執筆:Oluwapelumi Adejumo翻訳:Chopper、Foresight Newsわずか3週間足らずの間に、北朝鮮に関連するハッカー組織が暗号資産DeFiプラットフォームから5億ドル超を盗み出し、攻撃の突破口はコアのスマートコントラクトからインフラのエッジ脆弱性へと移行している。DriftとKelpDAOの攻撃Drift ProtocolとKelpDAOに対する2件の重大な攻撃により、北朝鮮ハッカーによる今年の違法暗号資産収益は7億ドルを突破した。巨額の損失は、彼らの戦術の転換を浮き彫りにしている:複雑な脆弱性の利用や深く潜伏した人員の侵入をますます頻繁に行い、標準的なセキュリティ防御線を回避している。4月20日、クロスチェーンインフラ提供者LayerZeroは、KelpDAOが4月18日に攻撃を受け、約2億9千万ドルを失ったことを確認した。これは2026年以降最大の単一暗号盗難事件となる。同社は、初期調査でTraderTraitor—北朝鮮の悪名高いLazarus Group内部の専門チームに直接指摘されたと述べている。わずか数週間前の4月1日、Solanaを基盤とする分散型永続契約取引所Drift Protocolが約2億8600万ドルを盗まれた。ブロックチェーン情報会社Ellipticは、链上のマネーロンダリング手法、取引シーケンス、ネットワーク署名を北朝鮮の既知の攻撃経路と関連付け、これが今年追跡した同様の事件の第18件目であると指摘した。攻撃の方向性:インフラのエッジへの浸透4月の攻撃手法は、北朝鮮ハッカーがDeFiへの攻撃を成熟させていることを示している。彼らはもはやコアのスマートコントラクトに正面から攻撃を仕掛けるのではなく、構造的なエッジの脆弱性を見つけて攻撃している。KelpDAOの攻撃例では、ハッカーはLayerZero Labsの分散型検証ネットワーク(DVN)が使用する下流のRPC(リモートプロシージャコール)インフラを侵害した。これらの重要なデータチャネルを改ざんすることで、攻撃者はコア暗号技術を破壊せずに、プロトコルの運用を操った。LayerZeroは影響を受けたノードを停止し、DVNを全面的に復旧したが、財務的損失は取り返しのつかないものとなった。この間接的な攻撃手法は、ネットワーク戦の恐るべき進化を示している。ブロックチェーンセキュリティ企業CyversはCryptoSlateに対し、北朝鮮関連の攻撃者はますます熟練し、攻撃の準備と実行により多くのリソースを投入していると述べた。同社は付け加えた:「我々は、彼らが最も脆弱な部分を正確に見つけ出すことに常に成功しているのを観察している。今回の突破口は、サードパーティのコンポーネントであり、プロトコルのコアインフラではなかった。」この戦略は、従来の企業ネットワークのスパイ活動と高度に類似しており、北朝鮮関連の攻撃がますます防御困難になっていることを意味している。最近の事例として、Googleの研究者が広く使われているAxios npmパッケージのサプライチェーン侵入を指摘し、これが北朝鮮の特定脅威組織UNC1069に関連していることが示された。これは、攻撃者がソフトウェアがブロックチェーンエコシステムに入る前に破壊を仕掛けていることを示している。北朝鮮のグローバル暗号業界への浸透技術的な突破口に加え、北朝鮮は現在、世界の暗号通貨労働市場に対して大規模かつ組織的な浸透を進めている。脅威のパターンは、リモートのハッカー活動から完全に変化し、無警戒なWeb3スタートアップ企業に悪意ある人員を直接潜入させる形に移行している。Ethereum FoundationのETH Rangersセキュリティプロジェクトの調査によると、約6か月の調査の結果、北朝鮮のネットワーク工作員が複数のブロックチェーン企業の内部に潜伏していると驚くべき結論に至った。彼らは偽造身分を使い、標準的な人事審査を容易に通過し、内部の敏感なコードリポジトリの権限を獲得し、製品チームに静かに潜伏し、数か月から数年にわたり、正確な攻撃を仕掛けている。独立したブロックチェーン調査員ZachXBTも、この情報機関的潜伏をさらに裏付けている。彼は最近、北朝鮮の特殊ネットワークを暴露し、詐欺的な身分を使ってリモート就労し、月平均約100万ドルの利益を得ていると明らかにした。この手法は、認証されたグローバル金融チャネルを通じて暗号通貨を法定通貨に変換し、2025年末以降、350万ドル以上を処理している。業界関係者の推定によると、北朝鮮はIT人員を月平均で数百万ドルの収入源としている。これにより、北朝鮮には二重の収入源がもたらされている:安定した給与収入と、内部関係者の協力による巨額の資金窃盗だ。総盗難額675百万ドル北朝鮮のデジタル資産事業規模は、いかなる従来のサイバー犯罪グループよりもはるかに大きい。ブロックチェーン分析会社Chainalysisによると、2025年だけで、北朝鮮関連のハッカーは記録的な20億ドルを盗み出し、その年の世界の暗号資産盗難総額の60%を占めた。今年の激しい攻撃活動を考慮すると、北朝鮮がこれまでに窃取した暗号資産の総額は67億5000万ドルに達している。資金を手にした後、Lazarus Groupは高度に特定化された地域化されたマネーロンダリング手法を展開している。一般的な暗号犯罪者が頻繁にDEXやピアツーピアの貸付プロトコルを利用するのとは異なり、北朝鮮ハッカーはこれらのチャネルを意図的に避けている。链上データは、彼らが中国語圏の担保取引サービス、深度のあるOTCブローカー、複雑なクロスチェーンのミキシングサービスに高度に依存していることを示している。この偏好は、構造的な制約や地理的制限のある換金チャネルを指し、無制限にグローバル金融システムにアクセスするのではなく、制限された範囲内での資金化を志向していることを示している。防止可能か?セキュリティ研究者や業界幹部は、防止は可能だと考えているが、暗号企業は過去の重大な攻撃で露呈した共通の運用弱点を解決しなければならない。Humanity創設者のTerence KwokはCryptoSlateに対し、北朝鮮関連の攻撃は依然として一般的な脆弱性を突いているだけであり、全く新しいネットワーク侵入の形態ではないと述べた。彼は、北朝鮮の攻撃者は侵入手段と資金移動能力を向上させているが、その根本は依然としてアクセス制御の不備と集中運用リスクにあると指摘した。彼は次のように説明した:「驚くべきことに、損失は依然としてアクセス制御やシングルポイントの故障といった古典的な問題に帰着している。これは、業界が未だに基本的なセキュリティ規律を解決できていないことを示している。」これに基づき、Kwokは、最初の防御線は資産移動の難易度を大幅に高めることであり、秘密鍵や内部権限、サードパーティのアクセス権に対してより厳格な管理を行う必要があると指摘した。実践的には、企業は個人操作員への依存を減らし、特権アクセスを制限し、サプライヤー依存を強化し、コアプロトコルと外部のインフラ間により多くの検証を設けるべきだ。第二の防御線はスピードだ。盗まれた資金がクロスチェーンやブリッジを経由して洗浄ネットワークに入ると、追跡の成功率は急激に低下する。Kwokは、取引所やステーブルコイン発行者、ブロックチェーン分析企業、法執行機関は、攻撃後の最初の数分から数時間の間に迅速に連携し、資金の阻止成功率を高める必要があると述べた。彼の言葉は、暗号システムの最も脆弱な部分は、コード、人員、運用の交差点にあることを示している。盗難証明書、弱いサプライヤー依存、見落とされた権限の脆弱性一つで、数億ドルの損失につながる可能性がある。DeFiの課題は、もはや堅牢なスマートコントラクトの作成だけではなく、攻撃者が次の弱点を突く前に、プロトコルの周辺の運用安全を守ることにある。
北朝鮮のハッカーが1か月で5億ドルを荒稼ぎ、暗号セキュリティの最大の脅威となる
執筆:Oluwapelumi Adejumo
翻訳:Chopper、Foresight News
わずか3週間足らずの間に、北朝鮮に関連するハッカー組織が暗号資産DeFiプラットフォームから5億ドル超を盗み出し、攻撃の突破口はコアのスマートコントラクトからインフラのエッジ脆弱性へと移行している。
DriftとKelpDAOの攻撃
Drift ProtocolとKelpDAOに対する2件の重大な攻撃により、北朝鮮ハッカーによる今年の違法暗号資産収益は7億ドルを突破した。巨額の損失は、彼らの戦術の転換を浮き彫りにしている:複雑な脆弱性の利用や深く潜伏した人員の侵入をますます頻繁に行い、標準的なセキュリティ防御線を回避している。
4月20日、クロスチェーンインフラ提供者LayerZeroは、KelpDAOが4月18日に攻撃を受け、約2億9千万ドルを失ったことを確認した。これは2026年以降最大の単一暗号盗難事件となる。同社は、初期調査でTraderTraitor—北朝鮮の悪名高いLazarus Group内部の専門チームに直接指摘されたと述べている。
わずか数週間前の4月1日、Solanaを基盤とする分散型永続契約取引所Drift Protocolが約2億8600万ドルを盗まれた。ブロックチェーン情報会社Ellipticは、链上のマネーロンダリング手法、取引シーケンス、ネットワーク署名を北朝鮮の既知の攻撃経路と関連付け、これが今年追跡した同様の事件の第18件目であると指摘した。
攻撃の方向性:インフラのエッジへの浸透
4月の攻撃手法は、北朝鮮ハッカーがDeFiへの攻撃を成熟させていることを示している。彼らはもはやコアのスマートコントラクトに正面から攻撃を仕掛けるのではなく、構造的なエッジの脆弱性を見つけて攻撃している。
KelpDAOの攻撃例では、ハッカーはLayerZero Labsの分散型検証ネットワーク(DVN)が使用する下流のRPC(リモートプロシージャコール)インフラを侵害した。これらの重要なデータチャネルを改ざんすることで、攻撃者はコア暗号技術を破壊せずに、プロトコルの運用を操った。LayerZeroは影響を受けたノードを停止し、DVNを全面的に復旧したが、財務的損失は取り返しのつかないものとなった。
この間接的な攻撃手法は、ネットワーク戦の恐るべき進化を示している。ブロックチェーンセキュリティ企業CyversはCryptoSlateに対し、北朝鮮関連の攻撃者はますます熟練し、攻撃の準備と実行により多くのリソースを投入していると述べた。
同社は付け加えた:「我々は、彼らが最も脆弱な部分を正確に見つけ出すことに常に成功しているのを観察している。今回の突破口は、サードパーティのコンポーネントであり、プロトコルのコアインフラではなかった。」
この戦略は、従来の企業ネットワークのスパイ活動と高度に類似しており、北朝鮮関連の攻撃がますます防御困難になっていることを意味している。最近の事例として、Googleの研究者が広く使われているAxios npmパッケージのサプライチェーン侵入を指摘し、これが北朝鮮の特定脅威組織UNC1069に関連していることが示された。これは、攻撃者がソフトウェアがブロックチェーンエコシステムに入る前に破壊を仕掛けていることを示している。
北朝鮮のグローバル暗号業界への浸透
技術的な突破口に加え、北朝鮮は現在、世界の暗号通貨労働市場に対して大規模かつ組織的な浸透を進めている。
脅威のパターンは、リモートのハッカー活動から完全に変化し、無警戒なWeb3スタートアップ企業に悪意ある人員を直接潜入させる形に移行している。
Ethereum FoundationのETH Rangersセキュリティプロジェクトの調査によると、約6か月の調査の結果、北朝鮮のネットワーク工作員が複数のブロックチェーン企業の内部に潜伏していると驚くべき結論に至った。彼らは偽造身分を使い、標準的な人事審査を容易に通過し、内部の敏感なコードリポジトリの権限を獲得し、製品チームに静かに潜伏し、数か月から数年にわたり、正確な攻撃を仕掛けている。
独立したブロックチェーン調査員ZachXBTも、この情報機関的潜伏をさらに裏付けている。彼は最近、北朝鮮の特殊ネットワークを暴露し、詐欺的な身分を使ってリモート就労し、月平均約100万ドルの利益を得ていると明らかにした。
この手法は、認証されたグローバル金融チャネルを通じて暗号通貨を法定通貨に変換し、2025年末以降、350万ドル以上を処理している。
業界関係者の推定によると、北朝鮮はIT人員を月平均で数百万ドルの収入源としている。これにより、北朝鮮には二重の収入源がもたらされている:安定した給与収入と、内部関係者の協力による巨額の資金窃盗だ。
総盗難額675百万ドル
北朝鮮のデジタル資産事業規模は、いかなる従来のサイバー犯罪グループよりもはるかに大きい。ブロックチェーン分析会社Chainalysisによると、2025年だけで、北朝鮮関連のハッカーは記録的な20億ドルを盗み出し、その年の世界の暗号資産盗難総額の60%を占めた。
今年の激しい攻撃活動を考慮すると、北朝鮮がこれまでに窃取した暗号資産の総額は67億5000万ドルに達している。
資金を手にした後、Lazarus Groupは高度に特定化された地域化されたマネーロンダリング手法を展開している。一般的な暗号犯罪者が頻繁にDEXやピアツーピアの貸付プロトコルを利用するのとは異なり、北朝鮮ハッカーはこれらのチャネルを意図的に避けている。链上データは、彼らが中国語圏の担保取引サービス、深度のあるOTCブローカー、複雑なクロスチェーンのミキシングサービスに高度に依存していることを示している。この偏好は、構造的な制約や地理的制限のある換金チャネルを指し、無制限にグローバル金融システムにアクセスするのではなく、制限された範囲内での資金化を志向していることを示している。
防止可能か?
セキュリティ研究者や業界幹部は、防止は可能だと考えているが、暗号企業は過去の重大な攻撃で露呈した共通の運用弱点を解決しなければならない。
Humanity創設者のTerence KwokはCryptoSlateに対し、北朝鮮関連の攻撃は依然として一般的な脆弱性を突いているだけであり、全く新しいネットワーク侵入の形態ではないと述べた。彼は、北朝鮮の攻撃者は侵入手段と資金移動能力を向上させているが、その根本は依然としてアクセス制御の不備と集中運用リスクにあると指摘した。
彼は次のように説明した:「驚くべきことに、損失は依然としてアクセス制御やシングルポイントの故障といった古典的な問題に帰着している。これは、業界が未だに基本的なセキュリティ規律を解決できていないことを示している。」
これに基づき、Kwokは、最初の防御線は資産移動の難易度を大幅に高めることであり、秘密鍵や内部権限、サードパーティのアクセス権に対してより厳格な管理を行う必要があると指摘した。実践的には、企業は個人操作員への依存を減らし、特権アクセスを制限し、サプライヤー依存を強化し、コアプロトコルと外部のインフラ間により多くの検証を設けるべきだ。
第二の防御線はスピードだ。盗まれた資金がクロスチェーンやブリッジを経由して洗浄ネットワークに入ると、追跡の成功率は急激に低下する。Kwokは、取引所やステーブルコイン発行者、ブロックチェーン分析企業、法執行機関は、攻撃後の最初の数分から数時間の間に迅速に連携し、資金の阻止成功率を高める必要があると述べた。
彼の言葉は、暗号システムの最も脆弱な部分は、コード、人員、運用の交差点にあることを示している。盗難証明書、弱いサプライヤー依存、見落とされた権限の脆弱性一つで、数億ドルの損失につながる可能性がある。
DeFiの課題は、もはや堅牢なスマートコントラクトの作成だけではなく、攻撃者が次の弱点を突く前に、プロトコルの周辺の運用安全を守ることにある。