Global Ledger：暗号通貨のマネーロンダリングはわずか2秒で完了し、ハッカーは公開前に76％の不正資金を奪取

暗号通貨ハッカーは、攻撃開始後わずか2秒で盗んだ資金を移転でき、多くの場合、被害者の情報漏洩が明らかになる前に資産を移動させている。Global Ledgerの2025年の255件の暗号ハッカー事件の分析から、最も明確な結論が導き出された。76％の攻撃では、資金は公開前に移されており、後半にはこの割合が84.6％に上昇している。

76％の不正資金の公開前移転の速度革命

（出典：Global Ledger）

この速度には驚かされる。Global Ledgerの報告によると、76％のハッカー攻撃では、資金は公開前に移動されており、後半にはこの割合が84.6％に達した。これは、攻撃者が取引所や分析会社、法執行機関が対応できる前に行動を起こしていることを意味する。

この「公開前に奪取」する戦略は非常に巧妙だ。ハッカー事件が公開される前に、盗まれたアドレスはマークされておらず、取引所やブロックチェーン分析企業はこれらのアドレスが不正資金であることを認識していない。このタイミングで資金を移動すれば、妨害や凍結を受けることなくスムーズに行える。事件が公開されると、これらのアドレスは迅速にブラックリストに登録され、その後の移動は多くの障害に直面する。

2025年前半の76％から後半の84.6％へと増加していることは、ハッカーの速度がさらに加速していることを示している。この進化は、自動化スクリプトの改良（ハッカーが成功した直後に送金スクリプトを起動）、被害者の反応時間の正確な計算、クロスチェーンブリッジなどのツールの成熟により、資金移動がより容易になったことに起因している。被害者にとって、この速度は「盗難発見」と「資金移動」の間の時間ウィンドウがほぼゼロに近づいていることを意味し、資産凍結の機会はほとんどない。

しかし、速度だけでは問題の全てを説明できない。現在のところ、最初の送金はほぼリアルタイムだが、完全な暗号資金のマネーロンダリングにはより長い時間が必要だ。2025年後半には、ハッカーは平均して約10.6日かけて取引所やミキサーなどの最終預入ポイントに到達しており、今年の初めは約8日だった。要するに、短距離走の速度は速いが、マラソンの速度は遅い。

暗号資金のマネーロンダリングの二段階タイムライン

第一段階（移転）：2秒以内に被害アドレスから資金を移動、公開前に

第二段階（洗浄）：平均10.6日で最終預入ポイントに到達、多層ルーティングによる追跡回避

傾向の変化：移転は加速（84.6％が公開前に完了）、洗浄は遅延（8日から10.6日に増加）

この変化は、公開後の規制強化を反映している。事件が公開されると、取引所やブロックチェーン分析企業はアドレスにタグ付けを行い、監査を強化する。そのため、攻撃者は資金をより小さな部分に分割し、多層ルーティングを用いて移動させ、その後換金を試みる。

20.1億ドルとTornado Cashの復活

（出典：Global Ledger）

ブリッジはこの過程の主要な通路となっている。盗まれた資金の約半分、20.1億ドルはクロスチェーンブリッジを通じて移動されている。これは、ミキサーやプライバシー協定を通じて移動された金額の三倍以上に相当する。昨年の大規模なCEXハッキング事件では、盗まれた資金の94.91％がブリッジを経由して流動化された。

クロスチェーンブリッジが暗号資金のマネーロンダリングの主流ツールとなっている理由は、その便利さと隠蔽性にある。ハッカーがイーサリアム上の不正資金をBNBチェーンやPolygonにブリッジを通じて移すと、追跡は格段に難しくなる。異なるチェーンのアドレス形式の違い、ブロックチェーンブラウザの分離、法執行機関のクロスチェーン調整の必要性などが、ハッカーに時間を稼ぐ余裕を与えている。また、多くの小規模チェーンの規制や分析ツールはイーサリアムほど整備されておらず、これらのチェーンに移動した後は「消える」可能性が高まる。

20.1億ドルは、2025年に盗まれた総額40.4億ドルの約50％に相当する。この高度な集中現象は、単一のマネーロンダリングルートに偏っていることを示し、法執行のチャンスと課題の両方をもたらす。監視を強化（例：ブリッジ協議にKYCを義務付け、疑わしい取引を凍結）すれば、暗号資金のマネーロンダリングの半分を阻止できる可能性がある。一方、クロスチェーンブリッジは通常非中央集権的であり、中央の実体がこれらの措置を強制できないという課題もある。

同時に、Tornado Cashの再注目も高まっている。2025年のハッキング事件の41.57％でTornado Cashの使用が確認された。報告によると、制裁政策の変動の影響で、その利用割合は後半に大きく増加した。Tornado Cashはイーサリアム上のミキシングプロトコルであり、複数のユーザーの資金を混合し、特定の資金の出所を追跡しにくくしている。米国財務省は2022年にTornado Cashを制裁リストに追加したが、そのスマートコントラクトはブロックチェーン上で稼働し続けており、閉鎖できない。

41.57％の出現率は、制裁リスクに直面してもハッカーが大量にTornado Cashを利用し続けていることを示している。これは、制裁の執行力度がトランプ政権時代に弱まったこと、ハッカーがプライバシーを優先して制裁リスクを承知の上で利用していること、またはTornado Cashの技術的効果が他のミキシングツールより優れていることに起因している可能性がある。この「制裁失効」の現象は、非中央集権的な協議の規制の根本的な困難さを浮き彫りにしている。

半分の不正資金が未動の奇妙な現象

同時に、後半には直接中央取引所に出金された資金が大幅に減少した。DeFiプラットフォームからの盗難資金の割合は増加し続けている。攻撃者は明らかな出金ルートを避け、注目が集まるまで待つ傾向がある。分析によると、約49％の盗まれた暗号資産は未だに使用されていない。これは、数十億ドルが一部のウォレットに留まっており、将来のマネーロンダリングに使われる可能性を示している。

盗まれた資金の半分が動いていないのは非常に奇妙な現象だ。この49％は約19.8億ドルに相当し、ハッカーの管理下にあるが、換金や洗浄を試みていない状態だ。考えられる理由は、事件の熱が冷めるのを待っている、資金量が多すぎて短期間で洗浄できない、またはハッカー自身が長期投資家であり、ビットコインを価値の保存手段とみなしているため、急いで換金しない、といったものだ。

この「隠匿」戦略は資金回収にとって二律背反の側面を持つ。一方、資金が動かなければ、法執行機関がハッカーを特定し、秘密鍵を掌握できれば回収の可能性もある。しかし、これらの資金は数ヶ月、あるいは数年後に突然洗浄を始める可能性もあり、その時点では熱も冷め、監視も弱まり、成功率は高まる。

問題の深刻さは依然として無視できない。イーサリアムの損失は24.4億ドルに達し、総損失の60.64％を占める。事件は合計255件で、被害総額は40.4億ドルにのぼる。しかし、資金の回復は依然限定的だ。凍結された資金は約9.52％にとどまり、最終的に返還された資金は6.52％に過ぎない。

この極めて低い回収率（6.52％）は、暗号犯罪の最も憂慮すべき現実の一つだ。従来の金融システムでは、銀行強盗や送金詐欺の回収率は通常30～50％に達し、資金は規制された金融機関を通じて凍結・回収されることが可能だ。しかし、暗号の世界では、一度資金がハッカーの管理するウォレットに移動すると、ハッカーが自発的に返還しない限り、ほぼ回収は不可能だ。この「盗まれたら永久に失われる」性質は、暗号資産の最大のリスクの一つだ。

総合的に見ると、これらの発見は明確なパターンを示している。攻撃者は侵入後、最初の数秒以内に機械的な速度で攻撃を行う。防御側の対応は遅れ、犯罪者はより遅く、計画的な洗浄戦略を採用する。この戦いは終わっていない。最初は秒単位のスピードで、最後は日数単位の長期戦へと移行している。