ChainCatcher のメッセージによると、Web3 セキュリティ機関 CertiK のデータによれば、2025 年 2 月に暗号通貨業界は最大 15.3 億ドルの損失を被り、その中で北朝鮮の Lazarus グループによる Bybit に対する 14 億ドルの攻撃が史上最大規模の暗号ハッキング事件となり、当月の総損失の 91% を占めました。Bybit の事件を除外しても、2 月の損失は 1.26 億ドルに達し、1 月と比べて 28.5% 増加しました。その他の重大な事件には、ステーブルコイン決済会社 Infini が疑わしい管理者権限の脆弱性により 4900 万ドルの損失を被ったことや、ZkLend プロトコルが 1000 万ドル盗まれたことが含まれます。CertiK は、今月の損失の主な原因は、ウォレットの漏洩、コードの脆弱性（2000 万ドル）、およびフィッシング攻撃（180 万ドル）であると指摘しています。

ChainCatcher メッセージ、「チェーン上の探偵」ZachXBT が個人チャンネルで投稿し、ある未知の被害者が 2 月 28 日に Tron 上で北朝鮮のハッカー Lazarus Group に攻撃され、約 310 万ドルの損失を被ったことを明らかにしました。資金は Tron からイーサリアムに移動され、ETH は Tornado Cash に入金される前に 10 のアドレスに分配されました。

ChainCatcher のメッセージ、Bybit の CEO Ben Zhou はソーシャルプラットフォームで、自社プラットフォームの立ち上げ以来、2167 件の報告を処理したと明らかにしました。Ben Zhou は、Lazarus バウンティプラットフォームが 1.1 バージョンの重大な更新を発表したと述べました。新しいバージョンでは、ハッカーアドレスの分析機能が追加され、バウンティハンターはクロスチェーンで盗まれたすべての資産を確認し、資金の流れを包括的に理解できるようになります。プラットフォームには、ハンターがバウンティを提出するための Discord チャンネルも新たに追加され、自動ブラックリストアドレスチェックシステムが装備されており、重複提出を避けることができます。さらに、更新ではハッカーのウォレット残高のランキング表示が行われ、確認済みの報告にはバウンティハンターの名前が表示されます。

ChainCatcher のメッセージによると、Safe は X プラットフォームで Bybit のハッキングフォレンジックレポートに対する声明を発表し、Lazarus Group による Bybit への標的攻撃に関するフォレンジック調査の結果、この Bybit Safe に対する攻撃は損傷を受けた Safe{Wallet} 開発者のマシンを通じて実行されたものであり、偽装された悪意のある取引を引き起こしたと結論付けました。Lazarus は、開発者の認証情報に対する複雑なソーシャルエンジニアリング攻撃で知られる政府支援の北朝鮮のハッカー組織であり、時にはゼロデイ脆弱性を組み合わせることもあります。外部のセキュリティ研究者によるフォレンジック調査では、Safe スマートコントラクトやフロントエンドおよびサービスのソースコードに脆弱性が存在することは示されませんでした。最近の事件の発生後、Safe{Wallet} チームは徹底的な調査を行い、段階的にイーサリアムメインネット上で Safe{Wallet} を復元しました。Safe{Wallet} チームはすべてのインフラを完全に再構築・再設定し、すべての認証情報をローテーションして、攻撃の媒介を完全に排除しました。調査の最終結果が出た後、Safe{Wallet} チームは完全な事後分析を発表します。Safe{Wallet} フロントエンドは引き続き稼働しており、追加のセキュリティ対策が講じられています。しかし、ユーザーは取引に署名する際に特に注意を払い、警戒を怠らないようにする必要があります。

ChainCatcher のメッセージ、Bybit の CEO ベン・ジョウがソーシャルプラットフォームで発表した内容は、「ラザルスハッカー組織の報奨金サイトが立ち上がり、ラザルスのマネーロンダリング活動に関する透明なデータを示しています。」です。総報奨金は回収資金の 10% であり、全ての資金が回収されれば、報奨金総額は最大 1.4 億ドルに達する可能性があります。具体的な配分は以下の通りです：5% は資金を凍結した実体に、5% は資金追跡を手助けした貢献者に。

ChainCatcher のメッセージによると、eXch は Bitcointalk フォーラムの投稿で「このプラットフォームは Lazarus のマネーロンダリングを行わない。反対の意見は、分散型通貨の相互運用性とオンチェーンプライバシーが消失することを望む一部の人々の見解に過ぎない。これらの人々は長い間、分散型暗号通貨を嫌ってきた」と述べています。eXch は、ByBit のハッキングによって流出した資金の一部が最終的にそのプラットフォームのアドレスに入ったことを認めていますが、この転送は「孤立したケース」であると主張しています。eXch チームは、資金の利益を「暗号空間内外のプライバシーとセキュリティに取り組むさまざまなオープンソースプロジェクト」に寄付することを約束しました。以前の情報によると、慢雾の余弦は、すでにかなりの量の ETH が eXch を通じて洗浄され、BTC や XMR などに交換されていることを考慮し、すべてのプラットフォームは eXch から出た資金に対してリスク管理レベルを引き上げるべきだと述べています。

ChainCatcher のメッセージによると、SlowMist の創設者である余弦はソーシャルプラットフォームで次のように述べています。「証拠分析と関連追跡を通じて、CEX の盗難事件の攻撃者が北朝鮮のハッカー組織 Lazarus Group であることを確認しました。これは暗号通貨取引プラットフォームに対する国家レベルの APT 攻撃です。関連する IOC（Indicators of Compromise）を共有することに決定しました。その中にはいくつかのクラウドサービスプロバイダーやプロキシなどの IP が利用されています。注意が必要なのは、本記事の開示ではどのプラットフォームであるかは言及されておらず、Bybit であるとも言っていません。もし類似の事例があれば、それは本当に不可能ではありません。」攻撃者は pyyaml を利用して RCE（リモートコード実行）を行い、悪意のあるコードを配信し、ターゲットのコンピュータやサーバーを制御しました。この方法はほとんどのウイルス対策ソフトウェアの検出を回避しました。パートナーと情報を同期した後、さらに複数の類似の悪意のあるサンプルを取得しました。攻撃者の主な目標は、暗号通貨取引プラットフォームのインフラを侵入し、ウォレットの制御を取得し、その結果としてウォレット内の大量の暗号資産を不正に移転することです。SlowMist は Lazarus Group の攻撃方法を明らかにするまとめ記事を発表し、社会工学、脆弱性の悪用、権限の昇格、内部ネットワークへの侵入、資金移転などの一連の戦術を分析しました。また、実際のケースに基づいて APT 攻撃に対する防御の提案をまとめ、業界に参考を提供し、より多くの機関がセキュリティ防護能力を向上させ、潜在的な脅威の影響を減少させることを願っています。

ChainCatcher のメッセージ、オンチェーン探偵 ZachXBT が個人チャンネルで発表したところによると、eXch（中央集権型ミキサー）チームは Bybit のセキュリティ事件ハッカーグループ Lazarus Group が 3500 万ドルを洗浄するのを手助けした後、誤って 34 ETH（価値 9.6 万ドル）を別の取引所のホットウォレットアドレスに送信してしまった。

ChainCatcher のメッセージによると、バイナンスの創設者である趙長鵬は最近のハッカー事件について詳細な見解を述べています。「私たちは一つの傾向を観察しました。ハッカーはマルチシグの『コールドストレージ』ソリューションから大量の暗号通貨を盗むことができ、Bybit、Phemex、WazirX などの取引所も同様の状況に直面しました。最近の Bybit のケースでは、ハッカーはフロントエンドユーザーインターフェースに合法的な取引を表示させることができましたが、実際の署名は別の取引を指していました。他のケースについては、限られた情報から見ると、似たような手法が採用されているようです。さらに懸念されるのは、影響を受けた取引所が異なるマルチシグソリューションプロバイダーを使用していることです。ハッカー組織である Lazarus Group は、非常に高度で広範な浸透能力を示しています。ハッカーが複数の署名デバイス、サーバーサイド、またはその両方に成功裏に侵入したかどうかは、まだ不明です。私が以前、出金を一時停止することを標準的なセキュリティ予防策として提案したことに疑問を呈する声があります（私は空港行きのシャトルバスの中でツイートしました）。私の意図は、経験と観察に基づいて実用的な方法を共有することでしたが、このアプローチには絶対的な正解や間違いはありません。私の指針は常により安全な側に傾いています。セキュリティ事件が発生した場合、すべての操作を一時停止し、何が起こったのか、ハッカーがどのようにシステムに侵入したのか、どのデバイスが攻撃されたのかを完全に理解する必要があります。安全が確認された後にのみ、運営を再開すべきです。もちろん、出金を一時停止することは、さらなるパニックを引き起こす可能性があります。2019年、4000万ドルの重大なハッカー攻撃を受けた後、私たちは一週間の出金を停止しました。出金（および入金）を再開した際、入金額は出金額を上回りました。この方法がより良いというわけではなく、状況によって異なりますので、判断が必要です。私がツイートしたのは、効果的である可能性のある方法を共有し、タイムリーに支持を示すためでした。私は Ben が得られた情報に基づいて最良の決定を下したと信じています。Ben はこの困難な状況に対処する際、透明なコミュニケーションと冷静な態度を保ちました。これは、WazirX や FTX などの透明性に欠ける CEO とは対照的です。ここで言及されているケースはそれぞれ異なります。FTX は詐欺行為であり、WazirX については訴訟中のため、コメントを控えます。最も重要なのは、私たちは決してセキュリティを当然のものと考えてはいけないということです。セキュリティの知識を理解することは重要であり、それによって自分のニーズに合った適切なツールを選択できるようになります。そのために、数年前に書いた記事を共有します。少し古くなっていますが、基本的な概念は依然として適用されます。安全を保ちましょう（SAFU）！

ChainCatcher のメッセージ、Galaxy の CEO マイク・ノボグラッツは X プラットフォームで、世界のリーダーにハッカー組織ラザルスグループに対して行動を起こすよう呼びかけ、攻撃を受けた後に Bybit が世界クラスの解決作業を完了したことを称賛しました。

ChainCatcher のメッセージによると、Taproot Wizards の共同創設者 Eric Wall の分析により、Bybit の盗難事件は北朝鮮のハッカー組織 Lazarus Group によるものであることがほぼ確定しています。Chainalysis の 2022 年の報告によれば、この組織は盗まれた資金の処理を通常固定されたパターンに従って行い、そのプロセスは数年にわたる可能性があります。2022 年のデータでは、この組織は 2016 年の攻撃で得た 5500 万ドルの資金をまだ保有しており、迅速に現金化することに急いでいないことが示されています。盗まれた資金の処理プロセスについて：第一歩：すべての ERC20 トークン（stETH などの流動性派生商品を含む）を ETH に変換する；第二歩：得られた ETH をすべて BTC に交換する；第三歩：アジアの取引所を通じて BTC を徐々に人民元に交換する；最終用途：これらの資金は北朝鮮の核兵器および弾道ミサイル計画を支援するために使用されるとされています；分析によれば、Bybit は現在、約 15 億ドルの ETH のギャップを借入れによって補填しており、この戦略は盗まれた資金の回収を期待している可能性があります。しかし、Lazarus Group によるものであることが確認されたため、回収の可能性は極めて低く、Bybit は ETH を購入してローンを返済しなければならなくなるでしょう。長期的には、Bybit の ETH 購入と Lazarus Group の ETH 売却による BTC への交換は相互に相殺される可能性があり、Lazarus Group が取得した BTC は今後数年にわたって徐々に売り圧力に変わるでしょう。

ChainCatcher のメッセージによると、Arkham の監視により、オンチェーン探偵の ZachXBT が北京時間の午前 3:09 に確固たる証拠を提出し、Bybit に対する攻撃が北朝鮮のハッカー組織 Lazarus Group によって実施されたことを確認しました。ZachXBT の分析報告には、攻撃前のテスト取引、関連ウォレットの分析、複数の証拠図表、タイムライン分析などの詳細情報が含まれています。この報告は Bybit チームに提出され、調査作業を支援しています。

ChainCatcher のメッセージによると、CoinDesk Japan の報道では、暗号取引所 DMM Bitcoin で発生した 4502.9 BTC の盗難事件について、日本の警察庁は 12 月 24 日に、この事件は北朝鮮に本拠を置くハッカー組織 Lazarus Group の Trader Traitor によるものであると発表しました。日本の警察庁は、北朝鮮のハッカーによる違法活動、ネットワーク犯罪、暗号資産の盗難事件を調査するために、引き続きアメリカ連邦捜査局や他のアメリカ政府機関、国際的なパートナーと協力していくと述べています。同時に、日本の警察庁、内閣サイバーセキュリティセンター、金融庁は、攻撃グループの手段と対策に関する文書を発表し、暗号資産関連企業に注意を呼びかけました。この攻撃事件に対処するために、DMM Bitcoin は取引所を閉鎖することを決定しました。資産と顧客アカウントは SBIVC Trade に移管される予定で、移行は 2025 年 3 月に完了する見込みです。

ChainCatcher のメッセージによると、オンチェーンの探偵 ZachXBT は、中国の OTC トレーダー Yicong Wang（王逸聪）が 2022 年以来、Lazarus Group が銀行振込を通じて数千万の盗まれた暗号通貨を現金に変えるのを手助けしていると述べています。数ヶ月前、あるフォロワーが OTC の王逸聪（Seawang、Greatdtrader、BestRhea977 などの偽名を使用）との P2P 取引を完了した後、取引口座が凍結されたため ZachXBT に連絡しました。その後、彼は WeChat の会話のスクリーンショットから王逸聪 の Tron ウォレットアドレスの一つを共有しました。王逸聪 に関連するブロックチェーンデータを確認すると、Irys の共同創設者 Alex Labs からの高い不正資金リスクに気づくことができます。Alex Labs は 2024 年 5 月に Lazarus Group にハッキングされ、約 450 万ドルの損失を被りました。2024 年 8 月に Tether によってブラックリストに載せられた 948K のイーサリアムアドレスも易聪 に直接関連しています。オンチェーンからは、彼が過去数週間にわたり、依然として Lazarus Group を積極的に支援していることが明らかです。

ChainCatcher のメッセージによると、SlowMist の MistTrack の分析により、Indodax ハッカーと BingX ハッカーの間に疑わしい関係が存在することが示唆されています。彼らは同じアドレス (0x0c74c11443e60e011f884f547729127380ca1992) を使用してマネーロンダリングを行っています。Indodax ハッカーは Polygon で操作し、BingX ハッカーは BSC で操作しています。SlowMist の創設者である余弦は、「BingX、Indodax、CoinEx、Alphapo、Stake などのハッキング事件について、私たちは彼らの間に関連性の証拠を見つけました。すべてが北朝鮮のハッカー Lazarus Group に指し示しています。」と述べています。以前の情報によると、9 月 11 日にインドネシアの暗号取引所 Indodax のウォレットが異なるネットワーク上で 150 件以上の疑わしい取引を行い、総損失は約 1820 万ドルに達しました。疑わしいアドレスはさまざまなトークンをイーサリアムに交換しています。その後、9 月 20 日に BingX が攻撃を受け、推定盗まれた資産総額は 4300 万ドルを超えています。