スマートコントラクトが武器に：$10 百万がフィッシング侵害で流出

暗号通貨の世界は、3月にセキュリティ監査会社CertiKが$10 百万ドル相当のETHがTornado Cashに移動しているのを追跡したことで、再び目覚めの警鐘を鳴らしました。Tornado Cashは、盗まれた資産の洗浄で悪名高い暗号通貨のミキシングサービスです。これは単なるウォレットのハッキングではありませんでした。攻撃者は、一見無害に見えるスマートコントラクトの機能を巧みに悪用し、投資者から資金を引き出しました。

トークン承認が罠に変わる仕組み

ここで危険が生じます：被害者は知らず知らずのうちに「許容量増加」トランザクションを承認してしまいました。この機能はERC-20トークン規格に組み込まれており、便利さのために設計されたものです。スマートコントラクトにあなたの許可を得てトークンを使わせることができます。しかし、このケースでは、攻撃者はこれを巧みに悪用しました。資金を直接盗む代わりに、資産を承認し、自由に転送できる権限を得たのです。まるで誰かに空白の小切手を渡し、それを現金化されるのを願うようなものです。

ブロックチェーン詐欺検出プラットフォームのScam Snifferは、この仕組みが働いていることを正確に特定しました。攻撃者は盗んだ資産を13,785 ETH（現在の価格で約4060万ドル相当）と1.64百万Daiに変換し、追跡を難しくするために取引所を通じて一部を巧みにルーティングしました。

数字が語る衝撃の実態

この事件は、2023年9月のフィッシングキャンペーンとつながっています。この攻撃では、暗号通貨の大口投資家（ホエール）が標的となり、最初の攻撃でステーキングしたETHの(百万ドルを失いました。攻撃は二段階で行われ、最初に9,579のstETHを奪い、その後同じアカウントから4,851のrETHを奪いました。

しかし、9月の事件はこれだけではありません。最近のデータによると、2月だけでほぼ)百万ドルがフィッシング関連の詐欺で消え、その78%がEthereumとERC-20トークンによるもので、盗まれた資金の86%を占めています。パターンは明白です：トークン承認は攻撃者のお気に入りの裏口となっています。

古いコントラクトが攻撃の標的に

3月にはさらに問題が浮上しました。かつてDolomite取引所で使用されていたレガシースマートコントラクトが侵害され、以前に承認権を付与していたユーザーから180万ドル相当の資産が流出しました。Dolomiteのチームは緊急の取り消し勧告を発し、ユーザーに脆弱なコントラクトアドレスからの承認を撤回するよう促しました。

Layerswapの事件もまた、別の脆弱性を明らかにしました。フィッシングによるウェブサイトの侵害により、約50人のユーザーが10万ドル相当の資産を失いましたが、チームとドメイン提供者が対応し、侵害を封じ込めました。Layerswapは全額返金と補償を約束しましたが、被害は避けられませんでした。

より大きな視野：教育と技術の融合

これらは孤立した事件ではなく、システム的な問題の兆候です。トークン承認はブロックチェーンの機能へのアクセスを民主化しましたが、同時に危険な盲点も生み出しました。ユーザーは、実際にどの許可を与えているのか理解せずにコントラクトを承認してしまうことが多いのです。平均的なユーザーと攻撃者の間の技術的な理解のギャップはますます広がっています。

CertiKやPeckShieldのようなセキュリティ企業は、防御の最前線で活動し、ブロックチェーンの取引を分析し、不審な動きを警告しています。しかし、事後の検出だけでは損失を防げません。必要なのは、ユーザーがスマートコントラクトとどのように関わるかの意識を変えることです。すべての承認を検証し、各許可の内容を理解し、ウォレットの操作全体に注意を払うことです。

暗号コミュニティは、より良いツールの開発、承認プロセスのUI/UXの改善、そして継続的な教育キャンペーンに投資すべきです。技術的な現実とユーザーの理解のギャップが縮まるまでは、トークン承認を悪用したフィッシング攻撃はこの分野で最も根強い脅威の一つであり続けるでしょう。