Bitrefillのセキュリティ事件の分析と盗難資金の流れ追跡

2023年3月17日、Bitrefillは3月1日に発生したサイバー攻撃について正式に公表しました。この攻撃手法は、過去のLazarus Group / BlueNoroffによる他の暗号資産業界向け攻撃と多くの類似点があります。Beosinセキュリティチームは、収集した脅威情報とBitrefillが公開した情報をもとに、今回の事件の攻撃手法と資金追跡分析を行い、以下の通り結果を共有します。

攻撃手法分析

Bitrefillの公開によると、今回の攻撃は最初に従業員のノートパソコンに侵入し、旧バージョンの認証情報を窃取したことに端を発します。

ウォレットのアクセス権限：18,500件の注文データを一括エクスポートし、ユーザーのメールアドレス、暗号化アドレス、IPアドレスを含むとともに、ギフトカードの在庫を偽造して購入に消費させました。

盗難資金の追跡

脅威情報とオンチェーン取引データを組み合わせ、Beosinは子会社のブロックチェーン調査・追跡プラットフォームBeosin Traceを用いて、Bitrefillに関連する被害資金の詳細な追跡を行い、その結果を共有します。

現在、Beosinは3つの疑わしいBitrefillハッカー事件のアドレスを特定しています。

0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763

0x3d79f9012a13fe7948daaee3b8e9118371450d69

TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R

これらの資金の流れは以下の図の通りです。

被盗資金の流れ分析図 by Beosin Trace

その中で、アドレス0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763は174 ETHをTornado Cashに送金しています。Tornado Cashのようなミキシングプロトコルの資金追跡は難易度が高いため、Beosinは過去の複数のミキシング洗浄案件の溯源経験を活かし、全てのチャージと引き出しデータの継続的監視を行い、取引の時系列、金額の特徴、行動パターンなど多次元の関連分析を実施。自社開発のスマート追跡アルゴリズムにより、このミキシング資金の流れを透過し、出金アドレスを特定しました：0x3d79f9012a13fe7948daaee3b8e9118371450d69。

その後、このアドレスはETHチェーンからTRONチェーンへクロスチェーンで資金を移動し、179 ETHを413,763.75 USDTに交換しています。現在、このアドレスTVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9Rには575,212.91 USDTが蓄積されています。

これらのアドレスはすべてBeosin KYTによって高リスクアドレスとしてマークされています。例として以下のアドレスを示します。

Beosin KYT