ビットコイン強奪事件の内幕:五つ星ホテル、現金で満たされた封筒、そして消え去った資金
TechFlow厳選深潮セレクト
ビットコイン強奪事件の内幕:五つ星ホテル、現金で満たされた封筒、そして消え去った資金
鉱業CEOを狙った精密な狩り。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Joel Khalili
翻訳:Luffy,Foresight News
複雑な暗号通貨詐欺事件がますます増加しているが、今年の初めにビットコイン採掘企業の幹部が巻き込まれた詐欺ほど巧妙な手口の事例はほとんどない。
Kent Halliburton がアムステルダム中心部のThe Rosewood Hotelの浴室に立ち、数千キロ離れた自宅から遠く離れた場所で、1万ユーロ分の新品紙幣が入った封筒を指でなぞっていたとき、彼は自分が一体何に巻き込まれてしまったのかと疑い始めた。
Halliburton はSazmining社の共同設立者兼CEOであり、同社は「マイニング・アズ・ア・サービス」と呼ばれるモデルで顧客向けにビットコイン採掘ハードウェアを運用している。Halliburton はペルー在住だが、Sazminingの採掘ハードウェアはノルウェー、パラグアイ、エチオピア、米国にある第三者データセンターに分散している。
Halliburton の話によると、彼は8月5日にアムステルダムへ飛んでEvenおよびMaximと会う予定だった。この2人はモナコに拠点を置く裕福な一族の代理人を名乗っていた。そのファミリーオフィスは、Sazminingから約400万ドル相当の数百台のビットコインマイナーを購入する意向を示しており、これらの装置はエチオピアにあるSazminingの建設中の鉱山に設置される予定だった。取引成立前に、ファミリーオフィス側はHalliburtonとの対面会談を要求していた。
Halliburton がRosewood Hotelに到着すると、EvenとMaximはすでに個室に座っていた。彼らは遊び人風の高額賭博師のように見えた。特にMaximは、ベージュの3ピーススーツを着こなし、丁寧にスタイリングされたダークブラウンのロングヘアを真ん中で分け、カフスからロレックスの時計をのぞかせていた。
サーモンのマリネとキャビア添え、チリ産のセイボウズ、チェリーのケーキを含む三段重の昼食の間、彼らは取引の枠組みについて話し合い、お互いのバックグラウンドも交換した。Evenは饒舌で冗談好きで、マラケシュでの豪華なパーティーの話を披露した。一方のMaximは冷淡で、ほとんどの時間Halliburtonをじっと見つめていた。まるで彼を評価しているかのような長い視線だった。
信頼関係を築くために、EvenはHalliburtonに、ファミリーオフィスに約3,000ドル分のビットコインを売却することを提案した。当初は少し躊躇したものの、Halliburtonはこれを奇妙な「氷を割る儀式」程度に捉えていた。うち1人が現金入りの封筒をHalliburtonに手渡し、「浴室で個人的に金額を確認してきてください」と言った。「まるでジェームズ・ボンド映画のようだった」とHalliburton。「私にとってはまったく新鮮な体験だったよ。」
Halliburton はタクシーでその場を後にした。会談には戸惑いを感じつつも、ファミリーオフィスとの取引成立への期待は抱いていた。従業員約15人のSazminingにとって、この取引は会社を一変させる可能性を秘めていた。
それからわずか2週間後、Halliburton はEvenとMaximによって20万ドル以上のビットコインを騙し取られることになる。Sazminingがこの打撃から立ち直れるかどうか、そしてどのようにして自分が騙されたのか、彼には全くわからなかった。
EvenとMaximとの昼食後、Halliburton はすぐにラトビアへ飛び、ビットコインカンファレンスに参加した後、エチオピアのデータセンターの建設状況を確認するために向かった。
エチオピア滞在中、Halliburton はEvenからのWhatsAppメッセージを受け取った。相手は取引を進めたいが、条件があるという。Rosewood Hotelでの小規模なビットコイン取引に続き、Sazminingはファミリーオフィスにさらに多くのビットコインを販売しなければならないというのだ。最終的に合意された金額は40万ドルで、総取引額の10分の1に相当した。
Evenは、取引に必要な契約書に署名するためにHalliburtonが再びアムステルダムに戻ることを求めた。Halliburtonはすでに数週間にわたり海外に滞在しており反対したが、Evenは譲らなかった。「リモートでは無理だ。今後はそういうビジネスはしない。」
8月16日の午後早々、Halliburton はアムステルダムに戻った。その夜、五つ星ホテルOkura Hotelの鉄板焼きレストランでMaximと会う予定だった。店内は伝統的な和風の装飾で、木張りの壁、和紙の仕切り、禅の庭があり、吹き抜けの階段には折り紙の鶴がぶら下がっていた。
Halliburton は、レストラン外の待合ソファに銀色の派手なスーツを着たMaximが座っているのを見つけた。着席を待つ間、MaximはSazminingがEvenが提示した追加取引を実行できるだけのビットコインを保有していることを証明するよう求めた。具体的には、合意金額の半分(約22万ドル)を、ファミリーオフィスが信頼するビットコインウォレットアプリに送金するよう要請した。資金は依然としてHalliburtonが管理するものだが、ファミリーオフィスは公開されているトランザクションデータを通じてその存在を確認できる。
Halliburton はiPhoneを取り出した。Atomic Walletというアプリは数千件の好評価を持ち、長年にわたりApple App Storeに掲載されていた。Maximの目の前で、Halliburtonはそのアプリをダウンロードし、新しいウォレットを作成した。「信頼を得たいと思っていました」とHalliburton。「400万ドルの契約なんですから。」
夕食は概ね順調に進んだ。Maximは今回は警戒心を緩め、自身の高級時計へのこだわりや、ファミリーオフィスのために取引機会を探していることなどを語った。Halliburtonは連日の移動で体調を崩しており、早く会談を終えたいと考えていた。
別れ際、双方は次のような取り決めをした。Maximが署名済みの契約書をファミリーオフィスに提出して執行手続きを進め、Halliburtonは約束通り22万ドル相当のビットコインを新しいウォレットアドレスに送金するというものだった。
ホテルの部屋に戻った後、Halliburtonは新しいAtomic Walletアドレスを使って少量のテスト送金を行い、続いて初回ダウンロード時に生成された秘密鍵(リカバリーフレーズ)を使ってウォレットをリセットし、正常に機能することを確認した。「いくつかのセキュリティ対策は必要です。準備はほぼ整いました。ご辛抱いただきありがとうございます。」とHalliburtonはEvenに送ったWhatsAppメッセージに記した。Evenは返信した。「大丈夫です。焦らずに。」
午後10時45分、テストに問題がないことを確認した後、Halliburtonは同僚に指示してAtomic Walletアドレスに22万ドル相当のビットコインを送金させた。資金到着後、更新された残高のスクリーンショットをEvenに送信した。1分後、Evenは「謝射」と返信した。
Halliburton はさらに取引に関するメッセージをEvenに送ったが、これまで迅速に返信していたEvenからは、もう一切応答がなかった。Halliburton がAtomic Walletアプリを開くと、違和感を覚えた――ビットコインが消えていたのだ。
Halliburton は急激な吐き気を感じ、ベッドに座って嘔吐しそうになった。「腹部を殴られたような感覚でした」と彼は言う。「ただただ衝撃と信じられない思いでいっぱいでした。」
Halliburton は自分がどのように騙されたのか必死に考えた。午後11時30分、彼はEvenに再びメッセージを送った。「これは私が経験した中で最も精巧な詐欺です。あなたにはどうでもいいかもしれませんが、私の会社は倒産するかもしれません。私は4年かけてこの会社を築き上げてきたのです。」
Evenは不正行為を否定する返信をしたが、それがHalliburtonが受け取った最後のメッセージとなった。HalliburtonはWIREDにEvenが使用していたTelegramアカウントを提供したが、そのアカウントは資金盗難当日を最後に活動を停止している。Evenはコメント要請に応じていない。
ブロックチェーン分析企業ChainalysisとCertiKの分析によると、Halliburtonのウォレット内の資金は数時間以内に分割され、複数の異なるアドレスを経由して転送され、第三者プラットフォームで暗号通貨が法定通貨に交換された。
一部のビットコインは即時交換サービスに分割され、大部分は単一のアドレスに集約され、Chainalysisが「詐欺取引」としてマークした他の資金と混ざり合った。「詐欺取引」とは、投資家を装った詐欺師がスタートアップ企業から暗号資産を盗み取る手口を指す。
「詐欺師が利用しているサービス自体は違法ではない」とChainalysisの上級調査官Margaux Eckleは述べる。「しかし、彼らが使用する資金集約アドレスは既知の詐欺活動と強く結びついており、組織的な詐欺グループによる犯行であることを示している。」
この集約アドレスを通過した一部のビットコインは暗号通貨取引所に預け入れられ、おそらく法定通貨に換金された。残りの資金はステーブルコインに変換され、クロスチェーンブリッジを通じてTronブロックチェーンに移された。研究者らによると、このブロックチェーンには多数のOTCサービスが存在し、大口の暗号資産を現金化するのに適しているという。
複数回の送金、分割、換金、クロスチェーン操作の目的は、資金の出所を追跡しにくくし、疑念を引き起こさずに現金化することにある。「この詐欺師は非常に熟練している」とEckle。「私たちが跨チェーン後の資金の流れを追跡できても、捜査官の追跡速度は遅れてしまう。」
最終的に、公開されている取引データ上の追跡の手がかりは断たれた。加害者を特定するには、当局が現金化プラットフォームに対して召喚令状を発行する必要があるが、こうしたプラットフォームは通常、ユーザー情報の収集が義務付けられている。
取引データからは、Halliburtonの許可なくしてウォレット資金がどのように取得・移転されたのかを正確に判明することはできないが、彼と詐欺師たちのやり取りの詳細からいくつかの手がかりが得られる。
当初、Halliburtonはこれが2023年に北朝鮮政府関連のハッカー組織による攻撃に関連しているかもしれないと疑った。当時、Atomic Walletのユーザーのアカウントから1億ドル相当の資金が盗まれている(Atomic Walletはコメント要請に応じていない)。
しかし、WIREDの取材に応じたセキュリティ研究者らは、Halliburtonが標的型監視攻撃の被害者だと考えている。「大量の暗号資産を保有している幹部の個人情報を公にしている人物は、詐欺師にとって極めて魅力的なターゲットです」とCertiKのセキュリティ研究責任者Guanxing Wen氏。「」
研究者らは、対面での夕食、高価な衣装、大量の現金、その他の富の誇示はすべて、Halliburtonの警戒心を解くための戦略だったと推測している。「高額な信頼詐欺において、信頼を構築する一般的な手法です」とGuanxing Wen氏。「被害者が攻撃者と一緒に過ごす時間が長くなるほど、その後の技術的要求に対しても疑問を呈しにくくなるのです。」
盗難を成功させるには、詐欺師はHalliburtonが新たに作成したAtomic Walletアドレスのリカバリーフレーズを入手する必要があった。このフレーズを知る者は、ウォレット内のビットコインに制限なくアクセスできる。
一つの可能性として、詐欺師がホテルのWi-Fiネットワークを乗っ取ったり偽装したりして、Halliburtonのスマートフォン上の情報を取得したのではないかということだ。「こうしたデバイスはネットで簡単に買える。とても便利で、スーツケース2~3個に収まる」と、サイバーセキュリティ企業CoeusのチーフリサーチャーAdrian Cheek氏。「ただし、Halliburtonはスマホを常に身に付けていたと主張しており、Atomic Walletアプリは公共のWi-Fiではなくモバイルデータでダウンロードしたという。」
Guanxing Wen氏は、最も妥当な説明は、Halliburtonが初めてアプリをダウンロードした際に、近くにいる共犯者や望遠レンズ付きのカメラで、彼のスマホ画面に表示されたリカバリーフレーズを記録した可能性がある、というものだと述べる。それは大倉ホテルのソファの上で起きた出来事だった。
Guanxing Wen氏によれば、HalliburtonがAtomic Walletアドレスに22万ドルのビットコインを送金する前から、詐欺師は「スイープスクリプト」と呼ばれる自動化プログラムを設定していた可能性があるという。これは、ウォレットの残高に大きな変動が生じた瞬間、資金を即座に移動させる仕組みだ。
こうした事件では、被害者が直接会った人物(EvenやMaximなど)が最終的な利益を得ることはほとんどなく、彼らは詐欺ネットワークが雇った「傭兵」にすぎず、ネットワークの中枢メンバーは地球の裏側にいる可能性が高い。
「彼らは地下フォーラムや暗号化チャットグループを通じて募集されることが多く、適切な場所に行けば、こうした募集情報が常に流れてくる」とCheek氏。
数日間、Sazminingがこの財務的打撃を乗り越えられるかは不透明だった。盗まれた資金は、会社の6週間分の収益に相当した。「突然の資金不足危機に対処しながら、会社を維持しようと必死でした」とHalliburton。「最終的には、サプライヤーへの支払いを遅らせたり、未返済ローンの期限を延ばしたりすることで、何とか支払能力を維持できたのです。」
その週、Sazminingの取締役の一人がオランダ、英国、米国の法執行機関に通報した。通報を正式に受けたと確認したのは、英国の反詐欺対策チームと米国保安局傘下のサイバー詐欺特別班のみ。前者は即時の対応を行わないとしており、後者はコメント要請に応じていない。
暗号通貨関連の詐欺件数は膨大であり、すべての盗難事件を逐一調査するのは法執行機関にとって事実上不可能だ。「このような脅威や犯罪活動の規模は、かつてないレベルに達しています」とEckle氏。
Eckle氏によれば、詐欺被害者が資金を取り戻せる最大の希望は、法執行機関が詐欺グループ全体を壊滅させることだという。その場合、回収された資金は通常、通報した被害者に分配される。
それまでは、Halliburtonは損失を受け入れるしかない。「今でもまだ苦痛です」と彼は言う。「しかし、致命的な一撃ではありませんでした。」
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@WIRED
