Bybitから盗まれたETH15億ドル
その後の動きと北朝鮮ハッカーの手口

ハッカー集団は盗み出した15億ドル相当のETHの追跡を困難にするため、様々な暗号資産への分散を進めています。主にUniswapなどの分散型取引所（DeFi）を利用して、ETHをUSDCやUSDTといったステーブルコインに変換したり、複数のブロックチェーン上のウォレットに資金を分散させる戦略を取っています。

特徴的なのは、ハッカーが意図的に「ミス」を装った取引を行っていることです。
例えば、90,000 USDC（約90,000ドル相当）をわずか2,300 USDT（約2,300ドル相当）に交換するような、明らかに不利な取引を実行しています。
これは経験の浅いトレーダーの「失敗」を装い、資金の出所を隠す巧妙な手口です。

ハッカー集団がUniswapのようなプラットフォームを選択する理由は、その高い匿名性と利便性にあります。
Uniswapでは「流動性プール」という仕組みが採用されており、これはユーザーが提供したトークン（例：USDCとETH）がプールに集められ、他のユーザーがそのプールを介して通貨を交換できるシステムです。

重要なのは、大量の資金を一度に交換すると、プール内のトークンバランスが崩れる点です。その結果、交換レートが通常の市場価格（例えば1 USDC = 1 USDT）から乖離します。 ハッカーはこの特性を利用して、複雑な取引パターンを作り出し、資金の流れを追跡しにくくしています。

「スリッページ」とは、取引の規模が大きい場合に、予想した交換レートと実際のレートの間に生じる差異を指します。
例えば、1 USDTで1 USDCを得られるはずが、大量取引によって市場が急変動し、0.95 USDCしか受け取れなくなるような現象です。

通常のトレーダーはこのスリッページを避けようとしますが、北朝鮮のハッカー集団はこれを意図的に利用しています。
彼らは市場価格から大きく逸脱した取引を行うことで、資金洗浄（マネーロンダリング）の痕跡を残しにくくする戦略を取っています。

一般的に避けられるこのような不利な交換レートを敢えて選択することで、捜査機関の追跡を混乱させる高度な手法を駆使しているのです。

FBIやサイバーセキュリティの専門家による分析では、ハッカー集団の戦略は多層的かつ計画的です。
彼らは盗んだ15億ドル相当のETHをビットコインや他の暗号資産に迅速に変換し、数百の異なるウォレットに資金を分散させています。

特に注目すべきは、UniswapやOKXのWeb3サービスなど、KYC（本人確認）が緩いプラットフォームを戦略的に選んでいる点です。
これらの匿名性の高いサービスを活用することで、資金の出所を効果的に隠しています。

また、彼らは資金の追跡や凍結を回避するために、意図的に「損失」を出す取引を繰り返しています。
こうした戦略により、合法的な取引と区別がつきにくくなり、捜査機関の追跡作業を著しく困難にしています。

ブロックチェーン分析企業とFBIは、盗まれた資産のウォレットアドレスを特定し、主要な取引所やサービスプロバイダーに警告を発しています。
これにより一部の資金の動きは監視下に置かれていますが、完全な回収への道のりは険しい状況です。

特に難しいのは、暗号資産の持つ匿名性と分散型取引所の特性により、従来の金融犯罪捜査手法が効果を発揮しにくい点です。
追跡技術が進化する一方で、ハッカー側も対抗策を次々と編み出しています。

さらに、国際的な要素も捜査を複雑にしています。ハッカー集団は中国の銀行口座や複数の国境を越えたサービスを利用しており、各国の法執行機関の緊密な連携が不可欠となっています。
サイバー犯罪に対する国際的な法的枠組みの違いも、迅速な対応を難しくしている要因の一つです。