9月18日に、ある暗号資産クジラが驚くべき財産損失に見舞われました。無害に見える署名操作が原因で、600万ドル以上のステークイーサリアム(stETH)とAaveで包装されたビットコイン(aEthWBTC)が盗まれました。ブロックチェーンセキュリティ会社のScam Snifferは、この投資家が巧妙に設計されたフィッシング攻撃で、悪意のある「許可」署名を誤って承認し、攻撃者がGas費用を支払うことなく彼のウォレットを空にできるようにしたと報告しています。
!
(出典:X)
安全会社SlowMistの創設者Yu Xianは、この事件について詳細な分析を行い、この種の攻撃の恐ろしさを明らかにしました。彼は次のように述べています:
「被害者の視点から見ると、彼はただ数回クリックし、ウォレットにポップアップした署名を確認しただけで、ガス代を一銭も使わずに、628万ドルが消えてしまった。」
この攻撃の恐ろしさは、その隠密性にあります。攻撃者は巧妙に悪意のある操作を通常のウォレット確認手順に偽装し、被害者を誘惑して資産の移転を許可させ、警告を引き起こすことなく行います。取引がGasを消費しないため、被害者は資産が移転されるまで危険に全く気づいていませんでした。
この種の攻撃は「Permit」と呼ばれる機能の脆弱性を利用しています。この機能は本来、トークン移転プロセスを簡素化することを目的としていました:ユーザーはオンチェーンコマンドを実行し、ガス代を支払う必要はなく、オフチェーンメッセージに署名するだけで第三者に権限を与えることができます。
しかし、この利便性は悪意のある攻撃者に新たな攻撃面を開くことにもなります。被害者が「許可証」に署名すると、攻撃者は二つの関数——Permit と TransferFrom——を組み合わせて直接資産を引き出すことができます。承認はオンチェーンではなくオフチェーンで行われるため、資産が引き出される前にウォレットのダッシュボードには異常な活動が表示されることはありません。
結果、取引がブロックチェーン上で実行されると、すべてのトークンが攻撃者のウォレットに移動されました。この脆弱性がPermit攻撃をハッカーにとってますます魅力的にし、彼らは複雑なハッキング技術や高額なガス費用なしに数百万ドルを引き出すことができるようになりました。
この事件は孤立したものではなく、ネットフィッシング活動がますます横行している傾向を反映しています。Scam Sniffer の統計によると、8 月だけで攻撃者は 15,200 人以上の被害者から 1,217 万ドルを盗み、7 月に比べて驚異的に 72% 増加しました。
さらに懸念されるのは、損失のほぼ半分が3つの大規模なウォレットから来ており、そのうちの1つのウォレットは1回の事件で308万ドルを失ったことです。これは、攻撃者が高純資産の暗号資産保有者を標的にしていることを示しています。
Scam Sniffer の分析によれば、この増加は主に EIP-7702 に関連する詐欺(バルク署名詐欺)およびユーザーが悪意のある契約に誤って直接署名することによるものである。
このような攻撃の増加を受けて、セキュリティ専門家は暗号資産ユーザーが自分の資産を保護するための以下の提案を行っています:
· すべてのウォレットの署名要求に対して高い警戒を維持してください。特に、資産への無制限アクセス権を付与するよう求める要求には注意してください。
· 詳細な取引プレビューをサポートするハードウェアウォレットを使用することで、悪意のある取引を特定するのに役立ちます。
· いかなる許可や承認に署名する前に、取引の詳細を慎重に確認し、自分が承認している内容を理解していることを確認してください。
· マルチシグウォレットの使用や取引限度額の設定を検討し、単一障害点のリスクを減らす。
· 定期的に付与された許可を確認し、もはや必要のない許可を取り消すこと
この事件は再び私たちに、暗号資産の世界では最も簡単な操作でも巨大なリスクを伴う可能性があることを思い出させます。攻撃者が新しい詐欺手段を開発し続ける中、警戒を保ち、最新のセキュリティ脅威を理解することがこれまで以上に重要になっています。
41K 人気度
43.8K 人気度
45.3K 人気度
40.6K 人気度
5.7K 人気度
驚險一簽!暗号化クジラ因悪意の署名で628万ドルを失う
9月18日に、ある暗号資産クジラが驚くべき財産損失に見舞われました。無害に見える署名操作が原因で、600万ドル以上のステークイーサリアム(stETH)とAaveで包装されたビットコイン(aEthWBTC)が盗まれました。ブロックチェーンセキュリティ会社のScam Snifferは、この投資家が巧妙に設計されたフィッシング攻撃で、悪意のある「許可」署名を誤って承認し、攻撃者がGas費用を支払うことなく彼のウォレットを空にできるようにしたと報告しています。
「サイレント」攻撃:1つの署名、628万ドルが一瞬で消えた
!
(出典:X)
安全会社SlowMistの創設者Yu Xianは、この事件について詳細な分析を行い、この種の攻撃の恐ろしさを明らかにしました。彼は次のように述べています:
「被害者の視点から見ると、彼はただ数回クリックし、ウォレットにポップアップした署名を確認しただけで、ガス代を一銭も使わずに、628万ドルが消えてしまった。」
この攻撃の恐ろしさは、その隠密性にあります。攻撃者は巧妙に悪意のある操作を通常のウォレット確認手順に偽装し、被害者を誘惑して資産の移転を許可させ、警告を引き起こすことなく行います。取引がGasを消費しないため、被害者は資産が移転されるまで危険に全く気づいていませんでした。
「許可」の脆弱性:便利さの裏に潜む致命的なリスク
この種の攻撃は「Permit」と呼ばれる機能の脆弱性を利用しています。この機能は本来、トークン移転プロセスを簡素化することを目的としていました:ユーザーはオンチェーンコマンドを実行し、ガス代を支払う必要はなく、オフチェーンメッセージに署名するだけで第三者に権限を与えることができます。
しかし、この利便性は悪意のある攻撃者に新たな攻撃面を開くことにもなります。被害者が「許可証」に署名すると、攻撃者は二つの関数——Permit と TransferFrom——を組み合わせて直接資産を引き出すことができます。承認はオンチェーンではなくオフチェーンで行われるため、資産が引き出される前にウォレットのダッシュボードには異常な活動が表示されることはありません。
結果、取引がブロックチェーン上で実行されると、すべてのトークンが攻撃者のウォレットに移動されました。この脆弱性がPermit攻撃をハッカーにとってますます魅力的にし、彼らは複雑なハッキング技術や高額なガス費用なしに数百万ドルを引き出すことができるようになりました。
フィッシング攻撃の急増:8月の損失は1217万ドルに達する
この事件は孤立したものではなく、ネットフィッシング活動がますます横行している傾向を反映しています。Scam Sniffer の統計によると、8 月だけで攻撃者は 15,200 人以上の被害者から 1,217 万ドルを盗み、7 月に比べて驚異的に 72% 増加しました。
さらに懸念されるのは、損失のほぼ半分が3つの大規模なウォレットから来ており、そのうちの1つのウォレットは1回の事件で308万ドルを失ったことです。これは、攻撃者が高純資産の暗号資産保有者を標的にしていることを示しています。
Scam Sniffer の分析によれば、この増加は主に EIP-7702 に関連する詐欺(バルク署名詐欺)およびユーザーが悪意のある契約に誤って直接署名することによるものである。
専門家のアドバイス:暗号資産を保護する方法
このような攻撃の増加を受けて、セキュリティ専門家は暗号資産ユーザーが自分の資産を保護するための以下の提案を行っています:
· すべてのウォレットの署名要求に対して高い警戒を維持してください。特に、資産への無制限アクセス権を付与するよう求める要求には注意してください。
· 詳細な取引プレビューをサポートするハードウェアウォレットを使用することで、悪意のある取引を特定するのに役立ちます。
· いかなる許可や承認に署名する前に、取引の詳細を慎重に確認し、自分が承認している内容を理解していることを確認してください。
· マルチシグウォレットの使用や取引限度額の設定を検討し、単一障害点のリスクを減らす。
· 定期的に付与された許可を確認し、もはや必要のない許可を取り消すこと
この事件は再び私たちに、暗号資産の世界では最も簡単な操作でも巨大なリスクを伴う可能性があることを思い出させます。攻撃者が新しい詐欺手段を開発し続ける中、警戒を保ち、最新のセキュリティ脅威を理解することがこれまで以上に重要になっています。