仮想通貨取引所Bancorから不正流出の25000ETHが7ヶ月ぶりに移動｜大手取引所を経由しての換金を試みか

坪和樹仮想通貨情報 2019/04/11 15:42

Bancorから流出したETH、7ヵ月ぶりの資金移動が確認される: 仮想通貨取引所Bancorから流出した25000ETHに7ヵ月ぶりの資金移動が確認された。調査の結果、不正に入手されたETHが大手仮想通貨取引所Huobiを経由して換金されている可能性について現職エンジニアでCoinPost所属ライターの坪　和樹が詳細を解説。

Sentinelによる、Bancorハッキング被害の追跡レポート

2018年7月に仮想通貨取引所Bancorから盗まれた 25000以上のETH（当時のレートで約14億円相当）が、3月13日に移動をしていたことがSentinel Protocolによって確認された。

これはハッキング以降7か月ぶりとなる資金移動であり、同チームはそれらのトランザクションを調査。

本記事では、今回の資金移動に関する同チームの見解を紹介していく。

資金が眠っていたアドレス

アドレス0xbCEaA0040764009fdCFf407e82Ad1f06465fd2C4について、まずはじめに見てみる。

Etherscanでは「Bancor Hack」と注釈されているように、これはBancorから転送されたETHが保管されていたウォレットアドレスだ。

以下はウォレット間の資金移動の流れを示した図であり、BancorからETHが転送されたそのアドレスは「Origin」と示された一番左のアドレスである。

出典：Medium

最初の転送

3月13日、はじめに100ETHが、次に25000以上のETHが、0xf27B6923ed24EEd02De7686962339dB00a52d2aAに転送された。

上の図では、「Origin」の次のアドレスに該当する。

さらにその後、数百から千程度に分割しつつ、トランザクションを再度生成していた。

分割した意図は不明だが、ほとんどすべてが0xD294aC18B524ff59aB7ffFcbD459f11128220550に転送されていた。

中継ウォレット

彼らによれば、「”0xf27”から始まるウォレットはリレーウォレットのようだ」という見解が述べられている。

中継を行うウォレットは、受け取ったETHから最低限の手数料だけを除き、すぐに次の転送先に転送。

上の図の通り、「0xD29」から始まるウォレットに転送されてからは、次に0xf056F435Ba0CC4fCD2F1B17e3766549fFc404B94に転送されている。

なお下記の図はリレーウォレットのトランザクションを示すものだ。

出典：Medium

大手取引所Huobiへの転送

ウォレットアドレス0xf056F435Ba0CC4fCD2F1B17e3766549fFc404B94を見ていくと、送信トランザクションでHuobi へのトランザクションを見つけることができた。

さらにbloxy.infoでの分析により、以下2点が判明した。

2017年以前と比べ、2018年はほとんど活動せず、2019年になって活発化した。
送信よりも受信トランザクションが非常に多い。調査では、個人のウォレットの可能性は低く、ある種の取引所ではないかという推測が立てられている。

以下はその分析を示す図である。

出典：Medium

結論

これらの調査結果をもって、資金はHuobiで換金されている可能性が高いと推察され、コンタクトを試みているとのことだ。

また補足として、資金が眠っていたアドレス0xbCEaA0040764009fdCFf407e82Ad1f06465fd2C4には、3月8日にERC-20(HuobiAirdrop.com)というトークンが転送されていたことも確認されている。

こういった点も、Huobiで換金されているということを裏付ける一つの要素として見れるだろう。

なお以下は、今回の資金移動に関するウォレットアドレスである。

坪　和樹

Twitter：https://twitter.com/TSB_KZK

Linkedin：https://www.linkedin.com/in/tsubo/

プロフィール：AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAOでは被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。