誰かがかつて「ただの誤報だった」と言うのは世界で最も美しい言葉だと言った。すべてを失いかけた時でなければ、その言葉のありがたみは本当に分からない。

2025年9月2日、私は自分のウォレットの中の1300万ドルが一瞬で消えるところを恐ろしくも間近で見てしまうところだった。これは北朝鮮の悪名高いLazarusハッカー集団が仕組んだフィッシング攻撃だった。

もしいくつかの一流のセキュリティチームの素早い介入がなければ、完全な悲劇になっていた可能性が高い。結果としては間一髪で済んだ。以下は被害者である私の側からの全ての回想だ。

引き金：一見普通のミーティング招待

この人物（自称StackのAsia BD）とは2025年4月の香港Wanxiangカンファレンスで初めて会った。友人が私たちを直接紹介し、別の友人が以前Stackのチームに触れていて、協業の可能性があると示唆していた。連絡先を交換し、Telegramでつながった。

先週の金曜日（8月29日）、そのBDが11:00 PMにキャッチアップミーティングを設定したいと連絡してきた。私の前のミーティングが長引いてしまったので、11:10ごろに入室した。TGのグループでは問題ないと言われた。

ミーティングのリンクはZoomだった。そのときは何も疑わなかったが、後から振り返るとZoomはLazarus攻撃の一般的なベクターになっている（詳しい分析はこのHuntabilityのレポートを参照：https://t.co/FoBYMKRkPO）。

罠：無害に見える「アップグレード」

遅刻したことで罪悪感があり、急いでいた。入室すると彼と数名の同僚をビデオで見たが、音声がなかった。するとすぐにポップアップが出た：「マイクが動作していません。アップグレードが必要です。」

その瞬間のパニックと罪悪感で、私は冷静さを失った：

遅刻の迷惑を取り戻したかった；

深く考えず「upgrade」をクリックした。

これがハッカーの餌だった。

計算された一撃：私向けに作られた攻撃

後で再現して気づいたのは、これはランダムではなく非常にカスタマイズされたものだったということだ。

彼らは月曜日に攻撃用のコントラクトをデプロイし、私のポートフォリオに合わせて調整していた。私の資産は主にVenusにあり、多くの借入負債を抱えていた、典型的なケースとは異なる構成だった。Venusの公式レポート（こちら：https://t.co/ZljRMf1ZkP）を見ると、このトランザクションがどれほど複雑で、多数のターゲット操作を含んでいたかが分かる。

さらに、私がRabby walletをよく使っていることを彼らは知っていて、Chromeに偽のRabby拡張を差し替えた可能性がある。

流れはこうだった：

PCを開くと、Chromeが異常にクラッシュしてタブを復元するか聞いてきた（振り返ると不審。悪意ある拡張のせいかもしれない）。復元を選び、復元されたタブでVenusを開いていつも通りの引き出しを行った。

もし本物のRabbyならば、リスクコントロールが：

1. コントラクトリスクをフラグして手動確認を要求し；

2. トランザクションのシミュレーションを表示したはずだ。

しかし偽のものには警告がなかった。何百回もやってきた普通のwithdrawと同じ感覚だった。

その「慣れ親しんだ感」とスムーズさが私の警戒心を完全に奪った。気づいた時には手遅れだった。

トランザクション送信後、Chromeが再びクラッシュし、PCが遅延、再起動後にGoogleアカウントからログアウトしていた。USDTの引き出しは見当たらなかったが、ブラウザを確認すると不審なトランザクションが記録されていた。パニックになった。

ぞっとすることに、そのBDのTGアカウントは以前にハックされていたと友人から後で聞いた。最初から偽物とやり取りしていたのだ。

ハッカーはこの「半ば見知った関係」を利用する：完全な他人だと警戒され、親しい相手だと不審に思わないが、中間の関係性は不自然さを見抜かせない。

真相：偽の身元、ディープフェイク、そしてLazarus

手法、ガスソース、類似事例から判断すると、これはLazarusによるものと考えられる。ビデオに出てきた「同僚」たちはおそらくディープフェイクの顔だ。

私の知る限り、Venusコミュニティのある管理者も数ヶ月前に同じZoomフィッシングに引っかかり、預金を回収できなかったと聞いている。

転機：セキュリティチームの介入

事が起きてすぐ、私はPeckShieldとSlowMistに連絡した。江博士（@xuxian_jiang）は迅速にVenusチームを巻き込んだ。

私たちは面識はなかったが、異常を確認すると彼らはプロトコルを停止した：

1. 私のアカウントは借入が多い5つの資産を保有していた；

2. ハッカーの複雑なトランザクションは大半の資産と負債を移転していた；

3. 正常なユーザー行動とは全く異なっていた。

プロトコルを一時停止し、コントラクトを監査し、フロントエンドのハイジャックを確認する――その決断力がLazarusを止めた。

反省：得た教訓

この件は、北朝鮮のハッカーがソーシャルエンジニアリング、ディープフェイク、技術的トロイの組み合わせに進化していることを示している。ビデオ通話や「認証済み」のTwitterプロファイルでさえ偽造され得る。

私は理論上最も安全とされるハードウェアウォレットを使っていたが、DeFiの複雑なインタラクションではブラインドサインを強いられる場面がある。

ハッカーはRabbyの拡張を偽造してすべてを「いつも通り」に見せかけ、ウォレットからの警告を消してしまった。

ハードウェア上でサインするときでも、入力が汚染されていれば実際のトランザクションロジックを確認するのは難しい。

厳しい現実だが：拡張やフロントエンドが侵害されている場合、ハードウェアウォレットも万能ではない。

業界と個人への安全対策

Zoomを敏感なやり取りに使うのはやめる：Lazarus攻撃の温床になっている。

拡張機能は公式ソースからのみダウンロードし、ポップアップの「アップグレード」は無視する。

ハードウェアウォレットを使え、ただしそれだけに頼るな—フロントエンドのチェックと組み合わせること。

半ば知っている相手を鵜呑みにしない：ビデオや音声、ミーティングはすべてディープフェイクになり得る。

疑いの目を持て：たとえ「マイクをアップグレードして」といった見慣れない要求でも、一旦止まって考えろ。

まとめ

今回はLazarusとの間一髪の遭遇だった。

@VenusProtocol、@peckshield、@binance、@chaos_labs、@hexagate_​、@HypernativeLabs、@SlowMist_Team のようなチームのおかげで、我々は持ちこたえた――少なくとも大損は免れた。多くのLazarus被害者は資金を取り戻せないため、これは宝くじに当たったような感覚だ。

しかし、この経験が教えてくれたのは：暗号の世界で最大のリスクは市場のボラティリティではなく、「大丈夫だろう」と思ってしまうその瞬間だ。