コインチェックのNEM(XEM)579億円の不正引き出し事件について、
NEM財団は犯人のウォレットに対し、「mizuhashi.coincheck_stolen_funds_do_not_accept_trades.owner_of_this_account_is_hacker」というマーキングを行いました。「マーキングされたウォレットと取引をすると、犯人の資金洗浄に協力することにつながるため、自分が事件の犯人と疑われてしまう。」いう意図があるとされています。
このマーキングにより、各取引所ではこのようなウォレットとの取引を凍結し、犯人は実質的に換金不能になってしまうはずでした。
しかし、犯人がNEMの資金洗浄をするためにダークウェブ上に取引所を開設したり、海外の取引所経由で別の仮想通貨に換金したりと資金洗浄が進んでいる実態が浮き彫りになってきました。
Twitterで単眼愛(モノアイ)(@mono_i_love)氏がその実態について分かりやすく解説しているのでご紹介します。
犯人は海外の取引所でNEMを換金しようとしている
$XEM の5億盗難犯の送金履歴をGithubで可視化している方が居たので拝借。中央の青点がCoincheckから5億盗んだ最初のウォレット。周りの橙は犯人にちょっかい出して「うるせー100XEMぶつけるぞ」された人達(Zaif経由でちょっかい出した人は身元割れしそう)。その中に犯人の垢が紛れているかは不明 pic.twitter.com/spk3zeETuI
? 単眼愛(モノアイ) (@mono_i_love) 2018年1月31日
周囲の青点は、犯人が事件後に1億 $XEM ずつ分散したりしていたウォレットかな(それっぽいのには大体MIZUNASHIさんの追跡用モザイクが付いていた
? 単眼愛(モノアイ) (@mono_i_love) 2018年1月31日
5億 $XEM 盗んだ犯人、30万XEMを別ウォレット送金した先でCryptopiaに送ったりゴニョゴニョしている。最後の送金は現時点で本日2/1の22時。Polo送金とかより、こっちが試行錯誤の本命っぽい。送金履歴の図示が分かり易いとのことだったので、注釈いれました。https://t.co/FembcB7qcY pic.twitter.com/fTeuQPXqUH
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月1日
盗んだ $XEM をゴニョゴニョ試していたウォレット(30万XEMのやつ)から新しいウォレットにお引っ越しした模様。速攻で追跡用尾モザイクをウォレットに付けられている。追跡の条件と速度を手探りでお試し中か…https://t.co/FembcB7qcY pic.twitter.com/40HEG435od
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月1日
本日4時頃、盗まれた5億 $XEM のうち、約30万XEMを犯人が移動させたウォレットから、Changelly(仮想通貨の両替サービス。XEMから匿名通貨にも交換可能)に1100XEM(時価約7万円)送金。いよいよ直接的な換金方法を探りに来た感ある。 #NEM https://t.co/d2dfXEKYEu pic.twitter.com/sHOseDXpJW
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月1日
今までの犯人の経緯(Poloniex、Cryptopia、Changelly、Loyalcoin、…)から、何となく換金に使いそうな手口は見えてくるけど、流石に呟くのは自粛します。
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月1日
[the_ad id=”7916″]
ダークウェブ上の取引所開設、犯人は日本人か
あわせて読みたい
5億 $XEM 盗難犯に乞食をして100XEM貰ったウォレットが、2/2 19時頃犯人宛にマネロンを示唆する謎の日本語メッセージ送信。マジなのか捜査撹乱目的の自演かは不明。また、犯人と暗号化メッセージでやり取りする謎のウォレットも別途観測。うーん盛り上がっている #NEM https://t.co/bNxm84vWsU pic.twitter.com/TG9WGos0OV
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月2日
5億 $XEM 盗難犯、暗号メッセージで資金洗浄のやり取りを交わす一方、XEMを乞食してきた人にダークウェブ上の暗号通貨交換サイトと思しきURLを返信。文面から「15%引きでXEM売るよ」という事らしい。何が仕掛けてあるか分からないので対象のURLへのアクセスは控えて下さいhttps://t.co/CSxpQNnD6S pic.twitter.com/otP3renRJ8
? 単眼愛(モノアイ) (@mono_i_love) 2onclick=”ga(‘send’, ‘event’, ‘linkclick’, ‘click’, ‘hoge’);”018年2月7日
補足:ダークウェブ上のサイト触ってみた。レイアウトに既視感とテンプレ臭さがあるので、犯人若しくは犯人に接触した人物がXMR払いかなんかで買ったツールで生成した辺りか。XEM残高表示されているので、アドレス毎の使い捨てサイトっぽい。流石に残高をバカ正直には表示していないと思うが… pic.twitter.com/xUG2QWcl5L
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月7日
「5億盗んだ犯人がダークウェブでXEMをBTCで売っている?」の件、色気出す人が居ないよう注意喚起。
・そもそも本当に売っているか不明(私ならXEM買うために送られて来たBTCを詐取する
・XEM送り返されたら次は貴方がそれを資金洗浄する必要がある(※犯罪です
・XEMよりBTCの方が資金洗浄難易度低い? 単眼愛(モノアイ) (@mono_i_love) 2018年2月7日
「本当に売っているか不明」と書いたけど、買えちゃった報告している人いるからマジで売られているっぽい。アドレスと残高合っていないのは、複数アドレスの合算か?。犯人 $XEM の資金洗浄を他人に押し付けて、入手したBTCやLTCをDEX等で匿名通貨に変えてフィニッシュじゃんhttps://t.co/p9P8fGHKMy pic.twitter.com/4SbqoA32rd
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月7日
このルートが確立できちゃったら、後はもう購入時のBTCやLTCの入金用アドレスからおとり捜査して、犯人がヘマするのを待つしかなさそう。入金アドレスは毎回使い捨てのウォレットを生成する感じみたいだから、追跡側はしんどいな…
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月7日
[the_ad id=”7916″]
Yobitが資金洗浄の本拠地になっているらしい
5億 $XEM 盗難犯のダークウェブXEM販売所の経過。現在犯人がXEM販売していると思しきアドレスからの出金額が約160万XEM。時価1億円弱相当が既に売られた可能性ある。購入者の何割かはyobitで洗浄しているっぽいのでShimizuさんのツールで図示しておく #NEM https://t.co/Wc2SPcbTIW pic.twitter.com/ZJOcHOZumx
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月9日
盗難に遭った 5億 $XEM の資金洗浄に使われていると思しき取引所yobit(所在地不明。言語からロシア系か)のXEM/BTC出来高確認。本朝9時頃約40万XEM(時価2400万円)、13時に約30万XEMの出来高。直近半年の出来高を見ても異常な値。状況証拠だが、ここで盗難XEMの一部が処理されていると見て良さげ pic.twitter.com/IcyQXtWoAl
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月9日
盗難に遭った 5億 $XEM の資金洗浄に使われていると思しき取引所yobit(所在地不明。言語からロシア系か)のXEM/BTC出来高確認その2。本日だけで出来高500万XEM突破(時価3億円弱)。参考で、12月のバブル時の出来高が最高130万XEM程。 pic.twitter.com/axEuGLWZHB
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月9日
犯人から買った人が
$XEM をyobitで換金しているから、yobitのXEM価格は安くなる。なので、yobitでXEM買って他所の取引所で売って利鞘を稼ぐことは合法的に可能そう。可能だけど、流石にそれでカネ稼いでも気分悪いので、やりたい人頑張って下さい? 単眼愛(モノアイ) (@mono_i_love) 2018年2月9日
利益相反な感じのツイートなので「書かないでこっそりやれや」とオコな人もいるかもだけど、気分良く暮らすためにカネ稼いでいるのに、カネを稼ぐために気分悪くなったら本末転倒だし、これで儲かっている人なーと思ったら、ちょっとイラッと来たので、ツイ消しは控えておきます。 https://t.co/Fj2PF1HIII
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月9日
これって渡コインを正式取引所が受取らないのでは。盗難目印付きコインは。闇の金は闇取引所からは抜け出せないと思う。後は自己責任で。
? Tom248 (@nTslttF1M8HuKn4) 2018年2月9日
これ、勘違いされている方が多いのですが、例の盗難目印は通貨(XEM)自体に付いておらず、ウォレットに付いています。つまり、yobitが盗難ウォレットからのXEMを受け取った事はわかりますが、yobitから送られたXEMが盗難されたXEMかは判別は不可能です。よく見る「偽札タグ」という表現は極めて不適切 https://t.co/Sk7x8c7x5Y
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月9日
なので、yobitにXEM入金された時点で資金洗浄はほぼ完了。綺麗なXEMと盗難XEMが一緒くたになるので。一応、盗まれたXEMがyobitのどのユーザに幾ら入金されたかはyobit側で分かります。しかし、yobitは本人確認不要で出金無制限。分かるのはメールアドレス位です。あと運営元不明 ?(^o^)/オワタ
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月9日
[the_ad id=”7916″]
日本のZaifでNEMのアービトラージする人現れる
5億 $XEM の盗難犯から買ったXEMをZaifに送る猛者現る。Zaifへの送金メッセージにアカウント識別用の文字列があるので、KYC(本人確認)済みアカウントなら身バレ不可避。まぁ、何人何十人も買うやつが出れば、ボロを出すやつも居るか… 朝山社長、コイツですhttps://t.co/MV5OjvBCJX pic.twitter.com/lCL6Xuaukq
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月9日
例の盗んだXEMをZaifに売っている君、大体20%ずつ量が増えている。多分、BTCとアビトラしてたんだろうな…
最後の入金で「ts:warning_dont_accept_stolen_funds」という追跡用のモザイクを付けられたので、焦って止めたのかも。であれば、多分NEM財団側にはバレているっぽいので一安心 pic.twitter.com/GWPaUhQptC? 単眼愛(モノアイ) (@mono_i_love) 2018年2月9日
5億 $XEM の盗難犯から買ったXEMをZaifに送る猛者現る。Zaifへの送金メッセージにアカウント識別用の文字列があるので、KYC(本人確認)済みアカウントなら身バレ不可避。まぁ、何人何十人も買うやつが出れば、ボロを出すやつも居るか… 朝山社長、コイツですhttps://t.co/MV5OjvBCJX pic.twitter.com/lCL6Xuaukq
? 単眼愛(モノアイ) (@mono_i_love) 2018年2月9日
朝山さんにいっとこうw
? 山本一郎(やまもといちろう@告知用) (@kirik) 2018年2月9日