タイトル:ケルプ $292m はどこへ行ったのか?洗浄の解剖学 著者:@the_smart_ape 翻訳:Peggy、BlockBeats
著者:律動BlockBeats
出典:
転載:火星财经
編集者のコメント:4月18日、Kelp DAOが攻撃を受け、約2.92億ドルの資産が盗まれた。では、完全に公開されたブロックチェーンシステムの中で、この資金は一体どのようにして「洗浄」され、流通可能な資産へと変貌を遂げたのか?
この記事はこの事件を契機に、高度に工業化された暗号洗浄ルートを解剖する:攻撃前の匿名インフラ整備から、Tornado Cashを利用して链上の関連性を断つまで;AaveやCompoundを用いて「有毒資産」を担保にしてクリーンな流動性を引き出す過程、さらにTHORChainやクロスチェーンブリッジ、UTXO構造を駆使して追跡の難易度を指数関数的に拡大し、最終的にTron上のUSDT体系に流入し、OTCを通じて現実世界の現金に換金されるまでを追う。
この過程には複雑なブラックボックス操作はなく、ほぼすべてのステップが「ルールに従って行われている」。そのため、このルートが明らかにしているのは、単一の脆弱点ではなく、DeFi体系の開放性、組み合わせ性、そして監査不可能性の下にある構造的な緊張だ——これらの操作をプロトコル設計自体が許容している以上、「資金回収」は技術的な問題ではなく、システムの境界の問題となる。
Kelp DAO事件は、単なるセキュリティ事故にとどまらず、暗号世界の運用ロジックに対する圧力テストのようなものだ:ハッカーがあなたの資金を彼の資金に変える方法を示し、またこの体系が原則的にこの過程を阻止しにくい理由も明らかにしている。
ご存知の通り、4月18日、北朝鮮のハッカーがKelp DAOから2.92億ドルを盗んだ。5日後、その半分以上が既に消失し、数千のウォレットに散らばり、停止できないプロトコルを経由して交換され、最終的に非常に特定の目的地へと流れ着いた。
面白いのは、証拠のある2.92億ドルの盗難暗号資産が、誰も阻止できない状況で、平壌のポケットの現金に変わる過程だ。
この記事の目的は、現代の暗号洗浄の全フローがなぜ動いているのか、その構造上阻止できない理由、そして洗浄された1ドルごとに何を買ったのかを明らかにすることだ。
第一段階:準備(攻撃数時間前)
攻撃者は直接盗みを始めたわけではない。Lazarus組織の手法は、常にインフラの準備から始まる。
攻撃の約10時間前、8つの新規ウォレットがTornado Cashに事前に資金を注入した——Tornado Cashはミキサーであり、資金の出所と行き先の関連性を断つことができる。
各ウォレットには0.1 ETHが送られ、後続のすべての操作のガス代に充てられる。これらのウォレットの資金はミキサーからのもので、取引所のKYC記録もなく、過去の取引履歴もないため、既知の主体と関連付けられない。クリーンな白紙状態。
攻撃前夜、攻撃者はEthereumメインネットからAvalancheとArbitrumへ3回のクロスチェーン送金を行った——目的は明らかにこれらのL2上でガスを事前に用意し、クロスチェーンの操作をテストし、大口送金時のスムーズさを確認することだった。
第二段階:盗取
独立した攻撃用のウォレット(0x4966…575e)がLayerZeroのEndpointV2コントラクト上のlzReceive関数を呼び出した。検証者が成功裏に騙されたため、この呼び出しは合法的なクロスチェーンメッセージとみなされた。KelpのクロスブリッジコントラクトKelp DAO: RSETH_OFTAdapter(Etherscanアドレス:0x85d…)は直ちに0x8B1に116,500枚のrsETHを解放した。
流通しているrsETHの18%。一度の関数呼び出しで、資金は消えた。
46分後、UTC時間18:21に、Kelpの緊急マルチシグがプロトコルを停止した。UTC時間18:26と18:28に、攻撃者は全く同じ方法で再度操作を試み、約40,000枚のrsETH(約1億ドル)を盗もうとした。いずれもKelpが即座に停止したためロールバックされた。もしそうでなければ、今回の盗難総額は5億ドル近くに達していた可能性がある。
第三段階:Aave + Compound操作
rsETHは証明書トークンであり、Kelpがクロスブリッジを停止したり、盗まれたトークンをブラックリストに登録したりすると、その価値は即座にゼロになる。攻撃者には数分の猶予しかなく、それを使って凍結不能な資産に変換したかった。Kelpが盗難から46分後に停止した時点では、すでに遅かった。
2.92億ドルの流動性のないrestakingトークンを直接公開市場で売却すれば、数分で価格が30%以上崩壊するため、攻撃者は売却を選ばず、DeFiの借入プロトコルを洗浄ツールとして素早く利用した。
受取ウォレット0x8B1は、盗まれた116,500枚のrsETHを7つの分岐ウォレットに分散送金した。各分岐はすぐにAaveやCompound V3に入り、一部のrsETHを担保にしてETHを借り出した。
7つの分岐の合計ポジションは以下の通り:
·担保に入れたrsETH:89,567枚
·借り出したETH:約82,650枚のWETHと821枚のwstETH、合計約1.9億ドルのクリーンな流動資産
·各分岐のヘルスファクターは1.01〜1.03に設定——清算前の許容上限
攻撃者は、これらの価値2.92億ドルの、すでにマークされてほぼ換金不能なrsETHを使い、1.9億ドルのETHに換えた。最終的にこれらのrsETHがほぼゼロに近づき(Kelpのクロスブリッジ資金は債務超過で引き出せず)、借入プロトコルの預金者が損失を被った。
市場がAaveが2億ドル超の不良債権を抱えていることに気づき、ユーザーはパニック的に資金を引き揚げた。Aaveは48時間以内に総ロック量(TVL)で800億ドルを失った。これは最大のDeFiレンディングプロトコルが、設計通りに完全な銀行引き出しを経験した最初の事例だ——引き金は、攻撃者が完全にプロトコルの設計を利用したことにある。
第四段階:資金の統合と分割
Aave/Compoundから借入を完了した後、7つの分岐は借りたETHを第3層の統合ウォレット(0x5d3)に送った。
この操作のクラスターは、今や明確な三層構造を呈している:
1、受取:0x8B1(同じくTornado Cash経由で資金注入)、盗取した116,500枚のrsETHを受け取る
2、操作:7つのTornado Cash経由の分岐ウォレットがAave/Compound操作を実行
3、統合:0x5d3が約71,000 ETHの借入資金を再集約し、洗浄の流れに統一
資金はその後、2つのチェーンに分散:
·75,700 ETHがEthereumメインネットに残る
·30,766 ETHがArbitrumに(約7100万ドル)
Arbitrumのセキュリティ委員会は、この資産の凍結を投票で決定し、7100万ドルを後続のガバナンス解放可能な管理ウォレットに移した。
凍結後まもなく、ハッカーはメインネットの残りのETHを移動させ、洗浄を加速させた。これらの動きから、彼はArbitrumがこの措置を取るとは予想していなかったことが明らかだ。
第五段階:第一波の洗浄
攻撃から4日後、0x5d3は資金を清算し始めた。Arkhamは数時間以内に3つの独立した送金を追跡した。
タイミングは意図的に選ばれた:火曜日のヨーロッパの取引時間帯。米国の調査官は休暇中、ヨーロッパの規制当局は月曜日の未処理案件を処理中、アジアの取引所は閉店間近。
その後、送金パターンは爆発的に拡散。最初の目的地はすぐにさらに60の新規ウォレットに拡散され、0x62c7は約60の新規ウォレットに、0xD4B8は別の約60に送金した。数時間以内に、整然とした10のウォレット群は100以上の使い捨てアドレスに拡大し、すべて並列で資金注入され、各アドレスの金額は検知を回避できるほど小さくなった。
LazarusはHDウォレットスクリプトを動かし——1つのニーモニックフレーズから数秒で何千もの新規アドレスを導き出し、ワーカープール(Python + web3、ethers.js、または内部ツール)を用いて並列に署名・ブロードキャストし、アドレスツリー全体を操作している。このコードは2018年から継続的に改良されている。
この段階の終わりには、追跡可能な链の連鎖は消失し、10のウォレット操作群は100以上の断片化されたウォレットに爆発し、資金は複数の独立した入口からプライバシー軌道へと流入した。
第六段階:THORChain——脱出マシン
本当の断点はTHORChainにある。
THORChainは、クロスチェーンのネイティブ資産交換をサポートする分散型プロトコルだ。イーサリアム上のETHを送れば、ビットコインネットワーク上でBTCに変換される。
4月22日のみで、THORChainの24時間の交換量は4.6億ドルに達した。通常の平均取引量は約1500万ドル。この攻撃では、1日の取引量の30倍に相当する資金が流れた。
同じ24時間内に、プロトコルは49.4万ドルの収益を生み出し、ボンダー(ノード運営者)、流動性提供者、開発基金、アライアンス統合者、マーケティング基金に分配された。
同時に、資金はより小規模だが補完的なプライバシー軌道を並行して流動させている:
·Umbra:イーサリアム上の匿名アドレスプロトコル。使い捨てアドレスに資金を送ることを許可し、受取人だけが共有鍵を使ってアドレスを計算できる。オンチェーンの監視者は実際の目的地を知ることができない。約7.8万ドルの初期活動が追跡されたが、その後ツールは手がかりを失った。
·Chainflip:もう一つのクロスチェーンDEXで、THORChainと類似のモデル。
·BitTorrent Chain:Tronと連携した低コスト・低規制のサイドチェーン。
·Tornado Cash:最初のガス事前注入時と同じミキサー。米国財務省は2022年に制裁リストに追加。
各層を経るごとに追跡コストは約10倍増。5層を超えると、証拠収集会社は理論上すべての断片を追跡可能だが、経済的コストは回収可能な価値を超える。
第七段階:ビットコインUTXOの断片化
ETHからBTCへの変換は、資金をまるで紙屑にするようなものだ。
イーサリアムはアカウントモデルを採用し、残高はアドレスに付随する数字で直接表される。一方、ビットコインはUTXO(未使用取引出力)モデルを採用し、各UTXOは特定のコインの塊であり、完全な取引履歴を持つ。ビットコインを使うたびに、これらの塊は分割・再結合され、新しい塊が形成される。
100ドル札を87片に裂き、その後各片を87に裂き、これを7回繰り返すと想像してみてほしい。技術的には、各断片は元の札に遡ることができる。しかし、実際には、何千もの並列チェーンをリアルタイムで追跡し、全貌を把握し、行動を起こすことは不可能だ。
したがって、THORChainは二つのことを同時に行っている:一つは、制裁を超えた資金の越境を可能にし、もう一つは、資金を追跡不能な粉塵にまで断片化することだ。
第八段階:Tron USDT軌道
ビットコインとプライバシーレイヤーを経て、資金は再び一つの終点に集まる:Tron上のUSDTだ。
多くの人は、マネーロンダリングの主戦場はBTCだと考えているが、それは誤りだ。実際の主戦場はTron上のUSDTだ。データによると、USDT-Tronは毎年違法な暗号資産取引量のトップを占め、他のすべてのチェーンの合計を超えている。
Kelpの資金流の具体的なルートは:BTCからブリッジを越えてTronに入り、USDTに交換し、その後Tronアドレス間を何度も移動することだ。Tron上の各ジャンプのコストは非常に低く、数セントで10層以上の断片化を重ねることができる。
第九段階:出金——暗号から現金へ
各ハッキングの終点は、特定の人間の中間者ネットワークを通じて、法定通貨に変換されることだ。
中国本土や東南アジアで活躍するOTC(店頭取引)ブローカーが、USDT-Tronの預金を受け取り、現地通貨の現金で決済する。これらのブローカーは実質的に無免許の闇金業者だ。彼らは複数の顧客(合法・非合法)からの資金流を集約し、内部で差し引きし、中国国内の決済ネットワーク(銀聯)を通じて法定通貨に換金——銀聯はSWIFT体系や西側の制裁執行範囲外で運用されている。
これらのブローカーの管理口座から資金は北朝鮮の管理する銀行口座に流入し、通常は香港、マカオ、または第三国の司法管轄区に登録されたシェルカンパニー名義で保有される。その後、ハワラ(非公式清算)、実物現金の輸送、前面の会社の調達などを経て、資金は平壌に戻される。
国連安保理、FBI、米国財務省もこれらの資金の最終行き先を追跡している。北朝鮮の弾道ミサイル計画や核兵器開発、国際制裁の回避には、こうした資金の流れが不可欠だ。
2024年の国連報告によると、暗号ハッキングは北朝鮮の外貨収入の約50%を占め、北朝鮮の武器計画の主要資金源となっている——石炭輸出や武器販売、労働者派遣の合計を超える規模だ。
[原文タイトル]
638.26K 人気度
58.82M 人気度
42.62K 人気度
1.06M 人気度
48.86K 人気度
盗難から再市場参入まで、2億9200万ドルはどのように「マネーロンダリング」されたのか?
タイトル:ケルプ $292m はどこへ行ったのか?洗浄の解剖学
著者:@the_smart_ape
翻訳:Peggy、BlockBeats
著者:律動BlockBeats
出典:
転載:火星财经
編集者のコメント:4月18日、Kelp DAOが攻撃を受け、約2.92億ドルの資産が盗まれた。では、完全に公開されたブロックチェーンシステムの中で、この資金は一体どのようにして「洗浄」され、流通可能な資産へと変貌を遂げたのか?
この記事はこの事件を契機に、高度に工業化された暗号洗浄ルートを解剖する:攻撃前の匿名インフラ整備から、Tornado Cashを利用して链上の関連性を断つまで;AaveやCompoundを用いて「有毒資産」を担保にしてクリーンな流動性を引き出す過程、さらにTHORChainやクロスチェーンブリッジ、UTXO構造を駆使して追跡の難易度を指数関数的に拡大し、最終的にTron上のUSDT体系に流入し、OTCを通じて現実世界の現金に換金されるまでを追う。
この過程には複雑なブラックボックス操作はなく、ほぼすべてのステップが「ルールに従って行われている」。そのため、このルートが明らかにしているのは、単一の脆弱点ではなく、DeFi体系の開放性、組み合わせ性、そして監査不可能性の下にある構造的な緊張だ——これらの操作をプロトコル設計自体が許容している以上、「資金回収」は技術的な問題ではなく、システムの境界の問題となる。
Kelp DAO事件は、単なるセキュリティ事故にとどまらず、暗号世界の運用ロジックに対する圧力テストのようなものだ:ハッカーがあなたの資金を彼の資金に変える方法を示し、またこの体系が原則的にこの過程を阻止しにくい理由も明らかにしている。
ご存知の通り、4月18日、北朝鮮のハッカーがKelp DAOから2.92億ドルを盗んだ。5日後、その半分以上が既に消失し、数千のウォレットに散らばり、停止できないプロトコルを経由して交換され、最終的に非常に特定の目的地へと流れ着いた。
面白いのは、証拠のある2.92億ドルの盗難暗号資産が、誰も阻止できない状況で、平壌のポケットの現金に変わる過程だ。
この記事の目的は、現代の暗号洗浄の全フローがなぜ動いているのか、その構造上阻止できない理由、そして洗浄された1ドルごとに何を買ったのかを明らかにすることだ。
第一段階:準備(攻撃数時間前)
攻撃者は直接盗みを始めたわけではない。Lazarus組織の手法は、常にインフラの準備から始まる。
攻撃の約10時間前、8つの新規ウォレットがTornado Cashに事前に資金を注入した——Tornado Cashはミキサーであり、資金の出所と行き先の関連性を断つことができる。
各ウォレットには0.1 ETHが送られ、後続のすべての操作のガス代に充てられる。これらのウォレットの資金はミキサーからのもので、取引所のKYC記録もなく、過去の取引履歴もないため、既知の主体と関連付けられない。クリーンな白紙状態。
攻撃前夜、攻撃者はEthereumメインネットからAvalancheとArbitrumへ3回のクロスチェーン送金を行った——目的は明らかにこれらのL2上でガスを事前に用意し、クロスチェーンの操作をテストし、大口送金時のスムーズさを確認することだった。
第二段階:盗取
独立した攻撃用のウォレット(0x4966…575e)がLayerZeroのEndpointV2コントラクト上のlzReceive関数を呼び出した。検証者が成功裏に騙されたため、この呼び出しは合法的なクロスチェーンメッセージとみなされた。KelpのクロスブリッジコントラクトKelp DAO: RSETH_OFTAdapter(Etherscanアドレス:0x85d…)は直ちに0x8B1に116,500枚のrsETHを解放した。
流通しているrsETHの18%。一度の関数呼び出しで、資金は消えた。
46分後、UTC時間18:21に、Kelpの緊急マルチシグがプロトコルを停止した。UTC時間18:26と18:28に、攻撃者は全く同じ方法で再度操作を試み、約40,000枚のrsETH(約1億ドル)を盗もうとした。いずれもKelpが即座に停止したためロールバックされた。もしそうでなければ、今回の盗難総額は5億ドル近くに達していた可能性がある。
第三段階:Aave + Compound操作
rsETHは証明書トークンであり、Kelpがクロスブリッジを停止したり、盗まれたトークンをブラックリストに登録したりすると、その価値は即座にゼロになる。攻撃者には数分の猶予しかなく、それを使って凍結不能な資産に変換したかった。Kelpが盗難から46分後に停止した時点では、すでに遅かった。
2.92億ドルの流動性のないrestakingトークンを直接公開市場で売却すれば、数分で価格が30%以上崩壊するため、攻撃者は売却を選ばず、DeFiの借入プロトコルを洗浄ツールとして素早く利用した。
受取ウォレット0x8B1は、盗まれた116,500枚のrsETHを7つの分岐ウォレットに分散送金した。各分岐はすぐにAaveやCompound V3に入り、一部のrsETHを担保にしてETHを借り出した。
7つの分岐の合計ポジションは以下の通り:
·担保に入れたrsETH:89,567枚
·借り出したETH:約82,650枚のWETHと821枚のwstETH、合計約1.9億ドルのクリーンな流動資産
·各分岐のヘルスファクターは1.01〜1.03に設定——清算前の許容上限
攻撃者は、これらの価値2.92億ドルの、すでにマークされてほぼ換金不能なrsETHを使い、1.9億ドルのETHに換えた。最終的にこれらのrsETHがほぼゼロに近づき(Kelpのクロスブリッジ資金は債務超過で引き出せず)、借入プロトコルの預金者が損失を被った。
市場がAaveが2億ドル超の不良債権を抱えていることに気づき、ユーザーはパニック的に資金を引き揚げた。Aaveは48時間以内に総ロック量(TVL)で800億ドルを失った。これは最大のDeFiレンディングプロトコルが、設計通りに完全な銀行引き出しを経験した最初の事例だ——引き金は、攻撃者が完全にプロトコルの設計を利用したことにある。
第四段階:資金の統合と分割
Aave/Compoundから借入を完了した後、7つの分岐は借りたETHを第3層の統合ウォレット(0x5d3)に送った。
この操作のクラスターは、今や明確な三層構造を呈している:
1、受取:0x8B1(同じくTornado Cash経由で資金注入)、盗取した116,500枚のrsETHを受け取る
2、操作:7つのTornado Cash経由の分岐ウォレットがAave/Compound操作を実行
3、統合:0x5d3が約71,000 ETHの借入資金を再集約し、洗浄の流れに統一
資金はその後、2つのチェーンに分散:
·75,700 ETHがEthereumメインネットに残る
·30,766 ETHがArbitrumに(約7100万ドル)
Arbitrumのセキュリティ委員会は、この資産の凍結を投票で決定し、7100万ドルを後続のガバナンス解放可能な管理ウォレットに移した。
凍結後まもなく、ハッカーはメインネットの残りのETHを移動させ、洗浄を加速させた。これらの動きから、彼はArbitrumがこの措置を取るとは予想していなかったことが明らかだ。
第五段階:第一波の洗浄
攻撃から4日後、0x5d3は資金を清算し始めた。Arkhamは数時間以内に3つの独立した送金を追跡した。
タイミングは意図的に選ばれた:火曜日のヨーロッパの取引時間帯。米国の調査官は休暇中、ヨーロッパの規制当局は月曜日の未処理案件を処理中、アジアの取引所は閉店間近。
その後、送金パターンは爆発的に拡散。最初の目的地はすぐにさらに60の新規ウォレットに拡散され、0x62c7は約60の新規ウォレットに、0xD4B8は別の約60に送金した。数時間以内に、整然とした10のウォレット群は100以上の使い捨てアドレスに拡大し、すべて並列で資金注入され、各アドレスの金額は検知を回避できるほど小さくなった。
LazarusはHDウォレットスクリプトを動かし——1つのニーモニックフレーズから数秒で何千もの新規アドレスを導き出し、ワーカープール(Python + web3、ethers.js、または内部ツール)を用いて並列に署名・ブロードキャストし、アドレスツリー全体を操作している。このコードは2018年から継続的に改良されている。
この段階の終わりには、追跡可能な链の連鎖は消失し、10のウォレット操作群は100以上の断片化されたウォレットに爆発し、資金は複数の独立した入口からプライバシー軌道へと流入した。
第六段階:THORChain——脱出マシン
本当の断点はTHORChainにある。
THORChainは、クロスチェーンのネイティブ資産交換をサポートする分散型プロトコルだ。イーサリアム上のETHを送れば、ビットコインネットワーク上でBTCに変換される。
4月22日のみで、THORChainの24時間の交換量は4.6億ドルに達した。通常の平均取引量は約1500万ドル。この攻撃では、1日の取引量の30倍に相当する資金が流れた。
同じ24時間内に、プロトコルは49.4万ドルの収益を生み出し、ボンダー(ノード運営者)、流動性提供者、開発基金、アライアンス統合者、マーケティング基金に分配された。
同時に、資金はより小規模だが補完的なプライバシー軌道を並行して流動させている:
·Umbra:イーサリアム上の匿名アドレスプロトコル。使い捨てアドレスに資金を送ることを許可し、受取人だけが共有鍵を使ってアドレスを計算できる。オンチェーンの監視者は実際の目的地を知ることができない。約7.8万ドルの初期活動が追跡されたが、その後ツールは手がかりを失った。
·Chainflip:もう一つのクロスチェーンDEXで、THORChainと類似のモデル。
·BitTorrent Chain:Tronと連携した低コスト・低規制のサイドチェーン。
·Tornado Cash:最初のガス事前注入時と同じミキサー。米国財務省は2022年に制裁リストに追加。
各層を経るごとに追跡コストは約10倍増。5層を超えると、証拠収集会社は理論上すべての断片を追跡可能だが、経済的コストは回収可能な価値を超える。
第七段階:ビットコインUTXOの断片化
ETHからBTCへの変換は、資金をまるで紙屑にするようなものだ。
イーサリアムはアカウントモデルを採用し、残高はアドレスに付随する数字で直接表される。一方、ビットコインはUTXO(未使用取引出力)モデルを採用し、各UTXOは特定のコインの塊であり、完全な取引履歴を持つ。ビットコインを使うたびに、これらの塊は分割・再結合され、新しい塊が形成される。
100ドル札を87片に裂き、その後各片を87に裂き、これを7回繰り返すと想像してみてほしい。技術的には、各断片は元の札に遡ることができる。しかし、実際には、何千もの並列チェーンをリアルタイムで追跡し、全貌を把握し、行動を起こすことは不可能だ。
したがって、THORChainは二つのことを同時に行っている:一つは、制裁を超えた資金の越境を可能にし、もう一つは、資金を追跡不能な粉塵にまで断片化することだ。
第八段階:Tron USDT軌道
ビットコインとプライバシーレイヤーを経て、資金は再び一つの終点に集まる:Tron上のUSDTだ。
多くの人は、マネーロンダリングの主戦場はBTCだと考えているが、それは誤りだ。実際の主戦場はTron上のUSDTだ。データによると、USDT-Tronは毎年違法な暗号資産取引量のトップを占め、他のすべてのチェーンの合計を超えている。
Kelpの資金流の具体的なルートは:BTCからブリッジを越えてTronに入り、USDTに交換し、その後Tronアドレス間を何度も移動することだ。Tron上の各ジャンプのコストは非常に低く、数セントで10層以上の断片化を重ねることができる。
第九段階:出金——暗号から現金へ
各ハッキングの終点は、特定の人間の中間者ネットワークを通じて、法定通貨に変換されることだ。
中国本土や東南アジアで活躍するOTC(店頭取引)ブローカーが、USDT-Tronの預金を受け取り、現地通貨の現金で決済する。これらのブローカーは実質的に無免許の闇金業者だ。彼らは複数の顧客(合法・非合法)からの資金流を集約し、内部で差し引きし、中国国内の決済ネットワーク(銀聯)を通じて法定通貨に換金——銀聯はSWIFT体系や西側の制裁執行範囲外で運用されている。
これらのブローカーの管理口座から資金は北朝鮮の管理する銀行口座に流入し、通常は香港、マカオ、または第三国の司法管轄区に登録されたシェルカンパニー名義で保有される。その後、ハワラ(非公式清算)、実物現金の輸送、前面の会社の調達などを経て、資金は平壌に戻される。
国連安保理、FBI、米国財務省もこれらの資金の最終行き先を追跡している。北朝鮮の弾道ミサイル計画や核兵器開発、国際制裁の回避には、こうした資金の流れが不可欠だ。
2024年の国連報告によると、暗号ハッキングは北朝鮮の外貨収入の約50%を占め、北朝鮮の武器計画の主要資金源となっている——石炭輸出や武器販売、労働者派遣の合計を超える規模だ。
[原文タイトル]