エリプティックは木曜日、今年最大の2億8500万ドル規模の「ドリフト・プロトコル」エクスプロイトは、北朝鮮の国家支援型DPRKハッカー集団の関与を示す「複数の兆候」を含んでいると述べた。
調査会社は、オンチェーン上の挙動、マネーロンダリングの手口、ネットワークレベルのシグナルを具体的に挙げており、これらはいずれも過去の国家に結び付いた攻撃と一致しているという。
ドリフト・プロトコルは、ハック後にトークンが40%以上下落しおよそ0.06ドルとなっているが、ソラナブロックチェーン上で最大の分散型パーペチュアル先物取引所だ。
「もし確認されれば、今回の事件は、エリプティックが今年追跡してきた18回目のDPRKの行為であり、これまでに盗まれた金額は3000万ドル超となる」と同レポートは述べた。
「これは、米政府が兵器計画の資金調達と結び付けている、DPRKによる大規模な暗号資産窃取の継続を意味する。DPRKに結び付いた関係者は、近年の暗号資産窃取において数十億ドル規模の責任があると考えられている」とエリプティックは付け加えた。
これより数時間前に、Arkhamのデータでは、ドリフトから中間ウォレットに移されたのち、さらにさまざまな別のアドレスへ送られ、合計で2.5億ドル超が移動したことが示されていた。
12月に出されたChainalysisのレポートでは、DPRKハッカーが2025年に暗号の窃取記録となる20億ドルを盗んだことが明らかになった。これには14億ドルのBybit侵害も含まれており、前年から51%の増加に相当する。先月、米財務省は、北朝鮮が盗んだ資産を大量破壊兵器計画の資金に充てていると述べていた。
エクスプロイトそのものに焦点を当てるのではなく、エリプティックの分析は馴染みのある運用パターンを強調している。活動は「事前に企図され、慎重に段取りされた」ように見え、主要な出来事の前に、初期のテスト取引や事前に配置されたウォレットがある。
同レポートによれば、実行されると資金は急速に集約され、スワップされ、チェーンをまたいでブリッジされ、より流動性の高い資産へ転換されたという。これは、出所を隠しつつ管理を維持するために設計された、構造化された反復可能なロンダリングの流れを示している。
エリプティックが指摘する中心的な課題は、ソラナの口座モデルだ。各資産が別々のトークン口座に保有されるため、単一の主体に紐づく活動は複数のアドレスに分断されたように見える可能性がある。これらを結び付けられない場合、捜査側は「攻撃者の活動の断片は見えても、全体像は見えない」リスクがある。
そこでエリプティックのレポートは、クラスタリングのアプローチを強調している。これはトークン口座を1つの主体に遡って関連付けることで、どのアドレスがスクリーニングされるかにかかわらず、露出を特定できるようにするものだ。12種類以上の資産タイプが関わったインシデントでは、この主体ベースの見え方が極めて重要になる。
また、同レポートは、ロンダリングが本質的にクロスチェーンになっていることも強調している。資金はソラナからイーサリアムへ、そしてそれ以外にも送られており、エリプティックが「ホリスティックなクロスチェーン・トレーシング機能」と呼んだものの必要性が示されている。
