Beosin: トップハッカーがどのようにして暗号通貨を盗み洗浄するのか
作者: ベオシン
今年3月に起きた2億ドル近い大金のことをまだ覚えているかどうかは分かりませんが、Euler Finance襲撃イベント。
Euler Labs と攻撃者の間で数回の交渉が行われた後、攻撃者はプロトコルから盗まれたすべての資金を返還しました。
最初、オイラー・ファイナンスの攻撃者は、国民を混乱させるために、国家レベルのバックグラウンド・ハッカー組織(ローニンのセキュリティインシデントのハッカーでもある)に 100 ETH を送金しました。その後、ハッカーグループはオイラーの攻撃者にオンチェーン通知を送信し、暗号化されたメッセージを復号するよう求めました。
この通知を含む取引で、国家支援のハッカーグループは Euler 攻撃者に 2 ETH を送金しました。しかし専門家らは、このメッセージはオイラー氏の攻撃者のウォレットの秘密鍵を盗もうとするフィッシング詐欺だったと主張している。
典型的な「黒を食べる黒」でしょうか?理解されているのは、国家支援のハッカー集団は長年にわたり仮想通貨ビジネスに対してサイバー攻撃を行っており、サイバー攻撃を実行して盗まれた資金を洗浄するために複数の専門チームを編成している。
今日は組み合わせますBeosin KYTマネーロンダリング対策および分析プラットフォーム、この国レベルのハッカーはどのようにして暗号通貨を攻撃し、クリーンアップするのでしょうか?
画像の説明
画像ソース etda.or.th
最近、外資系情報会社が国家レベルのバックグラウンドハッカー組織(以下、ハッカー組織)の仮想通貨攻撃などの攻撃活動を分析した。研究者らによると、ハッカーグループはフィッシング技術を使用してターゲットを感染させ、大規模な暗号通貨送金を傍受し、受信者のアドレスを変更し、送金額を最大額まで押し上げることで、アカウントの資金を一気に使い果たすことを狙っていたという。単一のトランザクション。
あなたの暗号通貨はどのようにしてハッキングされましたか?
おとりとしての銛メール
ハッカー グループは、偽のまたは欺瞞的なペルソナからのスピア フィッシング メールを使用してターゲットに近づき、偽のログイン ページが含まれるサイトで被害者をだましてアカウント資格情報を入力させます。
画像の説明
ソース カスペルスキー
悪意のある Android アプリの窃盗
外国の諜報会社は、仮想通貨ローンを得ようとする中国人ユーザーを標的とした悪意のある Android アプリを使用するハッキング グループを観察しており、そのアプリと関連ドメインがユーザーの認証情報を収集する可能性があります。
ハッカーグループは、偽の仮想通貨ソフトウェア開発会社を設立して、被害者をだまして正規に見えるアプリをインストールさせ、更新するとバックドアをインストールする可能性もあります。
専門家らは、ハッカーグループが現在、新しいVisual Basic Script、隠しWindowsバッチファイル、Windows実行可能ファイルなど、これまで使用されていなかったファイルタイプで被害者を感染させるなど、新しいマルウェア配信方法を積極的にテストしていると考えている。
メタマスクプラグインを置き換える
ハッカー組織がユーザーのホストにアクセスすると、数週間から数か月間ユーザーを監視してキーロガーを収集し、ユーザーの日常的な操作を監視します。
ハッカーグループは、ターゲットユーザーがブラウザ拡張ウォレット(メタマスクなど)を使用していることを発見した場合、拡張ソースをWebストアからローカルストレージに変更し、コア拡張コンポーネント(backgorund.js)を改ざんされたバージョンに置き換えます。
画像の説明
ソース カスペルスキー
画像の説明
ソース カスペルスキー
この場合、ハッカーは特定の送信者アドレスと受信者アドレス間のトランザクションの監視を設定します。これにより、大規模な送金が検出されると通知がトリガーされ、資金が盗まれます。
画像の説明
ソース カスペルスキー
念のため、ブラウザが開発者モードを選択しているかどうかに注意してください。開発者モードを使用する場合は、重要な拡張機能がオンライン ストアからのものであることを確認してください。
ソーシャルエンジニアリング攻撃
Beosin セキュリティ研究チームはまた、ハッキング グループが、取引プラットフォームの偽造や詐欺メールの送信などのソーシャル エンジニアリング手法を使用して、ユーザーをだまして仮想通貨を自分のアカウントに送金させる可能性があることも発見しました。
偽造取引プラットフォーム: 有名な仮想通貨取引プラットフォームを装い、ユーザーをだまして偽の Web サイトやアプリケーションを通じてアカウント情報を入力させ、ユーザーの資産を盗みます。
資金詐欺: 偽の仮想通貨ファンドを作成し、ユーザーに高い収益を約束して投資を誘導し、ユーザーの資金を他の口座に移管してファンドを閉鎖します。
ソーシャルメディア詐欺: Twitter、Telegram、Reddit などのソーシャル メディア プラットフォームを利用して、仮想通貨取引の専門家や投資家になりすまし、虚偽の投資アドバイスや価格分析を公開し、ユーザーを投資に誘い込み、資金を騙し取ります。
参考文献:暗号化ビッグ V はトロイの木馬ウイルスに遭遇し、財布から多額の資産が盗まれました。これは私たちにどのような啓蒙をもたらしますか?
ハッカーはどのようにして仮想通貨を洗浄するのでしょうか?
ミキサーで洗浄する
さらに、ハッカー組織は、イーサリアム ブロックチェーンで最も人気のあるミキサーであるトルネード キャッシュも資金移動に使用しており、たとえば、2020 年に取引所が盗難され、盗まれた資金は 2 億 7,000 万米ドルを超えました。
画像の説明
画像の説明
Beosin KYTハッカー組織の資金の流れマップ住所
それで、トルネードキャッシュとは何ですか?
Tornado Cash は、ユーザーに完全に匿名の暗号通貨取引を提供するために設計されたイーサリアム上のプライバシー保護プロトコルです。これは、zk-SNARK (Zero-Knowledge Proof) テクノロジーに基づいており、ユーザーは個人情報を公開せずに取引を行うことができるため、プライバシーが保護されます。
Tornado Cash は、ユーザーのトークンを混合して追跡不可能にすることで機能します。ユーザーはまずスマート コントラクトにトークンを送信し、スマート コントラクトはそれらのトークンを他のユーザーのトークンと混合します。混合が完了すると、ユーザーはスマート コントラクトから同量のトークンを引き出すことができますが、これらのトークンは混合されており、元の送信トークンにリンクすることはできません。
Tornado Cash はイーサリアム (ETH) と ERC-20 トークンをサポートしており、ユーザーはトランザクションにさまざまな「混合プール」を選択できます。さらに、Tornado Cash は完全に匿名のトークンを他の人に送信するためにも使用できるため、プライバシー保護のための重要なツールになります。
Tornado Cash はプライバシー保護のみを提供し、匿名性は提供しないことに注意することが重要です。ユーザーは、他の手段による個人情報の追跡から保護するために適切な措置を講じる必要があります。さらに、Tornado Cash を使用するには、特定の取引手数料を支払う必要があり、通常の取引手数料よりも高くなる場合があります。
さらに、一般的なコイン ミキサーには次のようなものがあります。
Blender.io: Blender は、2017 年に設立され、ビットコイン ブロックチェーン上で動作する仮想通貨ミキサーであり、米国財務省によって認可された最初のミキサーです。
CoinMixer: 2017 年から存在する古いビットコイン通貨混合プロトコルですが、現在は政府の制裁の対象になっていません。
ChipMixer: ベトナムの事業者が提供するダークウェブの暗号通貨ミキサーで、2017 年以来 30 億ドル以上相当の暗号通貨を洗浄してきました。ウェブサイトとバックエンド サーバーは 2023 年 3 月 15 日に連邦警察によって押収されました。
Umbra: Umbra は、ユーザーがイーサリアム上でプライベートに送金できるようにするプロトコルで、誰が送金を受け取ったのかを送信者と支払者だけが知っているという特徴があります。
CoinJoin: CoinJoin は、ビットコイン (BTC) およびビットコイン キャッシュ (BCH) 用に開発された最も古いミキサーの 1 つです。
特殊な通貨ミキサーに加えて、FixedFloat、sideshift、ChangeNow などの分散型取引所を使用して仮想通貨を交換することでも、マネーロンダリングの目的を達成できます。
ハッシュパワーリースまたはクラウドマイニングサービスによるクリーニング
このハッカーグループは、ドメインアドレスの購入やサービス料金の支払いなど、暗号通貨サービスを利用して盗んだ資金を洗浄したほか、おそらくハッシュパワーリースやクラウドマイニングサービスを利用して盗んだ暗号通貨をクリーンな暗号通貨に洗浄した可能性もある。
ハッカーは盗んだビットコインを使用して Namecheap サービスの支払いを行う (出典: Mandiant)
画像の説明
ハッカー組織はハッシュパワーレンタルサービスを通じて資金洗浄を行っている(情報源マンディアント)
ダークネット市場を通じた浄化
ダークネット市場の仮想通貨取引所は、ハッキンググループによってマネーロンダリングに利用される可能性があります。これらの市場では、ハッカーが汚いお金を使い捨ての資金に変えるために取引できる匿名の取引が可能です。
ハッカーがダークネット市場を利用して暗号通貨を洗浄するプロセスは、大まかに次のステップに分けることができます。
1. ダークネット市場で買い手を探す: ハッカーは、ダークネット市場で暗号通貨を購入したい買い手を探します。これらの市場には匿名取引のためのツールやサービスが数多く存在しており、ハッカーが発見されるリスクを軽減しながら取引を容易に行うことができます。
2. ロンダリング対応の暗号通貨: ハッカーは、取引が追跡されるリスクを軽減しながら、取引時に迅速に資金を移動できるように、違法行為から入手した暗号通貨を用意する必要があります。
3. 取引を完了する: ハッカーは、ダーク ウェブ マーケット上の匿名取引ツールとサービスを通じて取引を完了し、暗号通貨を購入者のアドレスに転送します。これらの取引には複数の暗号通貨と支払い方法が含まれる場合があります。
4. 洗浄された収益を正規のチャネルに送金する: ハッカーは、ダークネット市場から入手した暗号通貨を日常生活やビジネス活動に使用できるように、正規のチャネルに送金する必要があります。これには、暗号通貨を法定通貨に変換したり、他の法的資産に投資したりすることが含まれる場合があります。
プロキシアカウントを使用したクリーニング
ハッカー グループは追跡を避けるためにプロキシ アカウントを使用する場合があります。これらの代理店アカウントは、海外の従業員または留学生によって保持されている場合があります。
プロキシ アカウントのマネーロンダリング手法としては、以下のような手法が考えられます。
他人の口座の管理によるマネーロンダリング: 政府またはその代理人は、マネーロンダリングのために他人の銀行口座を管理する場合があります。これらの管理アカウントは、海外の同胞または密接に関連する個人アカウントである可能性があります。
既製のプロキシ アカウントを購入する: もう 1 つの可能性は、既存のプロキシ アカウントを購入することです。これらのアカウントは、海外の従業員または海外の代理店によって作成および保持される場合があります。
偽の会社やアカウントの作成: 偽の会社やアカウントが作成され、マネーロンダリングの代理アカウントとして使用される可能性があります。このような戦術には通常、監督や監視を回避するために偽の身元、住所、連絡先情報が含まれます。
