ざっくり言うと
- 仮想通貨オンラインカジノ Stakeがハッカーの被害に
- 約60億円相当の仮想通貨が流出
- 盗まれた資金に関連するアカウント所有者には全額が返却される見込み
2023年9月6日、サイバーセキュリティ会社のCyvers社は、仮想通貨オンラインカジノ Stakeで約1,570万ドル(約23億円)相当の仮想通貨がハッカーにより流出したと発表しました。さらにその後、オンチェーンのハッキングや詐欺の調査を行うZachXBT氏が約2,560万ドル(約38億円)が流出したと発表しました。
ハッキングによる資金流出は相次いでおり、2022年には37億ドル(約5,458億円)以上の仮想通貨が流出、2023年7月23日にも決済プロバイダーのAlphapo社から3,100万ドル(約46億円)が流出しています。
被害にあった仮想通貨オンラインカジノ Stakeは、オーストラリアに拠点を置き、ユーザーは仮想通貨を入金してギャンブルを行うことができます。サッカープレミアリーグのエバートンやF1のアルファロメオの公式スポンサーで、ラッパーのドレイクと年間1億ドル(147億円)相当のパートナーシップ契約を結び話題を集めました。フィナンシャル・タイムズによると、2022年の収益は26億ドル(約3,835億円)。
今回のハッキングは9月4日に発生し、Stakeは迅速にオンラインプラットフォームからの入金および出金を一時停止しました。Cyvers社によると、盗まれた仮想通貨ステーブルコインは、イーサリアム(ETH)に替えられ、複数のウォレットに送金されたとのことです。また、ZachXBT氏は、イーサリアム・ブロックチェーンで1,570万ドル、ポリゴンとバイナンス・スマート・チェーン(BSC)で2,560万ドルが流出したとし、Cyvers社の主張を裏付けています。
Stakeは、現時点で流出の詳細は調査中であるものの、ユーザーの資金は安全であるとの声明を発表し、盗まれた資金に関連するアカウント所有者に全額を返却する手続きを進めているとのことです。
<9月9日追記>
FBI(米連邦捜査局)は、Stakeのハッキングは、北朝鮮のハッカー集団「ラザルス・グループ(Lazarus Group)」によるものと発表しました。FBIは、今回の事件では、ラザルスはスマートコントラクトのバグを突くのではなく、ホットウォレットの秘密鍵を盗んだか、流出させたと分析しています。また、ラザルスが盗んだ仮想通貨を移したとされる33の仮想通貨アドレスを公開しています。