UpbitハッキングがLazarusに関連、DunamuはFIUの罰金とVASP凍結に直面

疑わしいLazarusによるハッキングで、11月27日にUpbitのホットウォレットから445億ウォンが流出。Dunamuは11月初めに352億ウォンのFIU罰金を受けた。103億ドル規模のNaverとの合併およびKRWステーブルコイン計画も現在、国家審査の対象となっている。

ハッカーは11月27日、Upbitのホットウォレットから445億ウォン（約3,000万ドル）を流出させた。このため、韓国当局は北朝鮮関連のサイバーグループであるLazarusを指摘し、事件を立ち上げた。

当局によると、その手口は2019年のUpbitホットウォレット侵害パターンと類似しているという。
その結果、Upbitの親会社であるDunamuは、即座にFIUおよびKISAの調査を受けた。

同時に、DunamuはUpbitでのすべての入出金を凍結し、内部セキュリティチェックを開始した。同社はまた、ウォレットの追跡と資産の凍結を可能な限り行うため、分析会社と協力していると述べた。

Allbridgeの流動性ギャップがUpbitハッキングのSolana–Ethereum経路を露呈

Upbitの攻撃者はまず、Solanaエコシステムの24トークンをWSOLおよびSOLにスワップした。

その後、資産は185のウォレットに分散された。次に、Allbridgeを通じてSOLをEthereumにブリッジし、ETHにスワップした。

その後、資金は185のクロスチェーンアドレスに分割され、さらに数時間以内に185以上のEthereumウォレットに分散された。攻撃者は、初期の変換バッチの一つから160万ドル以上のETHを保持していた。

Upbit Hack Arbitrage On Allbridge. Source: Trix on X

Coinbaseでは、Allbridgeのタグ付けデータとEthereumブリッジの記録がETHへの経路を示していた。

スワップが流動性の薄いプールで行われたため、20万～30万ドル単位のバッチが明確かつ公開された痕跡を残した。
そのため、WSOLおよびラップドSOL経由のSolanaからEthereumへの経路は、ブロックチェーンのトラッカーに可視化された。

FIU、Dunamuに過去最高額の罰金を科す―VASP更新は停滞

Dunamuは、Upbitの侵害前からVASPライセンスの更新に苦戦していた。
11月初め、FIUはDunamuに対し、コンプライアンス違反で352億ウォン（約2,650万ドル）の罰金を科した。

規制当局は、Dunamuが必須の顧客デューデリジェンスを530万回怠ったと記録している。

また、330万件の未承認取引がブロックされず、15件の疑わしい活動が報告されなかったことも報告された。その結果、FIUはDunamuに対し、3か月間の部分的な事業停止を命じた。

Dunamuはその後、停止命令に対して正式な異議申し立てを行った。FIU当局者によると、Dunamuの異議申し立てに関する審理は来週予定されている。

FIUの措置以降、すべての主要なKRW取引所のVASP更新は1年以上凍結されている。そのため、Upbitは更新されたVASPではなく、延長されたライセンスの下で運営を続けている。

韓国の規則では、VASPの更新は通常3年サイクルで行われるが、Dunamuへの制裁が解除されるまでカウントダウンは再開できない。

その結果、FIUとDunamuの争いは、韓国全体のVASPライセンスおよび取引所のコンプライアンス審査に影響を与える市場全体の停滞を引き起こした。

Dunamu–Naver 103億ドル合併およびKRWステーブルコイン計画が規制当局の精査対象に

Upbitの侵害は、DunamuとNaverが合併を発表した同日に規制当局に伝わった。103億ドル規模のDunamu–Naver合併は全株式取引として構成され、8,756万株の新規Naver株式が発行された。

会議では、DunamuとNaverの幹部は、国内決済ニーズに対応するためKRW担保のステーブルコインを発行したいと述べた。ステーブルコインの発行は、将来の新会社のアジア全体計画の一部として位置付けられている。

また、合併完了後はLine Messengerを地域ユーザー向けの流通チャネルとすることも指摘した。しかし、UpbitのセキュリティやDunamuの規制違反に対する積極的な調査が進行中であるため、韓国金融監督部門内で合併審査のフラグが立てられた。

規制当局は、Upbitの内部統制ログ、DunamuのVASPコンプライアンス、Ethereumブリッジのテレメトリ、Solanaウォレットの起源データを総合的に評価している。

このように、UpbitとDunamuの事案は現在並行して進行している。さらに、統合会社によるKRWステーブルコインの提案は、過去のFIU調査結果、DunamuのVASPステータス、Upbit侵害に関連するEthereumおよびSolanaでの資金洗浄証拠と照らし合わせて審査される予定だ。

規制当局、Lazarusとの関連を調査―UpbitのVASP凍結は長期化

韓国の各機関は、いくつかの点について証拠を求めている。Upbitのホットウォレットキーが外部から侵害されたのか、内部で不適切に扱われたのかを知りたがっている。

また、EthereumおよびSolana上のLazarusウォレットクラスターが、Upbit流出後に使用された185のウォレットと交差しているかどうかもマッピングしている。

もし確認されれば、Upbitの侵害はLazarusによるマルチチェーン資金洗浄事件の歴史的パターンに加わる可能性がある。

例えば、以前のUpbit攻撃は完全解決まで約5年かかっており、このような調査がいかに時間を要するかを示している。そのため、当局はDunamuがVASPライセンス更新を阻むFIU制裁に異議申し立てを行う間、そのタイムラインを参照する可能性がある。

Dunamuは、Upbitに関連する確認済み損失についてユーザーに補償すると述べた。韓国FIU当局者は、Dunamuの異議申し立てに関する法的決定が終わるまで、Upbitおよび他のKRW取引所に影響するVASP凍結を解除しないと述べている。

規制当局はまた、EthereumおよびSolanaのフォレンジックチームと連携し、Upbitウォレットの署名を既知のLazarusクラスターと照合しているとも述べた。