古いEthereumトークン承認が悪用され、攻撃者は資金を受け取って数秒で$13.3Mを引き出しました。
長らく忘れられていたトークン承認が有効になった後、Ethereumウォレットは約$13.3百万を数秒で失いました。
資金はアカウント抽象化トランザクションを通じて到着し、攻撃者は即座に行動しました。ブロックチェーンのデータは、ウォレットが数週間前に気付かずに支出権限を付与していたことを示しています。
送金が完了すると、その承認により追加の確認なしで完全なアクセスが可能になりました。この事件は、休眠状態の権限が有効のままで警告なく使用され得ることを示しています。
被害者のウォレット(0xba15E9b644685cB845aF18a738Abd40C6Bcd78eDと識別)は、単一のトランザクションで約$13.3百万を受け取りました。
攻撃者は、ウォレット操作を簡素化するために設計されたアカウント抽象化メカニズムを用いて送金を実行しました。
さらに、ブロックチェーンの記録は、資金が到着し、攻撃者が数秒以内にそれらを引き出したことを示しています。そのため、迅速なタイミングにより、手動介入や防御措置の余地はありませんでした。
引き出しの速度は、攻撃者が新たな権限を必要としなかったことを示唆しています。むしろ、攻撃者は送金前にすでにアクセス権を持っていたのです。
また、セキュリティトラッカーは、事件中に新たな承認トランザクションが行われていないことを確認しました。これにより、一般的なフィッシングや署名ベースの攻撃は排除されました。
調査官は、その後、ウォレットに関連する過去のオンチェーン活動をレビューしました。彼らの焦点は、これまで取り消されていなかった古いトークン承認に移りました。
このレビューにより、第三者の支出を許可した以前の承認が明らかになりました。その休眠権限が、今回のエクスプロイトの入り口となったのです。
調査官は、原因の根源を2026年1月1日に行われた承認トランザクションにたどりました。その呼び出しにより、アドレス0x616000e384Ef1C2B52f5f3A88D57a3B64F23757eに支出権限が付与されました。
当時、その承認は公の関心を引きませんでした。権限は有効のままで、取り消されていませんでした。
古い承認が$13.3Mを失わせた。
被害者アドレス0xba15E9b644685cB845aF18a738Abd40C6Bcd78eDは、アカウント抽象化トランザクションを通じて約$13.3Mを受け取り、数秒で引き出されました。
根本原因は、2026年1月1日に行われたapprove()呼び出しにさかのぼり、支出権限を付与したものです… pic.twitter.com/vDVhX8emXD
— QuillAudits 🥷 (@QuillAudits_AI) 2026年1月26日
攻撃者のアドレス(0x6cAad74121bF602e71386505A4687f310e0D833e)は、その後この承認を利用しました。
これにより、受信した資金に対して完全なアクセスが可能になりました。資金が到着すると、攻撃者は遅延なく送金を実行し、全残高を一度に削除しました。
引き出し後、攻撃者は盗んだ資産をトークンからWETHに、さらにETHに交換しました。これらのステップは、トークンレベルの追跡リスクを低減させました。
その後、攻撃者は複数のウォレット間で資金を移動させました。送金は迅速で、複数のアドレスに分散されていました。
この方法により、追跡を遅らせる複雑な取引パターンが作り出されました。攻撃者はしばしばこのようなパターンを用いて追跡努力を遅らせます。
ブロックチェーン分析によると、一部のETHはオンチェーンに残っています。これらの資金は、攻撃者と関連付けられたアドレスに依然として存在しています。
関連記事:$25Mの損失:Machiが市場下落後に1,000 ETHで清算
セキュリティ監視者は、攻撃者と関連付けられたウォレットの監視を続けています。しかし、調査官は、最初の動きの間にミキシングサービスは見つかりませんでした。
オンチェーン上の資金の存在は追跡の余地を残します。分析者は、トランザクションのタイミングやアドレスのリンクに依存しています。
この事件は、古い承認が有効のままであり続けることを示しています。ウォレット所有者は、時間とともにこれらの権限を忘れがちです。この事件は、古くなった承認に関する最近のケースに追加され、定期的な権限の見直しの必要性を強調しています。
最新のデータでは、回収トランザクションは発生していません。盗まれた資金は依然として攻撃者の管理下にあります。
関連記事
