哥被偷了! (Brother got robbed!) — 盗まれたのはJay のApeだけではない？

King of Mandopop JayのBAYC #3738を盗んだNFTのフィッシング・キャンペーンの全容解明

2022年4月1日、King of Mandopop Jay Chou（台湾のアーティスト）が自身のInstagramアカウントに投稿し、Bored Ape Yatch Club（米国Yuga Labsが制作するApe-類人猿-モチーフにしたデジタルアートによるNFTコレクションプロジェクト）のNFT、Ape #3738が盗まれたことを710万人のフォロワーへ共有しました。彼は、エイプリルフールの冗談ではないことを強調し、偽のミントフィッシングサイトを通じて盗まれたことを伝え、NFTの盗難が現実であること、NFTスペースで警戒を怠らないことをフォロワーに呼びかけました。

Jay Chou’s Instagram Post (www.instagram.com/p/Cby6ZKxPuI9/)

フィッシングサイトが関与していたことをJayが明らかにしたことから、彼の友人-JayはNFTの作成を手伝っている友人であると述べています-がフィッシングサイトに騙されて、悪意ある者のウォレットアドレスがJayのウォレット内のBAYC(Bored Ape Yatch Club)NFTトークンを管理できるようにする取引にサインしてしまった可能性が高いと思われます。

Jayのウォレットと思われる0x71deは、BAYCトークンコントラクト（0xBC4CA）と対話し、悪意のあるウォレット（0xe34F00）のオペレータはsetApprovalForAll関数を呼び出し、「真」として承認し、次に見られるApprovalForAllイベントを発生させました。

ApprovalForAll event (Tx Hash: 0xb8a5c47dad2637b98b09e4cf97d2b7ff2ee08e344af70ae4cf2ba0e725651bb0)

このsetApprovalForAll関数は、関数を呼び出したアドレスが所有するすべてのBAYCトークンのtransferFrom関数とsafeTransferFrom関数を呼び出す権利を、指定したオペレータに付与（またはｂ撤回）できるようにします。つまり、悪意のあるウォレットがJayのウォレットに代わって、Jayウォレットから自分自身にBAYCトークンを転送する許可を得たことになります。

Documentation of the setApprovalForAll function in the BAYC Token Contract (https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d#code)

承認に成功すると、悪意のあるウォレットはBAYCトークンコントラクトと対話し、BAYC#3738をJayのウォレットから自分自身に転送し、それを盗みました。

Transfer of BAYC #3738 from Jay’s purported wallet to the bad actor wallet

Bad actor wallet’s interaction with the BAYC token contract to transfer (steal) the NFT

盗まれたのはApeだけではない?

この事件を調査した結果、JayのApeを盗んだウォレットは、より大規模なNFT盗難キャンペーンの一部である可能性が高いことをチェーン上の証拠を発見しました。

我々の調査により、このキャンペーンに関連する17の疑わしいウォレットを見つけました。

これらのウォレットは、説明しやすいように以下の3つのカテゴリーに分けています：

1. NFT盗難ウォレット (NT) — 被害者からNFTを盗み出したウォレット。

2. 保管/ロンダリングウォレット (SL) — キャンペーンから資金を受け取ったウォレットは、これらの不正な資金を保管し、トルネードキャッシュを通じて資金洗浄を行っています。

3. その他のウォレット(M) — その他、キャンペーンで資金の中継など様々な用途で使用するウォレット。

17の怪しいウォレットのリスト:

カテゴリー１: NFT盗難ウォレット(NT)

Address 1: (Suspicious) 0xe34F004BDef6F069b92dc299587D6c8A731072Da

Address 2: 0x91B9487704b3CF97DE4d0784914CfF50f5Ca117d

Address 3: 0xC64642946240251239d49dfCEE00fC8D47B7083F

Address 4: 0x87A9DCF2BA62880d3125A992D4900878f2d688cF

Address 5: 0x334a8Bb398C6Dd05A2CFFf01aBD6b887e6e4d92b

Address 6: 0x5ece881098b12ca6c1f5722Dc9D465EcBb9D9A1d

カテゴリー２: 保管/ロンダリングウォレット(SL)

Address 1: (Suspicious) 0x6E85C36e75dc03A80F2fA393055935C7f3185b15

Address 2: 0x638268f39a15Ba073d0e186b65b959aC0a8fD7A6

Address 3: 0x9630c04Ce3C60aEE0E7dEeD1699112c8cAEe1344

Address 4: 0x931831b102412823716501787a03f3EfE4878c72

Address 5: 0xD22a2083863f29795db40cb35D7Bef38D27f6808

Address 6: 0x53023b2e60c625DCB6D48b3A912842448b8B5846

Address 7: 0xEd0b0aad87046E35091dF0343F4A61e90FbF631F

カテゴリー３: その他のウォレット(M)

Address 1: 0xc3c18a43A0EFd761f645bc2e69E02fF7637f768F

Address 2: 0x92317DF37f776419E2a164C7C1e77d96E17780cA

Address 3: 0xf7441f425A8Ff8ED19cf470a03a3190083cBF89E

Address 4: 0x1669A5A10512A247AadfC5e3eBa32Ff8aDb1E3f2

また、このキャンペーンで盗まれた可能性が高いNFTは計16確認されました。これらのNFTは、以下のプロジェクトのものでした。

Bored Ape Yacht Club (BAYC), Mutant Ape Yacht Club (MAYC), Azuki, Doodles, CloneX and Bored Ape Kennel Club.

Bored Ape Yacht Club (BAYC) NFTs stolen: #1100, #3738, #5778, #8237, #9481, #9672

Mutant Ape Yacht Club (MAYC) NFTs stolen: #564, #6132, #7657, #7767, #16500

Azuki (AZUKI) NFTs stolen: #2421

Doodles (DOODLE) NFTs stolen: #725, #768

CloneX NFTs stolen: #6297

Bored Ape Kennel Club NFTs stolen: #6834

これらは価値の高いNFTを持つプロジェクトであり、フィッシング・キャンペーンを行う悪意のある者によって狙われた可能性が高いと考えます。

NFT盗難ウォレット

JayのApeを盗んだNFT盗難ウォレット#1は、NFT盗難に関与した悪意のあるウォレットであることが確定しています。論理的な推論と得られた情報により、我々のチームは、他の５つのNFT盗難ウォレットも一連の盗難に関連していると確信しています。

JayのNFTを盗んだウォレットを含め、これら６つのNFT盗難ウォレットを詳しく見てみると、次のような共通点があることがわかりました：

1. 高額なNFTをウォレットに移し替えること

2. NFTの即時売却

3. NFTの売却益のほとんどは保管ウォレットに移動

これらの高額なNFTが盗難され、直ちに売却された背景には、これらのNFTが盗まれたものであり、悪意のある者は、これらが盗まれた資産であることが社会に広まる前に、盗んだNFTをできるだけ早く売り払おうとした、という論理的説明が成り立つでしょう。NFTは非可用性（各トークンがユニーク）であるため流動性が低く、悪意のある者はこれを売却して、比較的ロンダリングしやすい他の暗号資産に交換しようとすることは驚くことではありません。

これらの共通点のほか、確認されたNFTの一部は、実際にフィッシングサイト経由で盗まれたものであることを確認する情報を入手することができました。

Twitter account likely linked to victim 0xcB9282 (a.k.a baxmachina[.]eth)

オンチェーン情報に基づき、MAYC #7767と#7657が0xcB92828352227755009D444f606a339d0937bF95からNT#2へ転送されています。このウォレット0xcB928はEthereum Name Service（ENS）ドメインbaxmachina[.]ethを所有しており、検索すると上記のTwitterプロフィールが表示されました。

このプロファイルは、確認されたのと同じ2つのMAYCの所有権を主張し、フィッシング・キャンペーンによって盗まれたことを述べています。このことから、NT#2、および同じ挙動を示す他のウォレットもNFT盗難に関与している可能性が非常に高いことが確認されました。

さらに、次に説明する資金の流れを分析することで、これらのウォレット間の結びつきを説明することができます。

これらのNFT盗難トウォレット間のリンク — 相互の資金調達

JayのApeを盗んだウォレット（NT #1）への資金の流れをバックトラックで追跡することにより、これらのNFT盗難ウォレットはすべてリンクしており、同じキャンペーンの一部であることが確認できます

まず、JayのApeを盗んだウォレットのNT #1は、NT #2から2つのトランザクションで0.9 Etherを受け取っていることが確認されました。このNT #2ウォレットは、4人の被害者から盗まれた5つのNFTの送金も受け取っていることが確認されています。

Flow of 0.9 Ether from NT #2 to NT #1 (Jay Chou NFT Thief)

NT #1へ0.9Etherを転送したほか、NT #2はNT #3と#4にも少量のEtherを送信していました。

Ether from NT #2 also flows to NT #3 and #4

これらの少量のEtherの転送は、NFT盗難ウォレット（NT）が、手数料が必要なOpenseaやLooksRareなどの様々なNFTマーケットプレイスで盗んだNFTを販売できるようにするための資金調達であったと思われます。NT #2が他のウォレット（NT #1、#3、#4）の資金源として使用したEtherは、盗んだNFTを販売することで得た収益から得られたものです。NT #2自体は、ミキシングサービスであるTornado Cashから0.1Etherを引き出すことで資金を調達しています。

NT #2は0.9Etherを受け取ったほか、NT #1はM #1から1Etherの資金を受け取っていました。この1Etherは別のNFTセフトウォレットであるNT #5からのもので、同様にNT #5が盗んだ3つのNFTのうち2つを売却して得た収益によるものでした。

NT #6 funds NT #5, which subsequently funds NT #1

予想通り、NT#5の資金源はNT#6が盗んで売ったBAYC#8237の売却益でした。NT #6はキャンペーンで使用された最初のNFT盗難ウォレットで、興味深いことにGnosis ChainからOmniBridge経由でブリッジされたEtherによって最初の資金が提供されました。

盗んだNFT売却益の保管とロンダリング

キャンペーンで使用された新しいNFT盗難ウォレットに資金を供給するほか、盗まれたNFTの売却金の大部分は、悪意のある者が各盗難ウォレットから個々の保管／ロンダリング（SL）ウォレットに移動させました。

これらのウォレットは全部で7つあり、下図の全体概要で青いノードとして表示されています。これらのウォレットの中には、Tornado Cashを通じて資金の受け渡しを開始しているものもあれば、単に資金を保有しているだけのものもあります。

Overview of entire NFT Theft/Phishing campaign

悪意のある者の手口は明らかです。NFTを盗み、すぐにEtherで売却し、その収益で新しいNFT盗難ウォレットに資金を供給するか、収益を保管/ロンダリングウォレットに転送し、Tornado Cashを通じて保管またはロンダリングします。

盗難したNFTの売却益をNFTの転売に使用?

興味深いことに、この悪意のある者は、盗んだNFTの売却益を使ってNFTを購入し、利益を得るために「転売」していた事も確認されています。下図のように、売却益を保管/ロンダリング ウォレット (SL #6) 0x53023b に送金して AZUKI #9180 を購入し、その後数日後に売却して約1.6 Etherの利益を得ています。

NFT sale proceeds from stolen BAYC #8237 flows to SL #6 (0x53023b), which flipped Azuki #9180

SL #6 (0x53023b) bought Azuki #9180 for ~15.58 Ether

SL #6 (0x53023b) flipping Azuki #9180 for ~17.19 Ether a few days later

悪意ある者によるBinance出金の可能性？

また、その他のウォレットM#4はNT#6から少量のEtherを受け取り、M#3を経由していたことが確認されています。このウォレットはBinance Exchangeから0.072672 Etherという少額の引き出しを受けたことが確認されています。NT #6の資金の流れから、M #4もこのキャンペーンに属している可能性があり、Binanceの引き出しは悪意のある者によって行われた可能性があります。

Flow of funds from NT #6 to M #4, which received a withdrawal from Binance Exchange

暗号資産・NFT領域における安全性の確保について

NFTに対する社会の関心が高まる中、悪意のある者が、この活況な市場に惹きつけられるのは必然的なことです。最近、偽のNFTプロジェクトに関連するフィッシングサイトが急増していることからも、これは明らかです。

暗号資産/NFT分野の参加者は、取引を行う際に警戒を怠らず、疑わしいウェブサイトには近づかないようにする必要があります。Uppsala Securityでは、暗号スペース全体を保護することは、コミュニティの努力で達成されると信じています。疑わしいサイトやフィッシングサイトに遭遇した場合は、遠慮なく私たちのチームに報告してください。必要な調査を行い、コミュニティの他のメンバーがこのような詐欺に引っかかるのを防ぐお手伝いをします。

UPPwardは、ウェブと暗号スペースを行き来するユーザーにとって、より安全なブラウジング体験を提供することを目的とした当社のブラウザ拡張機能です。UPPwardを通じて、ユーザーは、特定のドメインまたはウォレットアドレスが悪質であると当社チームによって特定されているかどうかを確認することや、怪しい情報を報告することもできます。UPPwardの詳細については、こちらをご覧ください。

https://uppward.sentinelprotocol.io/

デジタル資産の追跡調査を必要とする被害者は、当社のチームが提供するデジタル資産追跡サービスを利用することもできます。このサービスの詳細については、以下を参照してください。

https://uppsalasecurity.com/trackingsvc.

About Uppsala Security

Uppsala Securityは、人工知能、ブロックチェーン技術、機械学習を搭載した初のクラウドソース型脅威インテリジェンス・プラットフォームであるSentinel Protocolを構築しました。このフレームワークを支えているのは、経験豊富なサイバーセキュリティの専門家チームです。彼らは、暗号AML/CFT、取引リスク管理（KYC/KYT）、取引追跡、規制遵守、サイバーセキュリティのための高度なツールとサービスの受賞歴のあるスイートを開発し、あらゆる種類と規模の組織が厳しい規制遵守基準に適合しながら悪質な攻撃や詐欺から暗号資産を保護することができるようにしています。現在、Uppsala Securityは、政府機関、金融機関、暗号取引所、決済サービス、ウォレット、カストディアンサービス、ゲーム、フィンテックソリューションなどを提供する大手企業を含む2,000社以上のユーザーを抱えています。

- — -

Uppsala Securityは、 Telegram, LinkedIn, Twitter, Facebook and Mediumでフォローできます。