はじめての仮想通貨
TOP
新着一覧
チャート
学習-運用
WebX
原因はBybitではないとの報告
仮想通貨取引所Bybitが史上最大規模となる15億ドル(約2,300億円)の資金流出被害を受けた事件について、複数のサイバーセキュリティ企業による中間調査報告書が公開され、北朝鮮のハッカー集団「ラザラス・グループ」による高度な攻撃手法の全容が明らかになりつつある。先週土曜日に発生したこの大規模ハッキングは、Bybitのインフラではなく、同社が使用していたウォレットサービス「Safe(ウォレット)」のAWSインフラを標的にしたものだったことが判明した。
テルアビブを拠点とするサイバーセキュリティ企業Sygniaの調査(The Block報道)によると、攻撃はBybitがマルチシグ(複数署名)による「コールドウォレット」から「ウォームウォレット」への資金移動作業中に発生した。この通常の業務プロセス中に「攻撃者が介入し、取引を操作した」とSygniaは報告している。具体的には、SafeのAWS S3バケット(クラウドストレージ)が侵害され、悪意のあるJavaScriptコードが挿入されたことで、Bybitのマルチシグ保有者が署名する際に、表示されるUIが改ざんされ、実際には攻撃者のアドレスに資金が送られるように操作されていた。
重要な点として、SygniaやVerichainなど複数のセキュリティ企業の調査では、Bybitのインフラ自体には侵害の痕跡が見つかっていない。「現時点での調査結果は、攻撃がSafeのAWSインフラストラクチャから発生したことを示唆している」とSygniaは報告している。つまり、標的はBybitではなく、同社が使用していたウォレットプロバイダーのクラウドシステムだったのだ。
また、SEAL 911の共同創設者pcaversaccioの説明によると、Safe開発者のコンピューター(デベロッパーマシン)が何らかの方法でハッキングされ、「これによりAWSとそのS3バケットへのアクセスが可能になった。悪意のあるJavaScriptがバケットにプッシュされ、最終的に配布された」とのことだ。このJavaScriptコードは特にBybitのコントラクトアドレスを標的としており、署名プロセス中に取引の内容を変更する仕組みになっていた。
さらに興味深いのは、この悪意あるコードが高度にカスタマイズされていた点だ。Sygniaの調査によれば、コードは「Bybitのコントラクトアドレスと、おそらく攻撃者に関連する未確認のコントラクトアドレスの2つのいずれかと一致した場合にのみ」作動するように設計されていた。また、ラザラス・グループはこのファイルを攻撃の2日前にキャッシュし、悪意ある取引が実行された2分後に、証拠隠滅のためAWS S3バケットに新たな改ざんされていないJavaScriptリソースをアップロードしていたことも判明した。
Safe側は声明で、「攻撃はSafe{Wallet}開発者マシンの侵害によるもので、偽装された悪意のある取引が提案された」と確認したが、Safeのフロントエンド、ソースコード、スマートコントラクトは侵害されなかったと主張している。しかし、元Binance CEOのChangpeng Zhao(CZ氏)は、Safeの公式声明に対して「この声明は曖昧な言葉で問題を誤魔化している」と批判し、「『Safe{Wallet}開発者マシンの侵害』とは何を意味するのか?このマシンはどのようにハッキングされたのか?ソーシャルエンジニアリング、ウイルスなど?」と複数の疑問を投げかけている。
Bybitは被害発生後、ユーザーへの影響を最小限に抑えるため迅速に対応し、準備金の不足を補うためのブリッジローンを確保したと発表。また、資金回収のためのバグ報奨金プログラムを立ち上げ、資金を回収できた者には10%、凍結に協力した取引所やミキサーには5%の報酬を提供すると発表した。
イーサリアム研究者の推定によれば、これまでに約1億ドル(約150億円)、うち4,300万ドル(約65億円)分のmETHが回収されたという。MetaMaskのTaylor Monahan氏は「責任の所在を追及するのは時期尚早」としながらも、「セキュリティに本気で取り組む時だ。悪者は数十億ドルという報酬のために信じられないことをする」と警鐘を鳴らしている。
関連:Bybit、北朝鮮ラザルスのマネロンを追跡する報奨金サイト開設
