資金調達元と流出詳細
図: アドレス1(1Ptfhw… hPem)の資金流れの追跡
図:アドレス1(1Ptfhw… hPEM)に関与する中間アドレスと資金フローの詳細
図:アドレス1(1Ptfhw… hPEM)取引マップ
(2) 恐喝受付アドレス 2:1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH
被害者は、2021年5月24日から2021年5月28日までの11回の取引で、身代金オペレーターのLockBitに4.16BTCを支払いました。すぐに、アドレス 2 (1hpz7rn...vVPH)は、身代金の1.89BTCを中間アドレス1に迅速に送金しました。0ac4, 1.84 から中間アドレス 2:112qjqj...Sdha、0.34アイテムは中央のアドレスに移動します3:19Uxbt...9rdFです。
最終的な中間アドレス2:112qJqj… Sdhaと中間アドレス3:19Uxbt… 9rdFは、両方とも中間アドレス1: bc1qan… 0ac4に資金を送金しました。その直後、中間アドレス1 bc1qan… 0ac4は資金を引き続き送金しました。資金の一部は直接Binance取引所に送金され、資金の他の部分は中間アドレスを通じて層に分けられ、最終的にBinanceや他のプラットフォームに資金を洗浄するために送金されました。具体的な取引の詳細およびアドレスタグは以下の通りです。
図: アドレス2(1hpz7rn… vVPH)の資金調達元と流出詳細
図: アドレス2(1hpz7rn… vVPH)資金フローの追跡
図:アドレス2(1hpz7rn… vVPH)に関与する中間アドレスと資金フローの詳細
LockBitは、身代金を受け取った後、暗号資産の資金を洗浄します。従来の資金洗浄方法とは異なり、この資金洗浄モデルは通常、ブロックチェーン上で行われます。長いサイクル、分散した資金、高い自動化、高い複雑さを特徴としています。暗号資産の監督と資金追跡を行うためには、一方ではチェーン上とオフチェーンの分析およびフォレンジック能力を構築する必要があり、他方ではAPTレベルのセキュリティ攻撃と防御をネットワークセキュリティレベルで行う必要があり、攻撃と防御を統合する能力が必要です。
5. マネーロンダリング
マネーロンダリング(資金洗浄)は、不法な収益を合法化する行為です。主に、さまざまな手段を使って不法な収益の起源と性質を隠蔽し、不法な収益の正規化を指します。このような行為には、金融口座の提供、財産形態の変換の支援、資金の送金や海外送金の支援などが含まれます。ただし、暗号資産、特にステーブルコインは、低い送金コスト、地理的位置情報の非表示、および特定の検閲に対抗する特性から、かなり長い間資金洗浄に使用されてきました。これが、暗号資産が批判される主な理由の1つです。
従来のマネーロンダリング活動は、しばしば暗号資産OTC市場を利用して、法定通貨を暗号資産に交換したり、暗号資産から法定通貨に交換したりしています。その中で、マネーロンダリングのシナリオは異なり、形態も多様ですが、このような行為の性質にかかわらず、それらは従来の金融機関口座や暗号機関口座を含む資本リンクの捜査を法執行機関から遮断することを目的としています。
従来のマネーロンダリング活動とは異なり、新しいタイプの暗号資産マネーロンダリング活動の標的は暗号資産そのものであり、ウォレット、クロスチェーンブリッジ、分散取引プラットフォームなどの暗号資産業界のインフラはすべて違法に使用されます。
図:最近数年間に洗浄された金額
2016年から2023年まで、暗号資産は総額1477億ドルを洗浄しました。 2020年以降、洗浄された金額は年率67%で増加し続け、2022年には238億ドルに達し、2023年には800億ドルに達する見込みです。 洗浄された金額は驚異的であり、マネーロンダリング防止の取り組みが必須です。
ChainAegisプラットフォームの統計によると、2020年1月以来、オンチェーンのコインミキシングプラットフォームであるTornado Cashの資金額は急速な成長を維持しています。現在、この資金プールには約362万ETHの預金があり、総預金額は78億ドルです。Tornado CashはEthereumの最大の資金洗浄センターとなっています。しかし、2022年8月に米国法執行機関がTornado Cashに制裁を科したことで、週ごとのTornado Cashの預金と引き出しの数は急激に減少しましたが、Tornado Cashの分散型の性質のため、それらを根源で止めることは不可能であり、資金はシステムにコインを混ぜるために引き続き流入し続けました。
ラザラス・グループ(北朝鮮のAPT組織)のマネーロンダリングモデル分析
国家APT(Advanced Persistent Threat)組織は、特定のターゲットを長期間にわたって狙う国家的支援を受けたトップハッカーグループです。北朝鮮のAPT組織であるラザラス・グループは非常に活発なAPT集団です。攻撃の主な目的は資金を盗むことであり、これはグローバル金融機関にとって最大の脅威と言えます。彼らは最近の仮想通貨部門での多くの攻撃や資金窃盗事件に関与しています。
これまでに明確に数えられた暗号分野でのLazarus攻撃のセキュリティインシデントと損失は次のとおりです:
ラザロスによるサイバー攻撃で30億ドル以上の資金が盗まれました。報告によると、ラザロスハッカーグループは北朝鮮の戦略的利益をサポートし、北朝鮮の核・弾道ミサイルプログラムに資金を提供しています。このため、米国はラザロスハッカーグループに制裁として500万ドルの懸賞金を発表しました。米国財務省は関連するアドレスをOFAC特別指定国民(SDN)リストに追加し、国家資金換金を阻止し、これにより制裁を科しています。イーサリアム開発者のバージル・グリフィスは、仮想通貨を使用して北朝鮮が制裁を逃れるのを手助けしたため、5年3か月の懲役を宣告されました。2023年には、OFACはラザロスグループに関連する3人を制裁しました。制裁を受けた2人、チェン・ホンマンとウー・フイフイは、ラザロスのために仮想通貨取引を促進したOTCトレーダーであり、第3者のシム・ヒョンソプは他の金融支援を提供しました。
これにもかかわらず、ラザロスは10億ドル以上の資産移転と清掃を完了し、彼らのマネーロンダリングモデルが以下で分析されています。例として、Atomic Wallet事件を挙げてみましょう。ハッカーによって設定された技術的な妨害要素(大量の偽トークン送金取引+複数のアドレス分割)を取り除いた後、ハッカーの資金移動モデルを取得できます:
図:Atomic Wallet Victim 1の資金移動ビュー
被害者1は、0xb02d… c6072のアドレスからハッカーアドレス0x3916... 6340に304.36 ETHを転送し、中間アドレス0x0159... 7b70を通じて8回の分割支払いの後、アドレス0x69ca… 5324に戻ります。集められた資金はその後、アドレス0x514c… 58f67に転送されました。現在、資金はまだこのアドレスにあり、そのETH残高は692.74 ETH(約127万ドル相当)です。
図: Atomic Wallet被害者2の資金移動ビュー
被害者2は、アドレス0x0b45... d662からハッカーアドレス0xf0f7... 79b3に1,266,000 USDTを送金しました。ハッカーはそれを3つの取引に分割し、そのうち2つをUniswapに送金し、合計1,266,000 USDTを送金しました。残りの送金はアドレス0x49ce… 80fbに672.71 ETHを送金しました。被害者2は、22,000 USDTをハッカーアドレス0x0d5a… 08c2に送金しました。ハッカーは、中間アドレス0xec13... 02d6などを通じて複数回にわたり、直接または間接的に資金をアドレス0x3c2e… 94a8に集めました。
このマネーロンダリングモデルは、以前のRonin NetworkおよびHarmony攻撃のマネーロンダリングモデルと非常に一致しており、すべてが3つのステップを含んでいます:
(1) 盗まれた資金の統合と交換: 攻撃が行われた後、元の盗まれたトークンが整理され、さまざまなトークンがDEXやその他の方法を通じてETHに交換されます。これは資金の凍結を回避する一般的な方法です。
(2)盗まれた資金の回収:仕分けされたETHをいくつかの使い捨てウォレットアドレスに集めます。Roninの事件では、ハッカーは9つのアドレスを共有し、Harmonyは14のアドレスを使用し、Atomic Walletの事件では30近くのアドレスを使用しました。
(3)盗まれた資金からの送金:回収アドレスを使用して、Tornado.Cashを通じてマネーロンダリングを行います。以上で送金手続きは完了です。
同じ資金洗浄手続きを持っているだけでなく、資金洗浄の詳細にも高い一貫性があります。
(1) 攻撃者は非常に忍耐強いです。彼らは全員、最大1週間かけて資金洗浄作業を行い、事件発生後数日でフォローアップの資金洗浄作業を始めました。
(2) 自動取引は資金洗浄プロセスで使用されています。資金収集アクションのほとんどは、多くの取引、短い時間間隔、均一なモデルを持っています。
分析の結果、Lazarusのマネーロンダリングモデルは概ね以下の通りであると考えています。
(1) 分割口座を作成し、資産を少額かつ複数回の取引で移動して、追跡をより困難にします。
(2)追跡をより困難にするために、大量の偽造通貨取引の製造を開始します。アトミックウォレット事件を例にとると、27の中間アドレスのうち23はすべて偽造送金アドレスでした。最近、Stake.com のインシデント分析で同様の技術が発見されましたが、前回のRonin NetworkとHarmonyのインシデントにはこの干渉技術がなかったため、Lazarusのマネーロンダリング技術もアップグレードされたことが分かります。
(3)コインミキシングには、Tonado Cashなどのオンチェーンメソッドがより多く使用されています。以前のインシデントでは、Lazarusはしばしば中央集権取引所を使用して起業資金を得たり、その後のOTCを行ったりしていましたが、最近では中央集権取引所の使用が少なくなっており、可能な限り中央集権取引所の使用を避けようとしているとさえ考えられます。これは最近のいくつかの制裁事件と関連しているはずです。
VI. 制裁と規制
米国財務省の外国資産管理局(OFAC)や他の国の同様の機関など、国家安全保障および外交政策に脅威と見なされる国、政権、個人、および団体に対する制裁を採用している機関が存在します。 伝統的に、制裁の執行は主要な金融機関の協力に依存してきましたが、一部の悪質な行為者はこれらの第三者の仲介業者を回避するために暗号資産に頼るようになり、立法者や制裁機関に新たな課題をもたらしています。 ただし、暗号資産の固有の透明性や暗号資産サービスへの遵守意欲、特に暗号資産と法定通貨の間のリンクとして機能する多くの中央集権型取引所は、暗号通貨の世界での制裁の実施が可能であることを証明しています。
ここでは、2023年に米国で制裁を受けた仮想通貨に関連する個人や団体の一部と、OFAC制裁の理由について見ていきます。
世界最大のステーブルコインを提供するTetherの親会社は2023年12月9日に、米国財務省外国資産管理局(OFAC)の制裁対象者リストに掲載されている個人のウォレット内のトークンを「凍結」すると発表しました。Tetherはこの措置を「潜在的なTetherトークンの誤用を予防し、セキュリティ対策を強化するための自主的な一歩」と位置付けています。
これは、暗号資産犯罪の捜査および処罰が実質的な段階に入ったことも示しています。中核企業と執行機関の協力により、効果的な制裁を形成し、暗号資産犯罪を監視および処罰することができます。
2023年のWeb3規制に関して、香港も大きな進歩を遂げており、「コンプライアンスを遵守してWeb3および暗号資産市場を発展させる」というトランペットを鳴らしています。シンガポール金融管理局が2022年に小売顧客が暗号資産取引にてレバレッジやクレジットを使用することを制限し始めた際、香港特別行政区政府は「香港におけるバーチャルアセットの開発に関する政策宣言」を発表し、一部のWeb3人材や企業が新たな有望な地に向かいました。
2023年6月1日、香港は宣言を履行し、「仮想資産取引プラットフォーム事業者のためのガイドライン」を発行しました。仮想資産取引プラットフォームのライセンス制度が正式に実施され、第1種(証券取引)と第7種(自動売買サービスの提供)のライセンスが交付されました。
現在、OKX、BGE、HKBiteX、HKVAX、VDX、Meex、PantherTrade、VAEX、Accumulus、およびDFX Labsなどの組織が、仮想通貨取引プラットフォームライセンス(VASP)の申請を積極的に行っています。
李家超最高経営責任者(CEO)や陳茂波財務長官などは、香港政府を代表して、香港でのWeb3の立ち上げを支援し、世界中から仮想通貨企業や人材を誘致して構築するよう頻繁に発言しています。政策支援の面では、香港は個人投資家が暗号通貨を取引できるようにする仮想資産サービスプロバイダーのライセンスシステムを導入し、1,000万ドルのWeb3ハブエコシステムファンドを立ち上げ、デジタル経済の発展を加速し、仮想資産産業の発展を促進するために7億香港ドル以上の投資を計画しています。また、Web 3.0開発タスクフォースも設置しました。
しかし、偉大な進歩がなされているときには、危険な出来事も勢いを利用しました。無許可の暗号資産取引所JPEXは香港ドル10億ドル以上が関与し、HOUNAX詐欺事件は1億元以上が関与し、HongKongDAOとBitCupedは仮想資産詐欺が疑われました... これらの悪質な事件は香港証券監督委員会と警察から大きな注目を集めました。香港証券監督委員会は、週次で警察と協力して仮想資産事件のリスク評価ガイドラインを開発し、情報交換を行うと述べています。
近い将来、より完全な規制およびセキュリティシステムが香港を、東西の重要な金融拠点として、Web3に歓迎するのを支援すると信じています。
免責事項:
- この記事は[aicoin]. すべての著作権は元の著者に帰属します [SharkTeam]. If there are objections to this reprint, please contact the Gate Learnチームが速やかに対応いたします。
- 責任の免除: この記事で表現されている意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
- 記事の翻訳はGate Learnチームによって行われます。特記されていない限り、翻訳された記事のコピー、配布、または盗用は禁止されています。
مقالات ذات صلة
ステーブルコインとは何ですか?