[Ohayo#5] Stakeの犯人を追跡してみた
みんなもオンチェーンの民になろう
最近DeFiでのハッキング(スマコン等を悪用したexploit)被害以外はあまり聞いていませんでしたが、昨晩意外なところで大規模なハッキングが発生しました。それは日本語対応してて日本人でインフルエンサーマーケも行っていた大手オンラインカジノサイト「Stake」です。もちろん日本国内でも昨晩から話題になっていました。
今日のOhayoでは明らかになっている事件に関する情報の整理と、オンチェーンから分かる情報を解説してまとめたものです。ちなみに昨日のOhayoはこちら↓
![[Ohayo#4] Modeのtestnetを触ってみよう](https://substackcdn.com/image/fetch/w_140,h_140,c_fill,f_webp,q_auto:good,fl_progressive:steep,g_auto/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fc57c98e8-e5a6-47e4-95b1-4a5850e14963_1920x1080.png)
※トピックにオンラインカジノを含みますが、日本居住者に一切のオンラインカジノ利用勧誘を行う目的のものではありません。日本国内から日本居住者がオンラインカジノ提供サイトに接続して賭博を行うことは「違法」行為です。
まず話題になったのはおそらくPeckShieldのこのツイート、日本時間で23時すぎのこと。そして今日の日付が変わってすぐの日本時間0時37分にはWatcher.Guruから事件に関するツイートがされたのでこれで知った方も多いでしょう。
その約1時間半後には公式からもツイートがあり、事件についての事実報告と現状のサポート内容についてをユーザーに端的に知らせました。
今回ハッキングにより資金流出が起こったのは、Stake.comのHot walletとのこと。まずはStakeのHot walletを探してみましょう。
Ethereum: 0x974caa59e49682cda0ad2bbe82983419a2ecc400
BNB Smart Chain: 0xfa500178de024bf43cfa69b7e636a28ab68f2741
Polygon PoS: 0x019d0706d65c4768ec8081ed7ce41f59eef9b86c
それぞれのチェーンから流出した資金を次に追ってみます。
Ethereumでの流出先と資産量
0x3130662aece32F05753D00A7B95C0444150BCd3C(hacker wallet)
6001 ETH
3,900,000 USDT
1,100,000 USDC
899,999.99 DAI
hackerの移転先アドレスリスト
0x1154926C6AC4Be7A6C979D11ca2921D3e77BaaA1
→ 0xbda83686c90314cfbaaeb18db46723d83fdf0c83
0x7a3207749fEA74Ef4Fc80317F998D882E87D9177
→ 0xba36735021a9ccd7582ebc7f70164794154ff30e
0x33E50b62dd19acadf785D93e82638eCb44AbFb45
→ 0x7d84d78Bb9B6044a45fA08B7fe109F2C8648ab4E
0x94F1b9B64E2932F6a2Db338F616844400cD58E8A
BNB Smart Chainでの流出先と資産量
0x4464E91002c63a623A8A218bD5Dd1f041B61ec04(hacker wallet)
12,000 BNB
1,350,000.7 USDT
1,299,999.99 BUSD
400,000 USDC
200 ETH
83,899,999,999.99 SHIB
300,000 MATIC
hackerの移転先アドレスリスト
0x327797E2aED0f9B329FC50C9B692CE61E0e353F2
→ 0x0004a76e39d33edfeac7fc3c8d3994f54428a0be
0xecd0A2C4BA8a0D8CF28A741872f336F86d62222e
→ 0x95b6656838A1D852dD1313C659581F36B2AfB237
0x1a43890A1F9e28430569b0Dba6EF69371C93D6b5
→ 0xbcedc4f3855148df3ea5423ce758bda9f51630aa
0xc5dFcD050Aaf9fb2eeBC320556f76B69F499E068
→ 0xe03a1ae400fa54283d5a1c4f8b89d3ca74afbd62
0xff29a52A538f1591235656F71135C24019bf82E5
Polygon PoSでの流出先と資産量
0xfe3F568d58919B14aFf72BD3F14e6f55Bec6C4E0(hacker wallet)
3,249,999.99 MATIC
170,000 USDC
120,000 USDT
70,000 DAI
hackerの移転先アドレスリスト
0xe363a973717f30e675fda17cf56d960db5ad5abd
→ 0xa2e898180d0bc3713025d8590615a832397a8032
0xad8f9dc9aa8fa52d758b56281867d60a50c51c05
→ 0xa26213638f79f2ed98d474cbcb87551da909685e
0x7dd05d50dbade74957b6222895285200d3aab62e
→ 0xf835cc6c36e2ae500b33193a3fabaa2ba8a2d3dc
0x32860a05c8c5d0580de0d7eab0d4b6456c397ce2
上記のウォレットが日本時間9月5日6時30分時点での資産移動です。ここで今回の資金移動について結構謎だなって思った点をまとめてみました。
hacker walletから複数のウォレットに資産を分散した後にそのウォレットを経由してすぐに違うウォレットに行っている
チェーン毎になぜかうち一つのウォレットからは一切の資金移動がされていない
一般的に1つのprotocolから資金が盗まれた場合は単一チェーンなのでマルチチェーンである例は少ないが、これだけのアドレス数を管理して資金を分散しているのにすべてEVM系でアドレス被りがない
このような感じでみなさんもオンチェーン情報を利用してハッカーの特定と追跡は誰でも可能なのでぜひやってみましょう。踏み込んだオンチェーン分析を行いたい場合はぜひ過去のDune講座をぜひご覧ください。
![[8.17] 形で覚えるDune使い方講座<初級>](https://substackcdn.com/image/fetch/w_140,h_140,c_fill,f_webp,q_auto:good,fl_progressive:steep,g_auto/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fd3e74bdc-c5b2-4bf0-8859-e2c1f32dc5a3_1728x963.png)
![[8.26] これで一人前!Dune講座総集編](https://substackcdn.com/image/fetch/w_140,h_140,c_fill,f_webp,q_auto:good,fl_progressive:steep,g_auto/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fdd8f880e-5b10-4df7-8138-984c89659b47_1200x630.png)
ここから実際に動きがあった場合はこれからのニュースレター追加で情報をまとめていきます。ぜひメールアドレスの登録をよろしくお願いします。普段は毎朝7~8時と夜にニュースレターを配信しています。昨晩のニュースレターはこちら↓
![[9.04] Web3情報収集ソースまとめ](https://substackcdn.com/image/fetch/w_140,h_140,c_fill,f_webp,q_auto:good,fl_progressive:steep,g_auto/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F84a6784d-5cf2-433e-a129-f7ba8c076462_1200x630.png)