Memeコインを使ってラグプルプロジェクトの資金を洗浄、PEPEの実質的操作者の正体を暴露

2023.10.10

共有先

TechFlow厳選深潮セレクト

Memeコインを使ってラグプルプロジェクトの資金を洗浄、PEPEの実質的操作者の正体を暴露

一般人なぜ「万倍コイン」を掴み、最初の乗車グループになることができないのでしょうか？

2023.10.10 - 09:08:23

PEPE

Web3業界の深掘り報道に専念し潮流を洞察

一般人なぜ「万倍コイン」を掴み、最初の乗車グループになることができないのでしょうか？

原文 | NFTethics

整理 | Odaily星球日报

Memeコインの愛好家であれば、今年最も話題になったプロジェクト「PEPE」の名前を聞いたことがあるだろうし、関連する富の神話を耳にしたこともあるかもしれない。たとえば、ある「スマートマネー（機敏な投資家）」とされるアドレスが、PEPE発行当初に100ドルを投じて購入し、一度も売却せずに保持した結果、数万倍のリターンを得たという話である（これは実際にチェーン上のデータで裏付け可能だ）。

なぜ一般人はこういった「万倍コイン」の最初の波に乗ることができないのか？その理由は、こうしたプロジェクトで最大の利益を得られるのは、唯一にして操縦者（オペレーター）だけだからだ。彼らこそが底値で買い、天井圏で売り抜けることができる。実際、こうしたMemeプロジェクトの創設目的自体が、不正資金の洗浄（マネーロンダリング）にある場合さえある。

最近、Xプラットフォーム（旧Twitter）のユーザー「NFTethics」は複数の長文ポストを公開し、緻密なオンチェーン分析や各種証拠を駆使して、PEPE背後における操縦者の真の正体を特定した。

彼のツイートの要点をまとめると、以下の通りである。

第一に、2021年11月にRug Pull（詐欺的資金持ち逃げ）を起こしたAnubisDAOの資金が、今年大ブレイクしたPEPEプロジェクトを通じて洗浄された。その背後には匿名かつ著名なDeFi投資家「Sisyphus」がいた。

第二に、Sisyphusの正体はOpenSea Venturesの責任者Kevin Pawlakであり、現在は極めて贅沢な生活を送っている。

第三に、Sisyphus（すなわちKevin Pawlak）こそがAnubisDAOプロジェクトの実質的な主導者であり、ハッキングによって当時の管理者の秘密鍵を取得し資金を移動させ、その後「スケープゴート」を立てて罪をなすりつけ、法の網をすり抜けた。

最新情報として、OpenSeaの広報担当者はこの件について次のようにコメントしている。「Kevin Pawlakは2023年6月に退職しました。在籍中は管理職ではなく、業務範囲も限定的でした。彼がAnubisDAOのRug Pull事件に関与していたかどうかはわかりません。また、当社は関連プロジェクトとは一切関係なく、これらのプロジェクトは彼が当社に加入する以前に発生したものであり、追加情報もありません」。

一、AnubisプロジェクトのRug資金がPEPEの価格高騰を利用して洗浄された

時系列を2021年11月まで戻そう。OlympusDAOの模倣プロジェクトであるAnubisDAO（トークン：ANKH）は、LBP（流動性誘導プール）を通じて13,256.4ETH（当時約5,700万ドル相当）を調達した。しかし直後、管理陣はこの資金が別の新規アドレスに転送されたことを発見した。LBPはまだ20時間しか経過しておらず、終了時刻には達していなかった。

物語の主人公であるSisyphusは、AnubisDAOにおいてどのような役割を果たしていたのか？表向きはプロジェクトのプロモーターとして名を連ねていたが、実態は裏の主導者であった（詳細は後述）。

AnubisDAOの資金が盗まれる前日、SisyphusはDiscordコミュニティ内で盛んにプロジェクトを宣伝し、「すでに42万ドル分購入済みだ（この点は重要なので覚えておいてほしい）。今後もさらに購入する」と宣言。さらに、参加者の不安を払拭するために「このプロジェクトがRugすることはない。開発がうまくいかなくても、全員が元本を返還される」と述べていた。

（Sisyphusのコミュニティ内マーケティング発言）

だが翌日、プロジェクトは実際にRugされてしまった。Sisyphusは即座に長文の声明を投稿し、自身の責任を否定。米国および中国香港の法執行機関とも接触していると表明し、ハッカーに対して資金の返還を呼びかけた。その後、彼は沈黙し、AnubisDAOに関する更新も一切行わなくなった。まるで42万ドルなど些細な金額だったかのようだった。

もちろん、ハッカーは盗難資金を返還しなかった。それから約2年間にわたり、これらの資金はさまざまなミキサー（混在サービス）やKYC不要のプラットフォームを通じて洗浄されてきた。そのうち一つのウォレット（Anubis Rug 3）は、セーシェルに拠点を置くKYC不要のプラットフォームFixedFloatと取引しており、ガス代もFixedFloatから支給されている。

（Anubis Rug 3）

興味深いことに、PEPEプロジェクトの初期保有者の初期資金もFixedFloatプラットフォームから来ている。例えばZach Testa（アカウント：DegenHarambe）やMax Zim（アカウント：SumFattyTuna）などが該当する。特にZach Testaは、4月14日にPEPEのトークンコントラクトがリリースされたわずか数分後に購入し、すぐにプロジェクトのツイートを投稿。3分後、Max Zimがそのツイートをリツイートし、同様にPEPEを購入した。一連の流れは非常にスムーズで、まるで事前に練習していたかのようだ。

SisyphusとZach Testa、Max Zimの間には強いつながりがある。情報によれば、ZimはSisyphusの元ルームメイトであるという。AnubisDAOのRug発生前、SisyphusのウォレットはZimとの間で送金記録を持っており、二人は共同で番組インタビューにも登場している（ただしSisyphusは顔出ししていない）。

（ウォレット間の取引記録）

4月17日、Sisyphusは「週末に誰かが『pepe』という名のコインで0.02ETHを63ETHに変えた」というツイートを投稿し、0x5DDで始まるアドレスを添付した。これに対しZimが即座に反応し、やり取りを行った。

面白いことに、0x5DDで始まるアドレスは、4月7日にFixedFloatプラットフォームから初期資金を受け取っている。また、4月7日には「PEPE」という別のバージョン（区別のためにaPEPEと呼ぶ）も発行されており、現在知られているPEPEと同じコントラクトと初期保有者が存在する。たとえばZimは、4月7日のaPEPE発売直後に購入している。しかし、後のコミュニティインタビューでは「PEPEを知らなかった」と語っている。どうやら初めから、ZimはPEPEの価格上昇を予期していたようだ。

（Zimが番組で「初めてPEPEを知った」と発言）

偶然はそれだけではない。Anubis Rug 3ウォレットが3,000ETHを送金した2分後、Zimのウォレットアドレスがチェーン上でアクティブになり、PEPEの購入を開始した。調査により、Anubis Rugと関連するウォレットが動き出すタイミングと、ZimのウォレットがPEPE関連操作を行うタイミングが一致していることが判明した。

（ZimのウォレットとAnubis Rugウォレットの同期的活動）

さらに、Anubisの資金は主にStakeなどのプラットフォームを通じて洗浄されていた。一方、PEPE関連の資金を持つウォレットアドレスも、PEPE上場日（4月14日）以降、大量の資金をStakeに移動し、そこからFixedFloatへ再送金している。また、Anubisの盗難資金の大半は今年3月から7月にかけて流出しており、PEPEの成長サイクルとほぼ完全に重なっている。これら二つのプロジェクトの間に深い関係があり、盗難資金がPEPEの価格操作によって洗浄された可能性が高い。

Anubis盗難資金の完全な行方を追跡するには、CEXやOTCプラットフォームの協力が必要となる（一部の資金はKYC要のプラットフォームにも流入しているため）。Anubisの盗難資金とPEPEの価格操作に直接的な関連があるかどうかは、さらなる証拠の積み重ねが必要だ。

補足として、今年8月にはPEPEチーム内部で対立が発生し、元メンバーがマルチシグ権限を勝手に削除してトークンを売却。最終的に公式側は曖昧な公告を掲載するにとどまった。

二、SisyphusがAnubisを主導し、自らRugを演出

調査者「NFTethics」は、Anubis資金が盗まれる数日前のチームメンバーの内部チャットログを入手した。

調査と推論によれば、Sisyphusはこのプロジェクトの実質的な首脳であり、ほぼすべての決定（発信するツイートの文言一つ一つから技術・財務問題まで）を承認・指示していた。そして、Rug Pull自体もSisyphusが自ら仕組んだものであり、他のメンバー「Beerus」に罪をなすりつけて無罪放免となった可能性が高い。

（チーム内の役割分担）

役割分担表では、Sisyphusは「外部広報を担当し、DAOメンバーを結束させる支援をする」と自己紹介しているが、実際には指揮官として命令を下していた。

チームメンバー「AureliusBTC」はチャットで「我々の誰一人としてLBP（流動性誘導プール）を本当に理解していないが、Sisyphusがわかればそれで十分だ」と発言。また、メンバー「Beerus」が新メンバー加入をツイートした際、Sisyphusは即座に削除を指示し、Beerusはそれに従った。さらにSisyphusはチャット内で、Alameda Research（SBF傘下の暗号資産企業）との関係を示唆し、同社がAnubisのトークンANKHを購入したとも述べている。

（SisyphusがLBPの状況を説明）

視点をAnubisの流動性が枯渇した事件に戻ろう。事件後、Sisyphusは「DAOメンバーはBeerusにLBPの展開を任せることに同意した。忙しかったり、責任を持ちたがらなかったからだ」と外部に説明した。しかし内部チャットにはそのような記録はなく、むしろSisyphusは当初「史上最良のマルチシグを使う」と発言していた。その後になって「自分は署名できなかった」と述べており、おそらく元々のマルチシグをBeerus単独管理に変更することで、攻撃の土台を築いたと考えられる。その後の出来事のタイムラインは以下の通り。

10月28日夜、Sisyphusは「これから6時間寝る」と言い残し、最後のメッセージは00:16に止まる。
翌朝、彼は午前07:18にチャットに復帰し、途中でいくつかの質問に回答。
07:20、LBP管理権を持つ「Beerus」のメールアドレスに、SisyphusのメールアドレスからSAFT（将来のトークン取得契約）付きPDFが送信される。Beerusは後にこのPDFにトロイの木馬が含まれており、PCが感染してLBP管理権を盗まれたと証言。
07:26、SisyphusはBeerusとしばらくやり取りし、LBP終了まで目を覚ましておくよう促し、07:44まで会話が続く（LBP終了まであと4時間）。
07:48、LBPの資金が枯渇。すべてのETHが管理アカウントから新しいアドレスに引き出され、価値のないANKHトークンだけが残された。

その後の調査によれば、CopperプラットフォームやBalancerのスマートコントラクトはいずれも改ざんや破壊を受けていない。つまり、LBP作成者のBeerusのアカウントは、彼の言う通りハッキングされたか、または自作自演されたかのいずれかである。Sisyphusは「自分のメールアドレスからはそのメールを送っていない」と主張している。

（Beerusがウィルスメールを受け取ったと証言）

誰が嘘をついているのか？周辺情報をもとに推理してみよう。まず、Beerusだけでなく他のVC連絡先にも同様のメールが届いている。違いは、Beerusは午前07:20にPDF付きメールを受け取ったが、他は30分遅れ、あるいは数時間遅れていた。攻撃者が群発メールを送り、BeerusがPDFを開く時間を意図的に確保した可能性がある。

さらに、他の受信者からのPDFを分析したところ、詐欺警告は見られなかった。SPFはGmailアドレスをマークしないが、実際の送信元がGmailでなければ検出される。写真の情報から判断すると、メールは実際にSisyphusのメールアドレスから送信された可能性が高い。つまり、Sisyphusが「メールなんて送ってない」と断言し、チャットでも「どういう意味？」と装っていたのは、虚偽の主張ということになる。

また、他のメールに添付されたPDFにはマルウェアは含まれていなかった。実際にはBeerusのものだけが悪意のあるファイルであり、彼は後に香港警察に自分のPCを提出して潔白を証明しようとした（現時点での進展はなく、事件は宙に浮いたまま）。

疑問はここだ。なぜ攻撃者はBeerusがLBP管理権を持っていることを知っていたのか？内部関係者以外、誰もBeerusが（唯一の）制御権を持っていることを知らなかったはずだ。実際、AnubisチームのConvexはチャットでこう述べている。「なぜBeerusがマルウェアを受け取ったのか？彼が標的になる意味がない。開発者として私とaureliusBTCが鍵を握っているのは周知の事実。外部の人間はBeerusの詳細など知らないはずだ」。

興味深いことに、SisyphusはBeerusに「おい、何をクリックした？」と尋ねている。このときBeerusはまだ悪意のあるPDFをクリックしたことを明かしておらず、他の誰も知らない。それなのに、Sisyphusはどうやってそれを知ったのか？

LBP資金が引き出された後、SisyphusはBeerusがRugを実行したと非難し、「俺の名声を台無しにした」と述べた。さらに、攻撃者のIPアドレスを公開し、それがBeerusが住む香港から来ていると指摘。しかし実際には、このIPは第三者VPSプロバイダー経由で、任意の地域のサーバーをレンタルできるため、参考価値はない。その後、Beerusは投資家たちによって実名を特定され、香港競馬界の著名人である張順正の息子（当時19歳）であることが明らかになった。

もう一つの注目点として、前述のPEPE初期参加者Max ZimもAnubisの販売に参加していた。事件後、彼はTwitterでSisyphusを擁護しており、二人の親密な関係がうかがえる。

三、Sisyphusが別アカウントを作成、正体はOpenSea VenturesのKevin Pawlak

前述の通り、Anubisプロジェクトに42万ドルを投資したと自称するSisyphusは、Rug発生後も全く落ち込んでいる様子を見せなかった。責任を否定する小論文を投稿した後は、その後の進展に関心を示さず放置した。

11月6日（攻撃発生から1週間後）、SisyphusはTwitterで新たなアカウントを開設し、「0xMagallan」という名前で活動（現在は削除済み）。このアカウントは過去2年間で異常に活発で、5,000件以上の投稿があり、各種プロジェクトのマーケティングに参加。ferdinand-magellan.ethおよびukrainedonations.ethという2つのウォレットアドレスを所有していた。

実際、Sisyphus（Kevin Pawlak）には他にも物議を醸す行為が多数ある。たとえば、高価なNFT「Etherrock 72」を購入し、NFT分割化プロトコルFractionalで「PEBBLE」というトークンに分割。その後、極めて高いプレミア価格で販売した。ETH換算で、PEBBLEトークンの最高値からの下落率は99%を超えた。このプロジェクトは2023年に終了し、すべての業務を停止。PEBBLEの公式サイトpebble.xyzもドメイン期限切れとなり、現在は販売中である。

これまで、Sisyphusや0xMagallanの素顔を見た者はおらず、ネット上にも本人の画像や情報は皆無だった。しかし「NFTethics」は多角的なオンチェーン情報と複数の情報源を通じて、その正体がOpenSea Venturesの責任者Kevin Pawlakであることを確認した。

Kevin Pawlak

まず、pawlak.ethとsisyphus.ethのアドレスにおけるタイムスタンプが完全に一致している。オンチェーンデータによれば、両者が1分以内の間隔でZorbs (ZORB) をミントしており、10分以内にsismo.eth DAO (SDAO) もミント。その他多くのオンチェーン操作も短時間で行われており、アカウントの活動がほぼ同期している。

興味深いことに、Kevin Pawlakはしばしば「Sisyphus」という別アカウントを使って、OpenSeaに対する批判的な投稿を行う。おそらく圧力をかけ、自身が最大限に恩恵を得られるようなプロジェクトをOpenSeaに展開させようとしているのかもしれない。あるいはただの不満の吐露かもしれない。

The Blockの記者Tim Copelandを含む複数の人物が、Sisyphusの正体が確かにKevin Pawlakであることを裏付けている。実際、この人物の正体は業界の狭い圈子内では周知の事実だった。

現在、彼はウォレット名をpawlak.ethに変更している。ウォレットアドレスは次の通り：

0xBB5BB336d1Db8471B77F936C210B15fa2A5b3cbb。

Kevin Pawlakは非常に頭が良く、インテル科学人材コンテストの準決勝進出者であり、化学工学の学位を持つ。外科医／研究者を目指していたが、彼を知る人々は彼の暗い面を指摘する：冷酷、非道徳的、反社会的。良心や後悔なしに平然と嘘をつくことができる。

昨年10月、Kevin Pawlakはニューヨークに330万ドルで別の不動産を購入した。情報筋によれば、彼は最近フランスでロールスロイスとランボルギーニ（合計100万ドル以上）を購入し、プライベートで富と贅沢なライフスタイルをひけらかしているという。