投資
ローンチパッド
CandyDrop
キャンディーを集めてエアドロップを獲得
Launchpool
クイックステーキング
潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のエアドロップを無料で入手
Launchpad
NEW
次の大きなトークンプロジェクトを一足先に
Alphaポイント
NEW
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
NEW
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
もっと
- 人気の話題もっと見る
1.87K 人気度
62.3K 人気度
121.03K 人気度
69.43K 人気度
185.64K 人気度
- 人気の Gate Funもっと見る
- 時価総額:$3.59K保有者数:20.09%
- 時価総額:$3.51K保有者数:10.00%
- 時価総額:$3.87K保有者数:51.53%
- 時価総額:$3.56K保有者数:10.00%
- 時価総額:$3.55K保有者数:10.00%
- ピン
暗号通貨のホエール、巧妙なフィッシング詐欺で$10 百万ドルを失う、盗まれた資産はミキシングサービスを通じて移動される
重大なセキュリティ侵害により、暗号通貨コミュニティは再び警戒態勢を強めています。2023年9月、ある投資家が協調されたフィッシング攻撃の被害に遭い、$24 百万ドル相当のステーキング済みデジタル資産が流出しました。この事件が特に注目されるのは、単なる巨額の損失だけでなく、技術的な高度さと盗まれた資金の追跡を困難にする隠蔽チャネルの使用にあります。
攻撃の展開:二段階の強盗
攻撃は、主要なステーキングプロトコルにおける被害者の保有資産を狙った計画的な二段階で行われました。最初の侵害では、Rocket Poolの流動性ステーキングサービスから9,579 stETHが吸い出されました。次の段階では、さらに4,851 rETHが盗まれ、総損失額は$24 百万ドルに達しました。3月21日までに、ブロックチェーンフォレンジック企業CertiKは、攻撃者が3,700 ETH(最近の市場状況に基づき約$10 百万ドル相当)をTornado Cashのミキシングサービスに送金し、資金の出所と動きを隠蔽したことを追跡しています。
トークン承認が弱点になった理由
この攻撃は、非常に単純ながら効果的な手法、すなわちトークン承認メカニズムの悪用を利用しました。詐欺検出プラットフォームのScam Snifferによると、被害者は知らず知らずのうちに「Allowancesの増加」トランザクションを承認してしまっていたことが判明しました。この一見無害に見える操作により、攻撃者はスマートコントラクトの自動化を利用してERC-20トークンを自由に転送できる危険な権限を得てしまったのです。
この脆弱性は、Ethereumのトークン標準の仕組みに起因します。ユーザーが分散型アプリケーションとやり取りする際、多くの場合、コントラクトに資産の使用許可を与えますが、これが一つの取引を超えて資産を管理できる権限を与えることになり、巧妙な犯罪者にとって攻撃の主要な入口となっています。
トークン変換の流れ
セキュリティ分析企業PeckShieldは、攻撃者の変換戦略を記録しています。盗まれたデジタル資産は、体系的に13,785 ETHに変換されました(現在のレートで1ETHあたり約$2.95K)、および1.64百万Daiステーブルコイン(1ドルのペッグを維持しながら変換されました)。一部のDaiはFixedFload取引所を通じてルーティングされ、残りは追跡不可能なウォレットアドレスに消えていきました。
系統的な問題の拡大
この$10 百万ドルの事件は、より大きなセキュリティ危機の一端に過ぎません。最近のデータは、フィッシング関連の詐欺が2月だけでほぼ$47 百万ドルを流出させたという憂慮すべき状況を示しています。リスクの集中も深刻で、これらの盗難の78%はEthereumネットワークを対象とし、ERC-20トークンが盗まれた資金の86%を占めています。
この脆弱性は、孤立した事件にとどまりません。この事件が注目される直前には、古くなったDolomite取引所のスマートコントラクトが悪用され、以前に承認権限を与えたユーザーから$1.8百万ドルを盗みました。Dolomiteは緊急対応として、ユーザーに対し脆弱なコントラクトアドレスからの承認を取り消すよう警告しました。
検出が成功したケース:Layerswap事件
すべてのセキュリティ侵害が資産の完全喪失につながるわけではありません。3月20日のLayerswap事件は、迅速なインシデント対応の重要性を示しています。攻撃者はプラットフォームのウェブサイトを侵害し、約50のユーザーアカウントから$100,000を抽出しましたが、チームの迅速な調整とドメイン提供者との連携により、より大きな被害を防ぎました。特に、Layerswapは、影響を受けたすべてのユーザーに補償し、混乱に対する追加の賠償も約束しています。
これがコミュニティ全体に与える意味
これらの連鎖的な事件は、ブロックチェーンプロトコルとのやり取りにおける重大な脆弱性を浮き彫りにしています。トークン承認は、真の分散型金融機能を可能にしますが、巧妙なソーシャルエンジニアリング攻撃のトロイの木馬ともなっています。フィッシングは依然として低技術でありながら、ユーザーを騙して偽サイトに誘導し、悪意のあるトランザクションを承認させる手口であり、その破壊力は計り知れません。
今後の対策には、多層的な防御策が必要です。無制限のコントラクト承認のリスクについてのユーザー教育の強化、より制限的なトークン承認基準の策定、フィッシング検出ツールの改善、そして確立されたプラットフォームのセキュリティ監査の強化が求められます。攻撃がより高度化・協調化する中、セキュリティ企業、プロトコル開発者、個々のユーザーが常に警戒を怠らず、すべての取引を慎重に検証し続ける必要があります。