捜査官らは、KelpDAOとHumanityのハッカーがオンチェーンで関連していることを指摘した。

4月に発生した2億9200万ドル規模のKelpDAOブリッジ攻撃と、6月に発生したHumanity Protocolの秘密dent盗難事件は、いずれも北朝鮮関連の作戦の特徴を備えており、悪名高いラザルス・グループの関与が疑われていたため、既に関連性があると疑われていた。. 

ブロックチェーンアナリストのスペクター氏によると、現在、オンチェーンの証拠から、これらの攻撃による収益が共有ウォレットに流れ込んでいることが示されており、これは単一の資金洗浄パイプラインと一致するパターンだという。.

攻撃者たちはどのようにしてKelp DAOとHumanityプロトコルの資金を移動させたのか？

Specterによると、Humanity Protocolの攻撃者は、約2360万ドルに相当する15,403ETHを、比較的新しい Ethereum アドレスに移動させたという。 

その後、資金は Bitcoin ネットワークに送金され、そこでKelpDAOの脆弱性を tracしたとされる収益と混ざり合った。.

これはラザルス・グループがよく用いる手法で、複数の取引で得た収益を一つの Bitcoin ウォレットに集約し、ミキサーや店頭取引デスクを経由して送金するというものだ。.

この2つの不正行為にはどのような共通点があるのでしょうか？

Chainalysisの調査によると 、4月18日に発生したKelpDAOの脆弱性を悪用した攻撃者は、 LayerZero Labsが運用する内部RPCノードを侵害すると同時に、外部ノードに対してDDoS攻撃を仕掛けた。

攻撃者は、 Ethereum ブリッジtracを騙して、ソースチェーン上で対応するトークンバーンを行わずに116,500 rsETHを放出させた。.

この攻撃はラザルス・グループによるものとされた。アービトラム・セキュリティ・カウンシルは攻撃者のダウンストリーム資金3万ETH以上を凍結し、ケルプDAOの緊急一時停止措置により、さらに9500万ドルが流出するのを阻止した。.

ヒューマニティ・プロトコルの侵害は、ケルプDAOへの攻撃と同じパターンをたどったわけではないが 、事後分析の結果、北朝鮮と関係のある悪意のある人物が関与していたことが明らかになった。 

Quantstampが6月11日にHumanity Protocol向けに作成したdent レポートによると、攻撃者は韓国の取引所Bithumbを装った悪意のあるメールで、同社の取締役であるChong Yee Wai氏をフィッシング攻撃したことが判明した。. 

クアントスタンプは、今回の攻撃は「北朝鮮による侵入の特徴を示している」と述べた。

このマルウェアによって、攻撃者はChong氏のWindowsマシンにリモートデスクトップアクセス権限を取得した。そこから、攻撃者はMetaMaskウォレットの秘密鍵をコピーし、それを使って Ethereum と BNB スマートチェーンの両方で不正な$Hトークンを生成・販売した。その結果、トークン価格は約89%も暴落した。.

Quantstampの調査結果によると、既知の攻撃者のアドレスに送金された収益は、2100万ドル以上のETHに相当する。.

法的問題が復旧作業に新たな展開をもたらす

現在、原告らは北朝鮮に対する米国裁判所の判決に基づき、8億7700万ドルを超える未払い債務を抱えている。5月、彼らは4月30日にArbitrum DAOに対し、凍結されている約30,766ETH（約7100万ドル）の差し押さえを求める差止命令を送付した。.

原告は、当該資金が北朝鮮と関連しているため、未払い判決金の一部として、北朝鮮と関連のある団体からの資金を差し押さえる権利があると主張した。.

Arbitrumは既に、凍結された資金を Aave Labs、KelpDAO、LayerZero、EtherFi、Compoundが支援する復旧イニシアチブに移管し、影響を受けたユーザーに補償を行うというガバナンス提案を進めていた。.

その後、裁判所はケルプ基金を Aaveに戻すという仲裁人の投票を承認した。北朝鮮の関与が新たに確認されたことに対し、原告がどのように反応するかはまだ不明だが、過去の事例からdentすると、ヒューマニティ・プロトコルの損失とその後の回復も訴訟の対象となる可能性が高い。.