仮想通貨取引所DragonEXハッキング事件|Amazon Web Servicesのエンジニアが攻撃手法を独自考察

仮想通貨取引所DragonEXハッキング事件|Amazon Web Servicesのエンジニアが攻撃手法を独自考察

DragonEXのハッキング詳細について
25日に発覚した海外大手取引所DragonExの仮想通貨ハッキング事件について、AWSの現職エンジニアでCoinPost所属ライターの坪 和樹が、独自分析を行った。

DragonEXのハッキング詳細について

仮想通貨取引所DragonExは25日、テレグラムにてハッキング被害を明かした。

当時、同取引所の管理人は、事件に関して以下のように発表している。

24日、DragonEXがハッキング被害を受け、ユーザーの仮想通貨資産と取引所側の資産が不正流出した。

盗難に遭った一部の資金を取り返し、引き続き、盗難資金を取り戻すために尽力している。

すでにエストニア、タイ、シンガポール、香港では、現地警察に捜査協力を依頼し、捜査が行われている。

現在取引所のサービスは全て一時的に停止しており、正確な盗難資金とその復旧に関しては一週間以内に報告する。

なお、ユーザーの損失に関しては、DragonEX側が全ての責任を取る。

今回、CoinPostの所属ライターの坪 和樹が、今回の事件に関わる各トランザクションについて確認し、被害の全容について推察を行っている。

公式テレグラムでは、転送に使われたアドレスが公開されており、これらのアドレスを経由したトランザクションについて、各取引所への凍結の依頼、その後の資金の追跡などが進められている。

なお、DragonEXは、Exit Scam(出口詐欺)の可能性については当然ながら否定しており、2018年に詐欺コインを上場した際、1.5億のUSDTを浪費する羽目になった点を引き合いに出し、繰り返し説明が行われている。

この真偽までは確認できていないが、単純に攻撃によって被害を受けてしまったという可能性が高いと思われる。

以下、各アドレスに対し転送されたトークンについて、時価総額が高いものをピックアップして調べたものだ。被害総額は現時点で公表されていないが、ここにリストした6種類を合計すると、320万ドル(約3億5000万円)前後となる。

BTC

3BorUkWNFECFDoX877BSd2aPdRbPjPj45C

135 BTC

ETH

0xa7f72bf63edeca25636f0b13ec5135296ca2ebb2

2738 ETH

XEM

NARDPLCELIFJOYABZSYW2ZHIC7U2YQKOAAPPMEI3

64121 XEM

EOS

worldfoxprin whatagoodeos

205392 EOS

156 EOS

XRP

r4y4SZNzZDQdFR51RTFq23cjUvtV3WWzHx

247000 XRP

USDT

1P4cdD9kTFGV6wmFxbeoZXosRNUrMrMbmN

o/address/1P4cdD9kTFGV6wmFxbeoZXosRNUrMrMbmN

273597 USDT

1JBoGBv7GnqN6ncEi9aSU71gobcMG9R1Ca

o/address/1JBoGBv7GnqN6ncEi9aSU71gobcMG9R1Ca

222738 USDT

114F7vWREusZTRGcEZGoTAuhWvq8T5tzxR

o/address/114F7vWREusZTRGcEZGoTAuhWvq8T5tzxR

238652 USDT

1HapWDybdWW1H61saGokQ88xVaHvfukgu2

o/address/1HapWDybdWW1H61saGokQ88xVaHvfukgu2

240971 USDT

17gqLwmBxdmKEP8vaBEn2ghHvj4vqCiR6q

o/address/17gqLwmBxdmKEP8vaBEn2ghHvj4vqCiR6q

240971 USDT

1B6t6RnVMpTQKhbXsr8hNB3DiyXSSkomkU

o/address/1B6t6RnVMpTQKhbXsr8hNB3DiyXSSkomkU

247390 USDT

この中で、注目に値するのはETHとUSDTだろう。

その他のXRPやBTCは一括で転送されているのに対し、ETHに関しては「incoming」 に絞ってみると分かるが、1ETH以下の小さな金額が1524回で転送されている。

ETHについては、ユーザー毎にウォレットを管理していたとみられるが、残念ながら根こそぎ攻撃を受けてしまったようだ。

公式発表でも述べられている通り、プラットフォームとユーザー資産の両方が被害に遭っているため、実際の運用では秘密鍵を一括で管理していた可能性がある。

ETHの転送開始からは5時間ほど、絶え間なくトランザクションが生成されているため、ほぼ間違いなく攻撃に適したツールを事前に準備している。また、途中で一度、1時間ほど挟んで手数料を小さく変更していることもわかる。

USDTの状況

また、USDTは複数のウォレットに転送されており、金額もバラバラだったため、ひとつずつ確認した。

USDTは1つのウォレットアドレスから 6つのアドレスに分割して22-27万USDTずつ転送しており、次に半分に分割して転送されている。さらにその後、1万USDTずつ転送するという流れになっている。

BTCやETHでは主要な資金洗浄サービスがいくつもあるが、換金するまでの時間稼ぎであれば非常に有効だ。

なお、同取引所が呼びかけたとしてもすべての取引所が対応するわけではなく、そもそもどのアカウントから転送されたものを止めれば良いのかを調査できた頃には換金して引き出し済みになっている可能性が高いと考えられる。

なお、昨日の公式発表では、「不正流出した一部のETHが取引所Huobi、Binanceに、一部のUSDTはBittrexなどに送金されたが、該当の取引所へ連絡を取っており、現在HuobiとGate.ioによって資金の入金はブロックされている。」とある。

今回の攻撃からは、恐らく大量の秘密鍵を用いて短時間で転送処理を終わらせるツールを持っていること、USDTのミクサーのような行為で攪乱を図っていることが予想される。

昨今、ハッキングによる暗号資産の盗難は絶えない。そして、暗号資産に限らず一般的に、複数回の攻撃によって手法自体が洗練されたり、ツールが高度になっていく傾向がある。

本件について、興味深い続報があれば追ってお届けしたい。

坪 和樹( Linkedin:

Twitter:
)

プロフィール:クラウド業界で働くエンジニア、アイルランド在住。MtGoxやThe DAO では被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績ある。

CoinPostの関連記事

2019-03-26 18:44
2019-03-08 18:37

スポンサーリンク