クジラは6百万USD以上を悪意のある署名の誤記によって失った

1匹の暗号通貨のクジラが、6百万USD以上の損失を被った。損失は、ステーキングされたイーサリアム(stETH)とAaveラップビットコイン(aEthWBTC)を含んでおり、9月18日のフィッシング攻撃で悪意のある署名を誤って承認したことによるものだと、ブロックチェーンセキュリティ会社のScam Snifferが報告している。

報告によると、攻撃者はこの行動を「Permit」署名を通じて通常のウォレット確認の形に偽装し、被害者を欺いて警告の兆候を示さずに資産の移転を許可させた。

Yu Xian、SlowMistの創設者は、被害者がガストランザクションが不要なために危険を認識しなかったと述べました。彼は書いています:

「被害者の視点から見ると、彼はウォレットから現れた署名ウィンドウを確認するために数回クリックしただけで、ガス代は一銭もかからず、628万ドルが消えてしまった。」

Permitエクスプロイトの仕組み

「Permit」機能は、トークンの転送を簡素化するために設計されています。オンチェーンで命令を実行し、ガス料金を支払う代わりに、ユーザーはオフチェーンでメッセージに署名して他の者に権限を与えることができます。

しかし、この便利さは悪者に新しい攻撃面を開いてしまいました。被害者が「パーミット」に署名すると、攻撃者は二つの機能—パーミットとトランスファーフロム—を組み合わせて資産を直接引き出すことができます。委任がオフチェーンで行われるため、ウォレットのダッシュボードには資産が引き出されるまで異常な活動が表示されません。

結果として、オンチェーンで取引が実行されると、すべてのトークンが攻撃者のウォレットに移動しました。これは、Permit exploitがハッカーのお気に入りのツールになっている隙間であり、彼らが複雑なハッキング技術や高額なガス代を必要とせずに数百万USDを引き出すことを可能にします。

フィッシングによる被害の増加

今回の事件はフィッシングキャンペーンの急増傾向を反映しています。

Scam Snifferによれば、8月だけで攻撃者は15,200人以上の犠牲者から1,217万USDを盗み、7月と比べて72%増加しました。特に、損失のほぼ半分が3つの大きなウォレットから来ており、その中には1回の攻撃で308万USDを失ったウォレットもあります。

会社は、この増加が主にEIP-7702 (バッチ署名詐欺)に関連する詐欺行為と、ユーザーが誤って悪質な契約に直接転送してしまったことから来ていると考えています。

この状況を受けて、セキュリティ専門家は暗号通貨ユーザーに対し、特に自分の資産への無制限アクセス権を与えないように、ウォレットからの要求に署名する際に十分注意するよう勧告しています。

ヴォン・ティエン