仮想通貨資産運用

暗号ミキサーeXchは閉鎖後も資金洗浄を継続中、TRM Labsが警告

2025年05月27日

公の存在がなくなったにもかかわらず、eXch のバックエンドはアクティブなままであり、サイバー犯罪者や違法行為者が高度なミキシングプールを通じて資金洗浄を継続できるようになっています。

TRM Labsの新しい厳しいレポートによると、公式の閉鎖発表にもかかわらず、悪名高い暗号通貨ミキサーeXchは違法資金のロンダリングチャネルとして機能し続けています。

2025 年 4 月 30 日、eXch がオフラインになる予定の前日に、プラットフォームはクリアネットおよびダークウェブドメインを含むすべての公開インフラストラクチャを削除しました。

しかし、TRM の調査により、プラットフォームのバックエンド、具体的には API アクセスが引き続き稼働しており、その特徴的な混合プールロンダリングモデルと一致する継続的な資金移動を促進していることが明らかになりました。

Cryptocurrency exchange 𝐞𝐗𝐜𝐡, linked by TRM to laundering in the Feb 21 Bybit hack, has shut down — but activity persists via its API. More than USD 300,000 in CSAM-related funds have been traced through eXch. Learn more here 👉 https://t.co/SBcOt2s2gm pic.twitter.com/z6o3dnQxTI
— TRM Labs (@trmlabs) May 2, 2025

TRM は、eXch を、Lazarus Group による記録破りの 15 億ドルの Bybit ハッキングや児童性的虐待資料 (CSAM) の脅威アクターを含む主要なサイバー犯罪活動に結び付けています。

eXchのアーキテクチャ：目に見えないところに潜むマネーロンダリングエンジン

TRM Labs の分析によれば、eXch のいわゆる「シャットダウン」は大部分が表面的なものに過ぎないことが判明しています。

取引所のウェブサイトインターフェースは4月27日に無効化されたが、APIインフラストラクチャはアクティブなままであり、オンチェーン資産とやり取りしていました。

🛑 Privacy-focused crypto exchange eXch will shut down on May 1 following scrutiny over alleged ties to North Korea’s Lazarus Group.#bybithack #eXch https://t.co/ZXQCBVbotz
— Cryptonews.com (@cryptonews) April 18, 2025

4 月 30 日、TRM は、特に CSAM 関連の資金調達にさらされている、以前の混合プールの行動パターンを模倣した新しい取引を観察しました。

eXch の難読化の背後にある中核的なメカニズムは、独自の混合プールアーキテクチャにあります。このアーキテクチャでは、預金を分解して流動性プールに統合し、出所の追跡をほぼ不可能にします。

このアプローチは暗号通貨スワップサービスと同様に機能し、ユーザーはトークンを別のトークンと交換しながら、無関係な引き出しに再利用されるプールにトークンを預けることができます。

その結果、脅威アクターからの BTC 入金が正当なユーザーの引き出し資金として簡単に利用され、違法な資金と正常な資金が混在することになります。

TRM は、eXch がすでに CSAM 関連資金で 30 万ドル以上にさらされており、このリスクはさらに増加すると予測していることを発見しました。

出典: TRMLabs

さらに憂慮すべきは、同じeXchインフラがCSAM関連のアクターとLazarus Groupの工作員によって同時に使用されていたことです。これは、前者グループの資金がBybitハッカーの資産を洗浄するための流動性を提供していたことを示唆しています。

eXch は外見上はプライバシー重視のプラットフォームとして位置づけられていたものの、エコシステム全体で説明責任を維持しようとする試みを一貫して妨害してきました。

Bybitへの攻撃を受けて、eXchは資金凍結要請に応じることを拒否し、コインの流動性に関するすべての公開情報を撤回しました。

この決定は、特に他のプラットフォームがBybitの資産の凍結と回復を支援するために結集していたこともあり、暗号資産業界全体で広範な批判を招きました。

否定、ブランドイメージの再構築、そして矛盾したシグナルの歴史

eXchの物議を醸す活動の歴史は、閉鎖されるずっと前から始まっていました。2025年2月23日、同取引所はBitcointalkフォーラムでLazarus Groupの資金洗浄を否定し、Bybitから盗まれた資金の「ごくわずかな部分」が自社のアドレスの1つを経由していたことを認めただけでした。

❌ eXch has denied allegations of laundering money for North Korea’s #Lazarus Group following the $1.4 billion hack on @Bybit_Official
on February 21.#eXch #Bybit https://t.co/FWTnP5hiJS
— Cryptonews.com (@cryptonews) February 24, 2025

同プラットフォームは、取引手数料は公共の利益のために寄付されると主張し、関与の規模を軽視しました。

しかし、ブロックチェーンの調査員たちは、より憂慮すべき状況を提示しました。オンチェーンアナリストのZachXBTは、eXchがBybitのハッキングによって3,500万ドルの資金洗浄を行ったと非難しました。

対照的に、スローミストやセキュリティアライアンスのニック・バックスなどは、この取引所が3,000万ドルのマネーロンダリングを処理したと推定しています。

盗難後、バイビットの資産はイーサリアム14億ドルを含め53億ドル以上減少しました。

At this point is really not about bybit or any entity, it's about our general approach towards hackers as an industry, really hope that @eXch can reconsider and help us to block funds outflowing from them. We are also getting help from Interpool and international regulatory… https://t.co/wRzN925X9l
— Ben Zhou (@benbybit) February 23, 2025

証拠が積み重なっても、eXchは抵抗を続けました。Bybitからの残りの盗難資産の凍結要請にも抵抗し、以前のやり取りで軽視されたと感じたことへの不満を表明するメールまで送ってきました。

4月下旬、eXchが「不特定の法執行措置」を理由に4月27日に突然業務を停止したことで、状況はさらに不透明になりました。

数時間後、取引停止の通知は消え、取引所は業務を再開しました。

4月28日、同社はリーダーシップの移行を発表しました。5月1日から新しいチームがインフラ業務を引き継ぎますが、元のチームはコンサルタントとして引き続き業務を継続します。

退任する経営陣からの勧告の 1 つは、過去の業務とのつながりを隠すために専用の流動性プールを実装することでした。

これが真摯な改革の試みなのか、それとも単に表面的なブランドイメージの再構築なのかはまだ不明です。

しかし、API アクセスが残っているということは、脅威の攻撃者が eXch の匿名化ツールを引き続き使用できることを示唆しており、犯罪収益の洗浄を望んでいないという同社の公式の主張が揺らぐことになります。