2023年9月にさかのぼる重要なセキュリティインシデントでは、暗号資産投資家が高度なフィッシング攻撃の犠牲となり、最終的に2400万ドル相当のステーク済み資産を失いました。特に注目すべきは、攻撃者がEthereumの10百万ドル相当をTornado Cashという暗号通貨のミキシングサービスに送金したことで、資金の出所を隠すために一般的に使用されているサービスです。この事件は、暗号投資家を狙ったサイバー脅威の高度化と、ユーザーがスマートコントラクトとやり取りする際の重要な脆弱性を浮き彫りにしています。この侵害は、被害者が何気ないトークン取引を承認したことから始まりました。「Increase Allowance」と呼ばれる手法を通じて、攻撃者は投資家の暗号資産のプログラム的アクセスを獲得しました。CertiKを含むブロックチェーンセキュリティ企業は、3月21日に侵害されたアカウントを特定し、約3,700 ETHがTornado Cashに流出したことを明らかにしました。これは、Rocket Poolの流動ステーキングサービスからのstETHやrETHトークンを含む、合計2400万ドルの損失の一部です。当時のETHの価格は約2,980ドルであり、被害者にとっては莫大な資本損失となりました。## トークン承認が暗号ユーザーに対する武器となった経緯この攻撃は、EthereumのERC-20トークン標準の基本的な仕組みを悪用したものです。ユーザーが分散型アプリケーションとやり取りする際、多くの場合スマートコントラクトにトークンの移動許可を与えますが、これは便利さのための機能であり、攻撃者にとっては格好の標的となっています。Scam Snifferの詐欺検出専門家によると、被害者は知らず知らずのうちにトークンの許容量机制を通じて支出権限を承認し、攻撃者に暗号資産の管理権を渡してしまったのです。この手法は新しいものではありませんが、その蔓延は憂慮すべきものです。PeckShieldの分析によると、攻撃者は盗まれた資産を約13,785 ETHと1.64百万DAIに変換しました(いずれも現在の市場価格で約1.00ドル相当)。一部のDAIはFixedFload取引所に送金されましたが、盗まれた資金の大部分は複数のウォレットを経由して追跡を困難にしています。## Tornado Cashとの関係:盗まれた暗号資産のマネーロンダリングTornado Cashは、犯罪インフラの重要な一部として機能しています。暗号通貨をこのミキシングサービスに預けることで、攻撃者はブロックチェーンの透明性を破壊します。これは、暗号通貨の大きな利点とされていた透明性を逆手に取った行為です。10百万ドルの送金は、攻撃者が追跡可能な盗難から身を隠し、資金を現金化または移動させる試みを示しています。## 損失増加のパターン:2023年2月のフィッシング詐欺で4700万ドル2023年9月の事件は孤立したものではありません。Scam Snifferの包括的な報告によると、2023年2月だけで約4700万ドルがフィッシング詐欺により失われました。驚くべきことに、これらの盗難の78%はEthereumネットワーク上で発生し、ERC-20トークンが盗まれた資産の86%を占めています。このデータは、長年のセキュリティ警告にもかかわらず、投資家が依然として比較的単純な手法で巨額の資金を失い続けている現実を浮き彫りにしています。最近の事例は、この脆弱性の範囲をさらに示しています。3月20日、脅威アクターは古いDolomite取引所のコントラクトを悪用し、以前にトークン承認を与えたユーザーから180万ドルを引き出しました。Dolomiteの開発者は、すぐに古いコントラクトアドレスへのすべての権限を取り消すようにユーザーに緊急に呼びかけましたが、すでに侵害された資金には手遅れでした。## セキュリティ対応が功を奏したケース:Layerswapの事例すべての暗号セキュリティインシデントが資産の完全喪失につながるわけではありません。Dolomiteが悪用された同じ日に、Layerswapチームは不正アクセスを検知し、ウェブサイトの攻撃を封じ込めることに成功しました。迅速な対応により完全な被害は防がれましたが、それでも約50人のユーザーから約10万ドルが流出しました。Layerswapは被害者への返金と追加補償を約束しており、これは暗号エコシステムの中では稀有な対応です。## まとめ:なぜ攻撃者はフィッシングとトークン承認を狙うのか暗号通貨におけるフィッシング攻撃の持続性は、その効果と比較的単純さに起因します。複雑なスマートコントラクトの脆弱性を突く攻撃と異なり、トークン承認詐欺はソーシャルエンジニアリングやユーザーの過失を利用しています。10百万ドルをTornado Cashに流出させたり、侵害されたコントラクトを通じて少額を引き出したりするすべての資産喪失は、ユーザーの意識不足とセキュリティインフラの脆弱さの両方の失敗を示しています。暗号参加者にとって、重要な教訓は次の通りです。すべてのコントラクト承認を注意深く確認し、自分がどの許可を与えているのか理解し、Etherscanなどのプラットフォームで定期的にアクティブな承認を監査することです。業界としては、より良い検出ツールの共同開発、明確な警告システムの構築、ユーザーがフィッシング詐欺を認識できる教育活動が求められます。これらの対策が標準となるまで、攻撃者はフィッシングやトークン承認の脆弱性を悪用して何百万ドルもの暗号資産を奪い続けるでしょう。
攻撃者、ホエールのアカウントに対するフィッシング攻撃後に$10 百万の暗号資産を吸い上げる
2023年9月にさかのぼる重要なセキュリティインシデントでは、暗号資産投資家が高度なフィッシング攻撃の犠牲となり、最終的に2400万ドル相当のステーク済み資産を失いました。特に注目すべきは、攻撃者がEthereumの10百万ドル相当をTornado Cashという暗号通貨のミキシングサービスに送金したことで、資金の出所を隠すために一般的に使用されているサービスです。この事件は、暗号投資家を狙ったサイバー脅威の高度化と、ユーザーがスマートコントラクトとやり取りする際の重要な脆弱性を浮き彫りにしています。
この侵害は、被害者が何気ないトークン取引を承認したことから始まりました。「Increase Allowance」と呼ばれる手法を通じて、攻撃者は投資家の暗号資産のプログラム的アクセスを獲得しました。CertiKを含むブロックチェーンセキュリティ企業は、3月21日に侵害されたアカウントを特定し、約3,700 ETHがTornado Cashに流出したことを明らかにしました。これは、Rocket Poolの流動ステーキングサービスからのstETHやrETHトークンを含む、合計2400万ドルの損失の一部です。当時のETHの価格は約2,980ドルであり、被害者にとっては莫大な資本損失となりました。
トークン承認が暗号ユーザーに対する武器となった経緯
この攻撃は、EthereumのERC-20トークン標準の基本的な仕組みを悪用したものです。ユーザーが分散型アプリケーションとやり取りする際、多くの場合スマートコントラクトにトークンの移動許可を与えますが、これは便利さのための機能であり、攻撃者にとっては格好の標的となっています。Scam Snifferの詐欺検出専門家によると、被害者は知らず知らずのうちにトークンの許容量机制を通じて支出権限を承認し、攻撃者に暗号資産の管理権を渡してしまったのです。
この手法は新しいものではありませんが、その蔓延は憂慮すべきものです。PeckShieldの分析によると、攻撃者は盗まれた資産を約13,785 ETHと1.64百万DAIに変換しました(いずれも現在の市場価格で約1.00ドル相当)。一部のDAIはFixedFload取引所に送金されましたが、盗まれた資金の大部分は複数のウォレットを経由して追跡を困難にしています。
Tornado Cashとの関係:盗まれた暗号資産のマネーロンダリング
Tornado Cashは、犯罪インフラの重要な一部として機能しています。暗号通貨をこのミキシングサービスに預けることで、攻撃者はブロックチェーンの透明性を破壊します。これは、暗号通貨の大きな利点とされていた透明性を逆手に取った行為です。10百万ドルの送金は、攻撃者が追跡可能な盗難から身を隠し、資金を現金化または移動させる試みを示しています。
損失増加のパターン:2023年2月のフィッシング詐欺で4700万ドル
2023年9月の事件は孤立したものではありません。Scam Snifferの包括的な報告によると、2023年2月だけで約4700万ドルがフィッシング詐欺により失われました。驚くべきことに、これらの盗難の78%はEthereumネットワーク上で発生し、ERC-20トークンが盗まれた資産の86%を占めています。このデータは、長年のセキュリティ警告にもかかわらず、投資家が依然として比較的単純な手法で巨額の資金を失い続けている現実を浮き彫りにしています。
最近の事例は、この脆弱性の範囲をさらに示しています。3月20日、脅威アクターは古いDolomite取引所のコントラクトを悪用し、以前にトークン承認を与えたユーザーから180万ドルを引き出しました。Dolomiteの開発者は、すぐに古いコントラクトアドレスへのすべての権限を取り消すようにユーザーに緊急に呼びかけましたが、すでに侵害された資金には手遅れでした。
セキュリティ対応が功を奏したケース:Layerswapの事例
すべての暗号セキュリティインシデントが資産の完全喪失につながるわけではありません。Dolomiteが悪用された同じ日に、Layerswapチームは不正アクセスを検知し、ウェブサイトの攻撃を封じ込めることに成功しました。迅速な対応により完全な被害は防がれましたが、それでも約50人のユーザーから約10万ドルが流出しました。Layerswapは被害者への返金と追加補償を約束しており、これは暗号エコシステムの中では稀有な対応です。
まとめ:なぜ攻撃者はフィッシングとトークン承認を狙うのか
暗号通貨におけるフィッシング攻撃の持続性は、その効果と比較的単純さに起因します。複雑なスマートコントラクトの脆弱性を突く攻撃と異なり、トークン承認詐欺はソーシャルエンジニアリングやユーザーの過失を利用しています。10百万ドルをTornado Cashに流出させたり、侵害されたコントラクトを通じて少額を引き出したりするすべての資産喪失は、ユーザーの意識不足とセキュリティインフラの脆弱さの両方の失敗を示しています。
暗号参加者にとって、重要な教訓は次の通りです。すべてのコントラクト承認を注意深く確認し、自分がどの許可を与えているのか理解し、Etherscanなどのプラットフォームで定期的にアクティブな承認を監査することです。業界としては、より良い検出ツールの共同開発、明確な警告システムの構築、ユーザーがフィッシング詐欺を認識できる教育活動が求められます。これらの対策が標準となるまで、攻撃者はフィッシングやトークン承認の脆弱性を悪用して何百万ドルもの暗号資産を奪い続けるでしょう。