$10 フィッシング攻撃の後、トルネードキャッシュに移動した暗号資産の100万

2024年3月22日

2023年に、ある暗号通貨の「クジラ」が、巧妙なフィッシング攻撃によって重要な金融資産を失いました。この攻撃では、被害者が知らず知らずのうちに取引を承認し、攻撃者にデジタル資産へのアクセスを許可してしまったのです。

2023年9月のフィッシング事件に関与した侵害されたアカウントは、現在、取引の痕跡を隠すために設計された暗号通貨ミキシングサービスであるTornado Cashに$10 百万相当のイーサを転送しました。

2023年3月21日、ブロックチェーンセキュリティ企業CertiKは、$24 ミリオンハッキングに関連するアカウントが3,700 ETHをTornado Cashに移動したことを特定しました。これらの資金は、2023年9月6日のフィッシング事件の際に暗号通貨のクジラから盗まれたものでした。

攻撃の詳細と資産の移動

最初の攻撃は、Rocket Poolの流動性ステーキングサービス上の資産を標的にした2つの異なるフェーズで発生しました。最初のフェーズでは9,579 stETHが盗まれ、2つ目のフェーズでは被害者のウォレットから4,851 rETHが抽出されました。

セキュリティプロジェクトScam Snifferは、被害者が「増加許可」トランザクションを承認したことを明らかにしました。これは、攻撃者が自らの利益のためにトークン転送を承認できる重大なセキュリティ脆弱性です。このERC-20トークン機能は、正当な承認が与えられた場合に、第三者が他者のトークンを使用できることを許可します。

トークン承認の脆弱性は、ブロックチェーンセキュリティコミュニティ内で重要な議論のテーマとなっており、セキュリティ専門家は、これらの許可システムを悪用する悪意のあるスマートコントラクトの実装による潜在的な危険性を強調しています。

ファンドのトレースとコンバージョン

ブロックチェーンセキュリティ企業のPeckShieldは、攻撃者が盗まれた資産を13,785 ETHと164万DAIステーブルコインに変換したことを記録しました。これらのDAIトークンの一部はその後FixedFload取引所に送金され、残りの盗まれた資金は追跡を困難にするために複数のウォレットに分配されました。

業界全体のフィッシング脅威

フィッシング攻撃は、暗号通貨エコシステム全体のデジタル資産セキュリティに対して依然として重大な脅威をもたらしています。Scam Snifferの最近の報告によると、2月だけでフィッシング関連の詐欺で約$47 百万が失われました。

この報告書では、これらの盗難事件の78％がイーサリアムネットワークで発生し、ERC-20トークンが不正に流用された資金の86％を占めていることが強調されました。

最近の契約搾取事件

トークン承認の脆弱性が最近、他の重大な損失を引き起こしました。3月20日、Dolomite取引所によって以前に使用されていた古い契約が悪用され、契約を承認していたユーザーから180万ドルが引き抜かれました。

この事件を受けて、Dolomiteの開発チームは、さらなる損失を防ぐために、すべての許可を廃止された契約アドレスに対して取り消すようユーザーに緊急に勧告しました。

セキュリティ対応の効果

一部の暗号通貨の盗難試みは substantial な損失をもたらすが、効果的なセキュリティ対策により被害を抑えることができる。3月20日、Layerswap チームは、ドメインプロバイダーの迅速な対応のおかげで、ウェブサイトの侵害を無事に抑制した。

迅速な介入にもかかわらず、攻撃者は約50人のユーザーから約100,000ドルを引き出すことに成功しました。Layerswapは、影響を受けたユーザーへの返金と、不便を引き起こしたことに対する追加の補償を提供することを約束しました。

これらのセキュリティインシデントは、デジタル資産空間におけるフィッシング攻撃の持続的なリスクを強調し、セキュリティ意識の重要性を浮き彫りにしています。トークン承認メカニズムやスマートコントラクトの脆弱性の悪用は、暗号通貨の保有を保護するために、ユーザー教育とセキュリティプラクティスの強化が必要であることを示しています。

攻撃者がますます巧妙な手法を展開する中、暗号通貨保有者は取引を承認し、スマートコントラクトの相互作用を承認する際に警戒を怠らない必要があります。これらの進化する脅威に対抗するためのより堅牢な保護措置を開発するには、セキュリティ企業、プラットフォーム、および広範なコミュニティとの継続的な協力が不可欠です。