2023年9月のフィッシング攻撃に関連付けられた暗号通貨ウォレットが、デジタル資産エコシステムにおける継続的なセキュリティの課題を浮き彫りにする形で、イーサリアムで$10 百万相当を暗号通貨ミキシングサービスTornado Cashに移動しました。## 攻撃の詳細と資金の動き3月21日、ブロックチェーンセキュリティ会社CertiKは、2023年9月のハッキングに関与したアカウントが3,700 ETH (およそ$10 百万)をTornado Cashに転送したことを特定しました。このアカウントは、暗号通貨の「クジラ」 - 大量の暗号通貨を保有する個人を指す用語 - から$24 百万のデジタル資産が盗まれるという重大なセキュリティ侵害に関連していました。最初の事件は2023年9月6日に発生し、被害者はRocket Pool流動性ステーキングサービスを通じてステーキングされたETHの substantial holdings を失いました。洗練された攻撃は2つの異なるフェーズで実行されました:- 第一段階:9,579 stETHの抽出 (ステークされたイーサリアム)- 第2フェーズ:プールETH( )Rocket 4,851rETHの盗難## 技術的な脆弱性の悪用Scam Snifferプロジェクトによると、詐欺検出に焦点を当てたセキュリティイニシアティブで、被害者は「増加許可」トランザクションを誤って承認しました。この重大なセキュリティエラーにより、攻撃者は不正なトークンの転送を承認することができました。この悪用は、ERC-20トークン標準の承認メカニズムを利用しました。このメカニズムは、他者が所有するトークンを第三者が使用できるようにします。適切に認可されている場合には正当な機能ですが、誤用されると危険です。このことは、暗号通貨のセキュリティ界隈でトークンの承認機能に内在するリスクについて重要な議論を引き起こしています。## 資産の変換と分配ブロックチェーンセキュリティ監視会社のPeckShieldは、盗難後に攻撃者が盗まれた資産を次のように変換したことを記録しました:- 13,785 エーテル- 164万Daiステーブルコインハッカーはその後、これらの資産を戦略的に配布し、一部のDAIをFixedFload取引所に移し、残りの盗まれた資金をさまざまな他の暗号通貨ウォレットに移動しました。## 業界全体のフィッシング問題この事件は孤立したものではなく、暗号通貨のセキュリティにおける懸念すべきトレンドの一部です。Scam Snifferプロジェクトのデータによると、2月だけで暗号通貨分野におけるフィッシング関連詐欺による損失はほぼ$47 百万に達しました。その報告は攻撃パターンに関する重要な洞察を提供しました:- 78%の盗難はイーサリアムネットワーク上で発生しました- ERC-20トークンは盗まれた資金の86%を占めていました## 関連するセキュリティインシデントトークン承認の脆弱性が最近、他の重大な損失を引き起こしました。3月20日、ドルマイト取引所で以前に使用されていた古い契約が悪用され、契約に対して権限を与えたユーザーから180万ドルが盗まれました。これに対し、ドルマイトの開発者は緊急にユーザーに対し、侵害された契約アドレスに対して与えたすべての権限を取り消すように助言しました。すべての攻撃が完全な損失をもたらすわけではありません。3月20日の別の事件では、Layerswapチームがウェブサイトが侵害された際に、ドメインプロバイダーの迅速な介入のおかげで損害を制限することに成功しました。彼らの努力にもかかわらず、約100,000ドルが約50人のユーザーから盗まれました。Layerswapは、これらの損失を補償し、影響を受けたユーザーに追加の補償を提供することを約束しました。## セキュリティへの影響これらの事件は、暗号通貨エコシステムにおけるフィッシング攻撃の持続的な脅威を浮き彫りにしています。トークン承認メカニズムとスマートコントラクトの脆弱性の悪用は、デジタル資産保有者の間でのセキュリティ対策の強化の必要性を示しています。攻撃がますます高度化する中、暗号通貨ユーザーは警戒を強め、すべての取引を慎重に確認し、契約の承認を定期的に見直す必要があります。セキュリティ企業、プラットフォーム運営者、そして広範なコミュニティの協力が、デジタル資産をよりよく保護し、暗号通貨の運用にとってより安全な環境を作り出すための、より堅牢なツールと手順の開発に不可欠です。
ハッカーがフィッシング攻撃から$10 百万をトルネードキャッシュに転送
2023年9月のフィッシング攻撃に関連付けられた暗号通貨ウォレットが、デジタル資産エコシステムにおける継続的なセキュリティの課題を浮き彫りにする形で、イーサリアムで$10 百万相当を暗号通貨ミキシングサービスTornado Cashに移動しました。
攻撃の詳細と資金の動き
3月21日、ブロックチェーンセキュリティ会社CertiKは、2023年9月のハッキングに関与したアカウントが3,700 ETH (およそ$10 百万)をTornado Cashに転送したことを特定しました。このアカウントは、暗号通貨の「クジラ」 - 大量の暗号通貨を保有する個人を指す用語 - から$24 百万のデジタル資産が盗まれるという重大なセキュリティ侵害に関連していました。
最初の事件は2023年9月6日に発生し、被害者はRocket Pool流動性ステーキングサービスを通じてステーキングされたETHの substantial holdings を失いました。洗練された攻撃は2つの異なるフェーズで実行されました:
技術的な脆弱性の悪用
Scam Snifferプロジェクトによると、詐欺検出に焦点を当てたセキュリティイニシアティブで、被害者は「増加許可」トランザクションを誤って承認しました。この重大なセキュリティエラーにより、攻撃者は不正なトークンの転送を承認することができました。
この悪用は、ERC-20トークン標準の承認メカニズムを利用しました。このメカニズムは、他者が所有するトークンを第三者が使用できるようにします。適切に認可されている場合には正当な機能ですが、誤用されると危険です。このことは、暗号通貨のセキュリティ界隈でトークンの承認機能に内在するリスクについて重要な議論を引き起こしています。
資産の変換と分配
ブロックチェーンセキュリティ監視会社のPeckShieldは、盗難後に攻撃者が盗まれた資産を次のように変換したことを記録しました:
ハッカーはその後、これらの資産を戦略的に配布し、一部のDAIをFixedFload取引所に移し、残りの盗まれた資金をさまざまな他の暗号通貨ウォレットに移動しました。
業界全体のフィッシング問題
この事件は孤立したものではなく、暗号通貨のセキュリティにおける懸念すべきトレンドの一部です。Scam Snifferプロジェクトのデータによると、2月だけで暗号通貨分野におけるフィッシング関連詐欺による損失はほぼ$47 百万に達しました。
その報告は攻撃パターンに関する重要な洞察を提供しました:
関連するセキュリティインシデント
トークン承認の脆弱性が最近、他の重大な損失を引き起こしました。3月20日、ドルマイト取引所で以前に使用されていた古い契約が悪用され、契約に対して権限を与えたユーザーから180万ドルが盗まれました。これに対し、ドルマイトの開発者は緊急にユーザーに対し、侵害された契約アドレスに対して与えたすべての権限を取り消すように助言しました。
すべての攻撃が完全な損失をもたらすわけではありません。3月20日の別の事件では、Layerswapチームがウェブサイトが侵害された際に、ドメインプロバイダーの迅速な介入のおかげで損害を制限することに成功しました。彼らの努力にもかかわらず、約100,000ドルが約50人のユーザーから盗まれました。Layerswapは、これらの損失を補償し、影響を受けたユーザーに追加の補償を提供することを約束しました。
セキュリティへの影響
これらの事件は、暗号通貨エコシステムにおけるフィッシング攻撃の持続的な脅威を浮き彫りにしています。トークン承認メカニズムとスマートコントラクトの脆弱性の悪用は、デジタル資産保有者の間でのセキュリティ対策の強化の必要性を示しています。
攻撃がますます高度化する中、暗号通貨ユーザーは警戒を強め、すべての取引を慎重に確認し、契約の承認を定期的に見直す必要があります。セキュリティ企業、プラットフォーム運営者、そして広範なコミュニティの協力が、デジタル資産をよりよく保護し、暗号通貨の運用にとってより安全な環境を作り出すための、より堅牢なツールと手順の開発に不可欠です。