
Blastエコシステムのプロジェクトが6000万ドルを盗難、社会工学攻撃を北朝鮮ハッカーに「完全に利用された」
TechFlow厳選深潮セレクト

Blastエコシステムのプロジェクトが6000万ドルを盗難、社会工学攻撃を北朝鮮ハッカーに「完全に利用された」
ハッカーはチームに潜入する「二重スパイ」として活動するだけでなく、クライアントや雇い主を装って開発者に近づくこともある。
執筆:Joyce
チームがハッカーに潜伏、Blastエコシステムプロジェクトから6000万ドル盗難
今朝、Blastエコシステムのゲームプロジェクト「Munchables」は攻撃を受けたことを発表した。また、PeckShieldのモニタリングによると、Munchablesのロック契約に問題があり、すでに1.74万枚のETH(約6230万ドル)が盗まれている。

チェーン上探偵ZachXBTの調査によると、今回の攻撃はMunchablesプロトコルの開発者である北朝鮮ハッカーによるものだった。スローウォーターセキュリティ創設者の余弦氏はソーシャルメディアで次のように説明している。「これは当社がこれまでに遭遇した少なくとも2例目のDeFi系プロジェクトでの類似事案だ。核心開発者が長期間潜伏し、プロジェクトチームの信頼を得た上で好機を狙って容赦なく実行するケースであり、被害者はおそらく他にも多数存在するだろう。」

北朝鮮ハッカーの常套手段:開発者チームの信頼を標的にした攻撃
北朝鮮ハッカーは暗号資産分野において最も悪名高い存在かもしれない。サイバーセキュリティ企業Recorded Futureの報告書によれば、有名な北朝鮮ハッカー集団Lazarus Groupは過去6年間で30億ドル相当の暗号資産を盗んでおり、2022年のみでも17億ドルを窃取している。
プロトコルの技術的脆弱性を突くタイプのハッカーとは異なり、北朝鮮ハッカーはしばしばプロトコル背後の開発者チームを標的とし、信頼を悪用してタイミングを見計らって盗難を行う。今回Munchablesが攻撃された事件もまさにその典型例である。
グーグルセキュリティチームは2021年に、LazarusがTwitter、LinkedIn、TelegramなどのSNSに長期潜伏し、偽の身分を使って活発な業界内の脆弱性研究専門家を装い、業界の信頼を得て他の脆弱性研究者に対して0day攻撃を仕掛けていたことを発見していた。
セキュリティ企業Mandiant Inc.の研究員は、2022年に北朝鮮の求職者と思われる人物の履歴書上で、他の求職者とほぼ同じ内容を発見しており、ハッカーはLinkedInやIndeed上の職務情報を巧みにコピーして、米国のいくつかの暗号資産企業への応募を行っていたと述べている。
ハッカーが開発者としてチームに潜入するだけでなく、北朝鮮ハッカーは顧客や雇用主を装って開発者チームに接近することもある。
2022年、ゲーム『Axie Infinity』のサイドチェーンRoninで6億ドルが盗まれた事件は、暗号資産分野で最大規模の盗難事件となった。当初Roninチームは検証ノードが攻撃されたことが原因と考えていたが、その後の調査で、北朝鮮ハッカー組織Lazarus Groupが架空の会社を装い、LinkedInを通じて高給での採用という名目で『Axie Infinity』の開発会社Sky Mavisのシニアエンジニアに接触していたことが判明した。
魅力的な高給に惹かれたAxie Infinityのシニアエンジニアは「就職機会」に興味を示し、複数回の「面接」を受けた。そのうちの1回の「面接」で、エンジニアは仕事に関する詳細情報を含むPDFファイルを受け取った。
しかし、このファイルは実際にはハッカーがRoninシステムへ侵入するための入り口だった。従業員が会社のコンピューターでファイルをダウンロード・開封したことで感染チェーンが起動され、ハッカーはRoninシステムに侵入し、4つのトークン検証装置と1つのAxie DAO検証装置を掌握した。
このような攻撃はAPT攻撃と呼ばれるもので、慢霧MistTrackはかつてこの手法を次のようにまとめている。攻撃者はまず偽の身分を装い、本人確認審査を騙して正当な顧客となる。その後、実際に預金を行い、顧客という立場を利用して、複数の公式担当者が「顧客(=攻撃者)」とやり取りする中で、MacまたはWindows用にカスタマイズされたトロイの木馬を正確に担当者に仕掛ける。許可を得た後、内部ネットワーク内で横向きに移動しながら長期間潜伏し、最終的に資金を盗むのである。
今回の事件に戻ると、Munchablesが盗難を発表した後、Munchablesプロトコルと関係のあるBlastエコシステムDeFiプロトコルは、今回の脆弱性による損失を評価していると発表した。幸運なことに、ハッカーはETHのみを盗んでおり、ユーザーが預け入れたWETHには影響がなかった。別のBlastエコシステムプロトコルも、Munchablesの攻撃の影響を受けた人々にポイントをエアドロップすると発表した。
Aavegotchiの創設者CoderDanはその後、ソーシャルメディアで次のように投稿した。「Aavegotchiの開発チームPixelcraft Studiosは2022年に、一時的にMunchables攻撃者をゲーム開発業務のために雇ったことがある。彼の技術は非常に雑で、確かに北朝鮮のハッカーっぽかった。1か月以内に解雇した。彼はさらに友人1人も雇うよう私たちに働きかけてきたが、その人物もおそらくハッカーだった可能性が高い。」
CoderDanはさらに、Munchablesチームに対し、当時Pixelcraft Studiosに在籍していたハッカーが使用していたアドレスを提供し、これらの手がかりが資金回収の助けになればと述べた。
暗号世界の暗黒の森の中で、隠された危険は防ぎようがない。ユーザーもプロジェクト側も、常に警戒を高め、十分なセキュリティ対策を講じる必要がある。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News












