44万ドルのハッキングがイーサリアム上の「許可証」詐欺の脅威を暴露

財布所有者が誤って悪意のある「許可証」署名に署名したことで、ハッカーが44万ドル以上のUSDCを盗んだと、フィッシング防止プラットフォームScam Snifferが月曜日に発表した警告が伝えました。

この事件は、フィッシング攻撃による被害が急増している中で起きました。11月だけでも、6,000人以上の被害者から約777万ドルが引き出され、10月から137%増加しましたが、被害者数は42%減少しました。

報告書によると、「クジラ狩り」は増加し続けており、最大のケースは1件の許可署名だけで122万ドルに達しました。これは、事件数は減少したものの、被害者一人あたりの被害額は大幅に増加していることを示しています。

許可証詐欺とは何ですか?

許可詐欺は、一見正当に見える取引にユーザーを騙して署名させる手法を悪用しますが、実際には攻撃者にお金を使う権利を与えます。多くの悪意のあるdAppsは、コンテンツを偽装したり、契約名を偽装したり、ルーチン操作のように見える署名リクエストを作成したりします。

ユーザーが再確認しなければ、その署名は攻撃者にウォレット内のERC-20トークンを使用する完全な権限を与えます。一度ライセンスを取得すると、通常は資金を即座に使い果たします。

この方法は、信頼できるアプリケーションへの支出承認を促進するために設計されたEthereumのpermit機能を活用しています。しかし、この権利が間違った手に渡ると、利便性は欠陥となります。

特に近年数十億ドルの損失を出している「豚の肉切り」モデルをはじめとする国際的な暗号詐欺ネットワークを解体するための新たな省庁間イニシアチブが開始されました。司法省、FBI、シークレットサービス、米国財務省など多くの機関が連携してこれらの犯罪グループの取り締まりを行います。

なぜ許可証詐欺は見分けにくいのか?

Twinstakeのプロダクト責任者であるタラ・アニソン氏は、攻撃者が単一の取引で資金を引き出したり、被害者がウォレットにより多くのトークンを入力するまで待つ可能性があると述べました。ただし、署名有効期間を十分に設定していればの話です。

「この種の詐欺の成功は、ユーザーが理解できないものに署名することにあります。それは主観性と人間の衝動性を利用しています」と彼女は語りました。

また、これは珍しいケースではないとも言っていました。多くの高額フィッシング攻撃は、無料のエアドロップ、偽のプロジェクトウェブサイト、偽のセキュリティアラートを偽装して、ユーザーをウォレットの接続や取引署名に誘い込むことがよくあります。

暗号通貨ウォレットはアラートを増やすが、十分ではない

MetaMaskのようなウォレットは、怪しいウェブサイトアラートを追加し、取引データをより分かりやすい形式に移行しました。他のウォレットも高リスクの取引を重視しています。しかし、攻撃者は戦術を何度も変えた。

Circuitの創設者ハリー・ドネリーは、許可に基づく攻撃は「かなり一般的」であり、ユーザーは送信先アドレス、関連契約、特にライセンス制限を確認する必要があると警告しています。多くの場合、悪意ある攻撃者は無制限の支出許可を求めます。

自分を守る方法

アニソンは、これから署名する内容を再確認することが最も重要な防御線であると強調しています。

• 署名後にどのような行動が行われるかを理解する
• 呼び出しされる関数が望む演算に適切かどうか確認してください
• dappが求めたり、報酬の約束のためだけに署名しないでください

多くのウォレットはユーザーが理解しやすくインターフェースを改善していますが、それでもユーザー自身が警戒心を持つ責任があります。

Zircuit Financeの共同創業者であるマーティン・デルカ氏によると、資金を取り戻す可能性は「ほぼゼロ」だそうです。

彼は、フィッシング攻撃では被害者は相手が誰か分からず、接触窓口もなく、攻撃者の目的は常に一つ、つまりお金を奪って姿を消すことだけだと述べました。「お金がなくなったら、もう終わりだ」と彼は言いました。

タック・サン