Kelp DAOエクスプロイト後、北朝鮮が4月に5億7800万ドル相当の窃盗に関与

Kelp DAOは土曜日に2億9200万ドルのハッキング被害を受け、今年これまでで最大の暗号資産エクスプロイトとしてDriftを上回った。北朝鮮に関連するハッカーが攻撃の背後にいると疑われている。

Kelp DAOは月曜日に、このエクスプロイトはクロスチェーンメッセージングプロトコルLayerZeroのインフラ障害に起因すると発表した。LayerZeroは、Kelp DAOがクロスチェーンメッセージの承認に単一の検証者設定を使用したことが侵害を可能にしたと述べた。

LayerZeroは、「初期指標」によりエクスプロイトをTraderTraitorに帰属させたと述べた。TraderTraitorは、Lazarus Groupとして知られる北朝鮮の国家支援ハッキング部隊のサブグループである。

ブロックチェーン調査員Tanuki42の調査結果でもTraderTraitorとの関連が判明した。Tanuki42は火曜日、Kelp DAOインシデントで盗まれた資金が同グループに関連する以前のエクスプロイトと混合していると述べた。

北朝鮮による分散型金融プラットフォームを標的としたサイバー活動は4月に加速しているが、その手口は企業やエンドユーザーにも脅威をもたらしている。

北朝鮮の暗号資産スキームが再び注目を集める

分散型取引所Driftへのエイプリルフールのエクスプロイトは総額2億8500万ドルに上り、今月の主要インシデントにおける北朝鮮関連と疑われる暗号資産窃盗額は少なくとも5億7800万ドルに達した。

この2件の攻撃は、Bybitハッキング以降、北朝鮮の関与者に帰属する最大の暗号資産強盗である。

暗号資産業界はすでに、DPRK関連の工作員がITデベロッパーを装ってテクノロジー企業でのリモートジョブを獲得していることを把握している。セキュリティー研究者と国連は、この手口が北朝鮮の兵器プログラムを支援するために数百万ドルを生み出していると述べている。

関連記事：北朝鮮のサイバースパイはもはやリモートの脅威だけではない

3月、米財務省は北朝鮮のITワーカー詐欺スキームへの関与が疑われる6名の個人と2つの組織に制裁を科した。FBIも6月にガイダンスを発表し、雇用主に対して候補者の職歴を確認し対面での面接を求めるよう勧告した。

しかし、Driftエクスプロイトは平壌のサイバー工作員が適応していることを示唆している。この分散型金融（DeFi）プラットフォームは、11月の大型暗号資産カンファレンスでクオンツ取引会社を装った人物たちに直接接触されたとコントリビューターが述べた。攻撃者は侵害前にコミュニケーションを続け、信頼を構築し続けた。

小規模な攻撃も並行して続いている。暗号資産ウォレットプロバイダーZerionは、DPRK関連の工作員が別のインシデントでAI支援のソーシャルエンジニアリングを使用して約10万ドルを盗んだと述べた。

北朝鮮がこのような告発に応じることはほとんどないが、外務省は2020年5月にサイバー攻撃への関与を否定し、米国が自国のイメージを傷つけようとしていると非難する声明を発表した。

DPRKの手口が波及し、個人向け暗号資産詐欺が急増

連邦捜査局（FBI）は2025年インターネット犯罪申告センター（IC3）レポートで、暗号資産関連の犯罪苦情が21%増加したと報告した。FBIは2000年にIC3を立ち上げ、米国内の被害者がオンライン詐欺を報告するためのポータルとした。

2025年における暗号資産関連案件は181,565件の苦情に関連し、総損失額の半分以上にあたる113億7000万ドルの損失をもたらした。

関連記事：北朝鮮のスパイがミスを犯し、偽の就職面接で関係を暴露

60歳以上の米国の高齢者が最も多くの暗号資産関連苦情を申告した。投資詐欺が最大のカテゴリで61,559件の苦情が寄せられ、そのうち13,685件は60歳以上の人々からだった。

だからといって、個人向けセクターが北朝鮮関連の活動に無縁というわけではない。昨年11月に発表された調査では、DPRK関連の工作員がリモートITワーカースキームを支援する個人もリクルートしていることが判明した。

2025年を通じて、Telefónicaのサイバー脅威インテリジェンス専門家Heiner Garcíaは、北朝鮮の工作員と疑われる人物と接触した。

Garcíaは以前Cointelegraphに対し、その人物がフリーランスプラットフォームのVPN制限を回避するプロキシとして自分を利用しようとしたと語っていた。この手口は、AnyDesk等のリモートアクセスソフトウェアをインストールすることで、被害者のデバイスをローカルの管轄区域で使用するものだ。

2024年8月、米司法省はDPRKのITワーカーが盗まれた身元を使って米国在住の従業員に見せかけることを可能にした「ラップトップファーム」の運営でMatthew Isaac Knootを逮捕した。2025年7月、Christina Chapmanは北朝鮮のITワーカーが1700万ドル以上を稼ぐのを支援した罪で8年以上の禁固刑を言い渡された。

DPRK関連工作員が盗んだ資金の凍結に伴うトレードオフ

Kelp DAOハッキングのユニークな要素は、エクスプロイトに関連する30,766 ETHを凍結するというArbitrum Security Councilの決定だった。

暗号資産の精神は分散化にあるが、大型ハッキングへの対応は業界を分断し続けている。セキュリティー専門家が行動を求める中でも、最小限の介入を志向するプロジェクトもあり、介入が適切なタイミングについてのコンセンサスはほとんど形成されていない。

Ledger CTOのCharles Guillemet氏は火曜日、今回の結果は「おそらく」良いものだが、快適なものではないと述べた。資金を凍結することでさらなる損失を防いだ可能性が高い。不快感はこの行動が何を明確にするかにある。

Arbitrum Security Councilはバグを悪用したわけでも、バックドアを発見したわけでもない。状態をオーバーライドするための意図された権限を行使したのだ。その権限は設計上存在しており、信頼できる中立的インフラというコンセプトと緊張関係にある。実際には、今日のロールアップ上の資産は特定の条件下でガバナンスの決定によって影響を受けることがある。

GuilleemetはそのトレードオフをKelp DAOエクスプロイトの脅威環境と結び付けている。Kelp DAOエクスプロイトは新たなスマートコントラクトのバグに依存したものではなかった。インフラと設定の脆弱性を露呈し、攻撃がコードを超えてそれを支えるシステムへと移行していることを示した。

同時に、北朝鮮に関連するグループは、複数の面からそれらのシステムを探索できる潤沢なリソースを持つ持続的な脅威アクターへと進化している。

これにより業界は、介入を受け入れるか、取り消せない損失を受け入れるかという二択に分かれている。

Magazine：Adam Backは現在の需要がビットコインを100万ドルに押し上げるには「ほぼ」十分だと語る