Harmonyブリッジ資金流出、北朝鮮ハッカー集団の手口と類似性

北朝鮮のハッカー集団の面影

ブリッジングサービス「Horizon Bridge」から総額135億円（1億ドル）相当の暗号資産（仮想通貨）が不正流出した件について、北朝鮮のハッカー集団ラザルス（Lazarus）によるものとするレポートが公開された。

ブロックチェーン分析企業のElliptic社によると、これまで2,600億円（20億ドル）以上の仮想通貨を盗難してきたラザルスの手口と、Horizon Bridgeの犯行手口に複数の共通点があるという。

6月24日、L1ブロックチェーンHarmony（ONE）とイーサリアムを含む他のブロックチェーン間で資産を移動できるHorizon Bridgeから、1億ドル以上の仮想通貨が盗まれた。

関連：L1チェーンのHarmonyがハッキング被害を公表、約135億円の不正流出

犯行の起点となったのはHarmonyチームに対するソーシャルエンジニアリング攻撃（フィッシング詐欺）で、マルチシグ（複数署名）に必要なウォレットの暗号鍵が盗まれたと見られている。こうした手口はラザルスの常套手段だという。

ラザルスはおそらく言語的な理由でアジア圏を好むと見られ、最近は特にクロスチェーンブリッジのようなDeFi（分散型金融）サービスを標的とする傾向がある。4月には、NFT（非代替性）ゲーム「Axie Infinity」専用のRoninブリッジからの約750億円の不正流出の犯人であることが、米FBI（米連邦捜査局）の捜査によって報告されている。

Harmonyは米国を本拠とするが、コアチームメンバーの多くはアジア太平洋地域で生活している。盗まれたトークンのマネーローンダリングが休止した時間帯は、アジアの夜間帯だったという点もラザルスと紐づける要因となっている。

Horizon Bridgeから盗まれた資産は、主にイーサリアム（ETH）、テザー（USDT）、ラップトビットコイン（WBTC）、BNBなど。犯人は分散型取引所Uniswapを使用して資産の多くを合計85,837 ETHに交換。その後、トランザクションの追跡を困難にするミキシングサービス「Tornado Cash」に送られ、報告時点までに35,000 ETH（約53億円）強が移されている。

なお、Ellipticの解読技術により、Tornado Cash通過後も資産を追跡できるようだ。「トランザクション・スクリーニング・ソフト」を使用する取引所等の事業者は、Horizon Bridgeから不正流出した資金の着金を検出できるという。

1/ Harmony has begun a global manhunt for the criminal(s) who stole $100M from the Horizon bridge. All exchanges have been notified. Law enforcement, @Chainalysis, and @AnChainAI have active investigations to identify the responsible actors and recover the stolen assets.

— Harmony 💙 (@harmonyprotocol) June 30, 2022

Harmonyチームは30日、ハッキング犯人に対し正式に交渉を持ち掛けている。盗まれた資産のうち約13億円（1,000万ドル）を諦める代わりに、残りの資産を全額返却するよう打診した。条件として、7月4日（月）23:00（日本時間）までに連絡を取れば、法執行機関との捜査を打ち切ることを約束している。同チームはまた、26日にハッカーに関する情報提供者に約1.3億円（100万ドル）の報奨金を設定していた。

関連：米財務省、Ronin資金流出の背景に北朝鮮のハッカー集団を特定