北朝鮮のハッカー組織ラザルスグループが、数億ドル規模の暗号資産ハッキング事件の背後にいると指摘された。今回の事件は今年に入って発生した暗号資産窃盗の中で最大規模だ。
20日(現地時間)、被害を受けたインフラ企業レイヤーゼロは声明で、今回の攻撃が「北朝鮮ラザルスグループである可能性が高い国家主体の行為者」によるものとみられると明らかにした。とりわけラザルス傘下の組織として知られる「トレーダートレイター(TraderTraitor)」を有力な主体として名指しした.
ブルームバーグなどの海外報道も、ラザルス組織が「ケルプDAO(KelpDAO)」を攻撃し約2億9,200万ドル(約4,300億ウォン)を奪取したと伝えた。ケルプDAOはイーサリアム(ETH)系のディーファイ(DeFi)プロジェクトで、利用者が暗号資産を預けると預託(ステーキング)収益を得る一方で、「rsETH」という流動性トークンを代わりに活用できる構造だ。
今回のハッキングは「リモートプロシージャコール(RPC)」インフラを標的にした。RPCインフラはブロックチェーンで利用者が資産を確認したり送金したりする際に必ず経由する通路で、銀行窓口のような役割を果たす。
ハッカーは複数のブロックチェーンをつなぐシステムであるレイヤーゼロの一部サーバーに侵入し、正規プログラムを偽のプログラムにすり替えたとみられる。その後、正規サーバーを麻痺させるDDoS(分散型サービス妨害)攻撃まで試み、利用者のリクエストがハッカーの支配下にあるサーバーへ集中するよう誘導した。その結果、システムは改ざんされた取引を正規として認識し、大規模な資産流出につながった。
現在ケルプDAOは追加被害を防ぐため、主要取引所やステーブルコイン発行体と協力している。しかしハッカーがすでに資金洗浄のブラックホールと呼ばれるミキサーサービスを通じて盗難資金を秘匿したとされる。専門家は、この場合は全額回収は事実上困難だとみている。
今回の事件をめぐり、セキュリティ設計そのものが不十分だったとの批判も出ている。一般に大金が動くシステムは、複数の検証者が身分証を照合する多重検証方式を用いる。しかしケルプDAOは運用の利便性を理由に、1人の検証者のみを置く単一検証構造を維持した。
北朝鮮の暗号資産ハッキングは毎年増えている。ブロックチェーン分析企業チェイナリシスによれば、北朝鮮ハッカーが持ち去った暗号資産は2023年約6億6,000万ドル、2024年約13億4,000万ドル、昨年約20億2,000万ドルで、累計被害額は実に67億5,000万ドル(約10兆ウォン)に達する。奪取資金は体制維持や核開発などに活用されていると推定される。