クリプトハック・ラウンドアップ：詐欺の首謀者とされる人物が中国へ強制送還

毎週、Information Security Media Groupはデジタル資産におけるサイバーセキュリティ事件をまとめてお届けします。今週は、詐欺の首謀者とされる人物の中国への強制送還、Bitfinexハッカーの早期釈放、Unleash Protocolの390万ドルのハッキング、TRMが暗号資産盗難をLastPass侵害に関連付けた件、Trust WalletとSha1-Hulud攻撃の関係、FlowのNFTローン問題の余波、Ledgerのデータ露出、Kontigoの補償についてです。

米当局から大規模な暗号資産詐欺ネットワークを運営していたとして告発されている実業家が、米検察が彼の活動に関連するとされる数十億ドル相当のビットコインの差し押さえに動いてから数カ月後、カンボジアで拘束され中国へ強制送還されたと報じられています。カンボジア当局によると、プリンス・グループ（Prince Group）複合企業の創業者兼会長である陳志（Chen Zhi）氏は、共同捜査の結果、北京の要請を受けて逮捕され、中国へ移送されました。当局は、陳氏が中国で起訴されるかどうかについては明らかにしていません（参照：米国「カンボジアの複合企業は『豚の屠殺（Pig Butchering）』組織」）。

米検察は、陳氏がカンボジアにある強制労働を伴う詐欺拠点を監督し、暗号資産投資詐欺やロマンス詐欺を通じて数十億ドルを生み出したと主張しています。10月、米司法省は過去最大の没収手続を提起し、当該スキームに関連するとされる約150億ドル相当のビットコインおよび追加資産の差し押さえを求めました。この事件は地政学的な側面も帯びており、中国当局は米国の差し押さえの一部に異議を唱え、以前のビットコイン盗難との関連を主張しています（参照：中国、米国による130億ドルの盗難を非難）。

TRM Labのアリ・レッドボード（Ari Redbord）氏はLinkedInに投稿し、陳氏の中国移送は「米当局がこれまで追及してきた最も重要な国境を越える金融犯罪事件の一つにおける大きな転換点を示す」と述べました。中国が陳氏を起訴したとしても、「米国の観点からは、正義は不完全なままだ。資産は差し押さえられネットワークは寸断されたが、米国の法廷で裁かれる被告がいない」ということになります。

暗号資産取引所Bitfinexをハッキングし、約12万ビットコインを盗んだロシア系米国人のイリヤ・リヒテンシュタイン（Ilya Lichtenstein）被告が、ドナルド・トランプ米大統領が署名した超党派の刑務所改革法「First Step Act」に基づき、刑務所から早期に釈放されました。38歳のリヒテンシュタイン被告は、マネーロンダリング共謀罪で有罪を認め、2016年のBitfinexハッキングを認めました。連邦裁判所は2024年11月、2022年の逮捕以降の勾留期間を算入した上で、同被告に懲役5年を言い渡しました。

リヒテンシュタイン被告は、現在は自宅拘禁中だとソーシャルメディアで述べました。盗難資金の洗浄を手助けしたとして同様に有罪を認めた妻のヘザー・モーガン（Heather Morgan）被告も、釈放を確認しました。

TRM Labsでグローバル政策責任者を務めるアリ・レッドボード氏は、この自宅拘禁への移行はトランプ氏による恩赦や減刑を意味するものではないと説明しました。レッドボード氏によれば、2018年に議会で成立したFirst Step Actにより、連邦刑務所局（Bureau of Prisons）は獲得したタイムクレジットを付与し、受刑者を釈放前の拘禁（prerelease custody）へ移すことが可能になります。判決そのものは有効で監督も継続しており、変わったのは拘禁場所だけです。

盗難資金の洗浄を認めたモーガン被告は、18カ月の刑を言い渡されており、同じ法律により同様に早期釈放されています。

分散型金融で利用するために知的財産をトークン化する分散型プラットフォームUnleash Protocolは、無許可のスマートコントラクト更新により約390万ドルの損失を被りました。同社は、外部所有アドレス（EOA）がUnleashのマルチシグ・ガバナンスシステム内で管理者として行動するための署名権限を取得したと述べました。攻撃者はそのアクセスを用いて承認なしにコントラクトを改変し、既定のガバナンス手続きを経ずに資産を引き出せるようにしました。

この攻撃により複数の資産が持ち去られ、ブロックチェーンセキュリティ企業PeckShield Alertは、総損失額を約390万ドルと推定しています。引き出し後、攻撃者は第三者インフラを介して資金をブリッジし、最終的に取引経路を不明瞭にするためTornado Cashへ入金しました。

Unleash Protocolは運用を停止し、外部のセキュリティ専門家を起用して、インシデントの調査を開始しました。

ブロックチェーン・インテリジェンス企業TRM Labsは、2025年に発生した暗号資産盗難の波は2022年のLastPass侵害に遡れると述べています。攻撃者は暗号化されたパスワード保管庫が盗まれてから数カ月〜数年後にウォレットを空にしており、LastPassは、攻撃者が開発者環境を侵害し、その後、暗号化された顧客保管庫バックアップへアクセスしたと開示しました。一部の保管庫には、パスワードに加えて暗号資産の秘密鍵やシードフレーズが含まれていました。

保管庫は暗号化されていたものの、TRMによれば、弱いマスターパスワードや使い回しのマスターパスワードにより、攻撃者が時間をかけてオフラインで解読できたといいます。即時の窃取ではなく、遅れて波状的にウォレットが空にされたことは、攻撃者がすでに秘密鍵を保有していたことを示唆しています。

TRMは、攻撃者が資産をビットコインに変換し、Wasabi WalletのCoinJoin機能で資金洗浄し、ロシア関連の取引所を通じて換金した流れを追跡しました。TRMは、複数回の波で合計3,500万ドル超が盗まれたと推定しています。

Trust Walletは、2,500以上のウォレットから約850万ドルが盗まれた事案は、11月に表面化した業界全体に及ぶShai-Huludのサプライチェーン攻撃と関連している可能性が高いと述べています。このインシデントは、Trust WalletのChromeブラウザ拡張機能の侵害に起因しました。攻撃者は開発者のGitHubシークレットを露出させ、拡張機能のソースコードとChrome Web StoreのAPIキーへのアクセスを獲得しました。完全なアクセス権を得た攻撃者は、Trust Walletの社内承認プロセスを経ずに、トロイの木馬化された拡張機能のバージョンをアップロードしました。

攻撃者はバージョン2.68.0に悪意あるJavaScriptを埋め込み、機微なウォレットデータを収集して不正な取引を可能にしました。また、拡張機能が参照する悪性インフラをホストするために、類似ドメインも登録しました。Trust WalletはリリースAPIを無効化し、悪性ドメインを停止し、影響を受けたユーザーへの補償を開始しました。

Flowブロックチェーンで12月27日に発生した攻撃の余波は、引き続きエコシステムを混乱させており、なかでも非代替性トークン（NFT）担保のレンディングが最も大きな影響を受けた分野の一つとなっています。Flow Foundationはユーザー残高に影響はないとしたものの、Cadence実行環境を12月29日まで停止する決定により、ユーザーは取引ができず、停止期間中に満期を迎えたローンの返済も行えませんでした。

FlowベースのNFTレンディングプラットフォームFlowtyによると、停止中に11件のローンが満期を迎えました。1件は自動返済され、8件はデフォルトとなり、2件は攻撃に関連するアカウント制限により決済できませんでした。ネットワーク再開後も、トークンスワップの制限など継続的な問題により、借り手が返済に必要な資産を入手できない状況が続いています。

さらなる強制デフォルトを防ぐため、Flowtyは12月30日にすべてのローン決済を停止しました。この期間に満期を迎えるローンは、デフォルトにも利息発生にもならないまま未決済として扱われます。Flowtyはまた、ネットワーク全体の機能が安定するまで新規ローンの掲載を無効化しました。

Ledgerは、国際注文に利用している第三者のECおよび物流プロバイダーGlobal-eでセキュリティインシデントが発生し、個人情報を含む新たなデータ露出があったとして顧客に警告しました。ブロックチェーン調査員ZackXBTがソーシャルメディアで共有したメールによると、このインシデントでは注文データへの不正アクセスがあり、顧客の氏名や連絡先情報が含まれていたものの、影響を受けたユーザー数の総数は開示されていません。

LedgerはThe Blockに対し、インシデントの通知を受けたと述べ、露出したデータはLedger.comでの購入に関するもので、Global-eが記録上の販売者（merchant of record）として機能していると説明しました。同社は、自社システムは侵害されておらず、ハードウェアウォレット、ソフトウェア、およびセルフカストディのアーキテクチャは安全だとしています。また、支払い情報や、リカバリーフレーズを含む暗号資産関連の機密情報はいずれも漏えいしていないと述べました。

ラテンアメリカ向けのステーブルコイン銀行スタートアップKontigoは、週末に発生したセキュリティ侵害を封じ込め、影響を受けたユーザーへ全額補償したと述べました。同社は1月6日までに、1,005人の顧客へステーブルコイン340,905ドル分を返還しました。同社は1月5日にインシデントを開示し、共同創業者兼CEOのヘスス・A・カスティージョ（Jesus A. Castillo）氏は自身のアカウントが侵害されたと述べました。カスティージョ氏は、Kontigoが侵害の責任を負うとし、同社は攻撃者を特定しており、相応の結果を負わせると述べました。

このインシデントは、同スタートアップが積極的な成長を推し進める中で起きました。12月下旬、KontigoはFoundersX Ventures主導の2,000万ドルのシードラウンドを発表し、新興市場全体で急速に拡大する計画を示しました。1年未満前に設立され、Y Combinatorの支援を受ける同社は、年換算売上高が3,000万ドルに達し、決済取扱高は10億ドル超を処理し、小規模なチームでアクティブユーザー100万人超に成長したとしています。