オイラーファイナンスのハッキング事件！予想できない展開で2転3転

DeFi(分散型金融)のレンディング・プロトコルであるEuler Finance(オイラーファイナンス)から、1億9,700万ドル(約257億8,700万円)という多額の資産が盗まれました。

北朝鮮との関連が疑われるハッカーに対して、Euler Finance側は全額の返還を求めていますが、時を経るにつれて事件は予想外の動きを見せています。

※1ドル＝130.9円、1ETH=226,800円で換算

2023年最大のハッキング事件発生【フェーズ1】

ハッキング事件が発生したのは3月17日のことで、被害総額は1億9,700万ドルに上り、2023年に入ってからでは最大規模の盗難事件です。しかし翌18日、ハッカーのアドレスから3,000ETH、日本円で約6億8,000万円が、Euler Financeの管理者アドレスに返金されました。

Euler Financeは、ハッキング直後、ハッカーの追跡に協力してくれる相手に対して、ハッカーの逮捕と資産の返還に至った場合、100万ドル(約1億3,100万円)の賞金を出すことを発表。同時にその他の情報提供も呼びかけました。

EulerラボのCEO(最高経営責任者)マイケル・ベントレー(Michael Bentley)氏は、不快感をあらわにしながらも、Euler Financeがこれまで万全のセキュリティ対策をとり、現在も特別チームが事件の真相を捜査していることを自身のツイッターで述べています。

ブロックチェーン調査プラットフォームのChainalysis(チェイナリシス)によると、ハッカーが盗んだ資金のうち100ETH(約2,268万円)が、北朝鮮に関わるアドレスに送金されたとのことです。

ハッカーとの交渉【フェーズ2】

3月20日になると、オンチェーンのメッセージを通じて、Euler Financeとハッカーとの交渉が始まりました。

まずハッカーから、「我々は関係者全員が容易に事を進めることを望む。我々が関わっていない件はどうでもいい。安全なコミュニケーションを構築し、合意に達しよう」というメッセージが送られてきます。

それに対してEuler Financeは、「メッセージは受け取った。そちら側が望むどのようなコミュニケーション手段でもいいので、プライベートで話がしたい」と答えています。

その後Euler Financeはハッカーに対して、盗んだ資産の90%を返還してくれれば、残りの10%は報酬として認めるという妥協案を提示しました。しかしハッカーからの返答はありませんでした。

さらに同20日、別なオンチェーンのアドレスがEuler Financeにコンタクトをとり、ハッカーを特定するための手段を見つけたという情報を提供しました。

ハッカーvsハッカー【フェーズ3】

ところが、ここから事件は意外な展開を見せます。今回のハッカーに対して、別なハッカーが接触を試みたのです。

このハッカーは「ローニン(Ronin bridge exploiter)」と呼ばれ、2022年3月にNFTゲームで有名なAxie Infinity(アクシーインフィニティー)から、6億2,500万ドル(約818億3,000万円)を盗んでいます。

ローニンはEulerのハッカーに対して、暗号化されたメモを送信し、暗号を解除して読んでほしいというメッセージを送りました。CoinDeskの分析によると、このメッセージはEulerのハッカーのウォレットから信任状を盗み取るための、フィッシング詐欺メールだというのです。

ローニンからメッセージが送られた数分後、今度はEuler Financeがそれぞれのメッセージに介入しました。

Euler Financeのディベロッパーはハッカーに対して、「この状況から抜け出す方法はただ1つ、我々に資産を返還することだ。ローニンのメッセージを開けたり、プライベートキーを使ったりしてはいけない。すでに君たちのシステムも狙われているからだ」と述べて詐欺への注意喚起をしています。

こうした現状については、さまざまな憶測が飛び交っています。1つはEulerのハッカーが盗んだ資産を、ローニンが狙っているというもの。または、ローニン側が何らかの申し出を行っているというもの。しかし暗号化されたメッセージが開けないため、未だに真相は分かりません。

その後、これら2つのハッカーから、Euler Financeへの接触はありません。