セキュリティ研究者の分析により、北朝鮮の国家支援を受けた開発者が7年間にわたり暗号資産プロジェクトに潜入しており、推定70億ドルの不正流出に関与していることが明らかになりました。
戻る
戻る
北朝鮮のハッカーが40以上のDeFiプロトコルに潜入、70億ドルを窃取
あるサイバーセキュリティアナリストは、北朝鮮のIT労働者が過去7年間にわたり、40以上の分散型金融(DeFi)プロトコルへの潜入に成功していたことを明らかにしました。彼らは2020年の「DeFiサマー」まで遡るプロジェクトに入り込んでいました。これらの活動は、2017年以来推定70億ドルを窃取したとされるラザルス・グループ(Lazarus Group)などの国家支援ハッカー集団に関連しています。
MetaMaskの開発者でセキュリティ研究者のテイラー・モナハン氏は日曜日のSNS投稿で、「多くの北朝鮮IT労働者が、DeFiサマーの頃から皆さんが愛用しているプロトコルを構築してきた」と述べました。モナハン氏は、一部の履歴書に記載されている「7年のブロックチェーン開発経験」は「嘘ではない」と付け加えました。
この暴露は、長期的な潜入戦略が暗号資産(仮想通貨)業界における最大規模の窃盗事件のいくつかと結びついていることを示しています。R3ACH Networkのアナリストによると、ラザルス・グループは、2022年の6億2,500万ドルのRonin Bridgeハッキングや、最近発生したSolanaベースのDrift Protocolにおける2億8,000万ドルの脆弱性攻撃など、主要な事件に関与しているとされています。この持続的なキャンペーンは、DeFiエコシステム全体にとって執拗かつ進化する脅威ベクトルであることを浮き彫りにしています。
この長期的な潜入は、暗号資産業界にとって重大な運用の安全上のリスクをもたらしており、各プロトコルは採用や取引相手の検証プロセスを再評価せざるを得なくなっています。高度な非国民の仲介者を利用していることは、数ヶ月あるいは数年にわたって計画された可能性のある攻撃を阻止するには、単純な身元調査ではもはや不十分であることを示唆しています。
進化する潜入戦術
最近のDrift Protocolに対する2億8,000万ドルの脆弱性攻撃は、これらの国家関連グループが使用する進化する手法に光を当てました。事後分析において、Driftチームは、攻撃が北朝鮮のグループによって行われたという「中から高い確信」を持っていると述べました。しかし、プロトコルの開発者は、実際に面会した人物は北朝鮮籍ではなかったと指摘しています。
代わりに、攻撃者は「職歴、公開された資格、専門的なネットワークを含む、完全に構築されたアイデンティティ」を持つ「第三者の仲介者」を利用していました。
この戦術は、後にラザルスの工作員と判明した候補者を面接した経験を持つTitan Exchangeの創設者ティム・アール氏によっても裏付けられました。アール氏は、「ラザルスの工作員であることが判明した人物を面接した」と語り、その候補者は「ビデオ通話に応じ、非常に有能だった」ものの、対面での面接は拒否したと述べています。米外国資産管理局(OFAC)は、暗号資産企業がスクリーニングに使用できる制裁リストを維持していますが、進化するソーシャルエンジニアリング戦術がコンプライアンスを複雑にしています。
脅威の評価
ブロックチェーンアナリストのZachXBT氏は、北朝鮮に関連するすべてのサイバー脅威を一括りにすることに警鐘を鳴らしました。同氏は、ラザルス・グループは「すべての北朝鮮国家支援サイバーアクター」の総称であるが、攻撃の複雑さは多岐にわたると説明しました。
求人広告、LinkedIn、またはメールを通じて届く脅威は「初歩的であり、決して洗練されたものではない」とZachXBT氏は述べ、彼らの主な利点は「執拗であること」だと付け加えました。同氏は、2026年にもなってそのような手口に引っかかることは、ある程度の怠慢を示していると主張しました。一方で、Drift Protocolへの攻撃のようなより洗練された攻撃は、数ヶ月にわたる慎重な準備とソーシャルエンジニアリングを伴い、はるかに危険な脅威となります。
これらのグループの継続的な成功は、匿名性の理念が悪用され得るDeFi空間における致命的な脆弱性を強調しています。プロジェクト、特に匿名チームを持つプロジェクトにとって、この報告書は、強固な運用の安全性、貢献者の徹底的な審査、そして開発とプロトコル管理に対するゼロトラスト・アプローチの必要性を強く認識させるものとなっています。
この記事は情報提供のみを目的としており、投資助言を構成するものではありません。