約4300億ウォンに達するソラナ(SOL)基盤の分散型取引所(DEX・Decentralized Exchange)であるドリフトプロトコルのハッキングの背後に、北朝鮮関与組織が指摘された。今回のハッキング事案は、ドリフト関係者と実際に会い続け信頼を築いた後に奪取した工作事例として記録される見通しだ。
7日、暗号資産業界によると、ドリフト運営チームは最近、公式エックス(X・旧ツイッター)を通じて2億8600万ドル(約4300億ウォン)規模の資金流出の経緯を公表した。業界では、北朝鮮関与組織との活動パターンが類似している点を根拠に、北朝鮮連係組織「UNC4736」が事件の背後にあるとみている。グローバルなブロックチェーンデータ分析企業チェイナリシス(chainalysis)は、今回のドリフトハッキングが北朝鮮の犯行と判明すれば、北朝鮮による世界の暗号資産ハッキング被害額は少なくとも10兆5800億ウォン規模だと分析した。
今回のハッキングは、技術的脆弱性を利用せずソーシャルエンジニアリング攻撃であった点で注目を集めている。ハッカーらはクオンツトレーディング(コンピュータープログラムが自動売買)企業に偽装し、6カ月間にわたりドリフト関係者と複数のカンファレンスで会い続け、信頼を築いた。100万ドル(15億ウォン)以上の資金を預け入れたり、プロダクト統合の議論などドリフトのエコシステムにも参加した。
ただし、カンファレンスに参加していた人物は北朝鮮国籍ではないことが確認された。ドリフト運営チームは「この水準の攻撃組織は、偽装Shinwonを備えた仲介人材を活用する場合が一般的だ」と述べた。
ドリフト運営チームと信頼を築いたハッカーらは、開発協業の過程で接近したかたちで、プログラムのコードファイルをダウンロードさせたり、テスト用アプリケーション(App)をインストールさせるよう誘導した。これはマルウェアで、感染した端末のアクセス権限がハッカー側に渡る結果となった。
ドリフトは複数の署名者の同意なしに資金を移動できないようにしていたが、マルチシグ(multisig)の承認権限を確保したハッカーらは1分も経たないうちに1日、2億8600万ドルを奪取した。マルチシグは複数名の署名があって初めて取引が実行される共同承認方式である。
暗号資産メディアのコインデスクは「攻撃者が6カ月間、実在の組織のように行動し、資金を投じてエコシステム内部に参加するのであれば、既存のセキュリティ体系でこれを検知するのは事実上困難だ」と報じた。