ハッカーが偽のAPTトークンを大量配布
韓国の大手取引所Upbit(アップビット)で24日、フェイクの暗号資産(仮想通貨)が何らかの理由で入金処理され、不特定多数のアカウントに配布されて混乱を引き起こしている。
具体的には、誰かが「ClaimAPT Gift」という名の偽のアプトス(APT)トークンを作成し、それをアップビットの不特定多数のアカウントに配布した。約380,000のアドレスに、約30~50の偽APTトークンが送信された。総額は約140億円(約9,500万ドル)になるとみられている。
入金された偽APTトークンは総額約5,040億円(34億ドル)相当だったが、犯人はトラベルルールを回避するために、その一部しか送金しなかったのだろうと意見する声も聞かれた。
トラベルルールとは
FATF(金融活動作業部会)が提唱するマネーロンダリング等防止のための国際的な電信送金に関するルールのこと。暗号資産サービスプロバイダー(VASP)には取引の際、送金者と受取人の情報を収集・交換し、その情報の正確性を保証することが求められる。対象となるVASP間の仮想通貨送金で、国際的な本人確認(KYC)ルールが適用されることになる。
▶️仮想通貨用語集
偽トークンが本物と認識された背景
shocking….. 🙏😅 https://t.co/vJkRdXhX66
— MINGBB | TUNA.GG 🐟🐧 (@mingmingbbs) September 24, 2023
ブロックチェーン起業家のMINGBB氏は、偽トークンがAPTと認識されてしまった理由を分析した。
アップビットが、APTトークン入金の反映処理において、型引数(type argument)のチェックに失敗して、同様の関数(function)の送信が、すべて本物のAPTトークンだと認識されてしまったようだとしている。
プログラム内で型引数が使用される場合、通常であれば特定のデータ型やオブジェクトの種類を指定するために使用されるが、型引数のチェックが誤って実施され、正確なAPTトークンの種類を確認できなかったことが示唆された。
韓国のDeFi(分散型金融)投資家Definalistは、MINGBB氏の説を引用して次のように述べた。
通常の状況では、関数が0x1::aptos_account::transfer_coins の場合、条件として argument【1】の値をチェックする必要がある。
しかし今回、関数が0x1::aptos_account::transfer_coinsの場合は、そのままAPTトークンとして認識されてしまったようだ。
これにより大きなセキュリティリスクを伴う、誤ったトランザクションが発生する可能性が生じたものと見られる。
Upbitの対応
この偽トークンにより、アップビットでのAPT取引は一時的に急増した。
Upbit側は、偽トークンを売買したユーザーに対して電話連絡の上、返金を求めた。今回配布されたトークンは、正当なユーザーの保有物ではないために返却義務がある。差額については相場に応じて補填されるが、拒否した場合は法的措置を取られる可能性もあるという。
アップビットは公式発表では、アプトス(APT)ウォレットのメンテナンスのため、APT入出金サービスを一時停止すると述べていた。
今後は、犯人の捜索が行われることが予想されている。韓国では顧客身元確認(KYC)が徹底されているために、犯人はいずれ発見され、業務妨害などの罪で告訴されるのではないかとの意見も上がっている。
