投資
ローンチパッド
CandyDrop
キャンディーを集めてエアドロップを獲得
Launchpool
クイックステーキング
潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のエアドロップを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
NEW
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
NEW
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
もっと
- 人気の話題もっと見る
3.45K 人気度
636.7K 人気度
54.31K 人気度
12.84K 人気度
540.26K 人気度
- ピン
44万ドルの攻撃が明らかにするEthereumにおける「許可」詐欺の増大する脅威
出典:PortaldoBitcoin 原題:44万ドルの攻撃が明らかにするEthereumにおける「許可」詐欺の脅威の高まり 元リンク:
ハッカーが、ウォレットの所有者が知らずに悪意のある「許可」署名を行った後、USDCで44万ドル以上を盗みました。これは月曜日のScam Snifferのツイート(8)によるものです。
この盗難はフィッシングによる損失が増加する中で発生しました。Scam Snifferの月次レポートによると、11月には6,000人以上の被害者から約777万ドルが失われ、被害者数が前月比42%減少したにもかかわらず、総損失は10月に比べて137%増加しました。
「クジラ狩りが激化し、最大損失は122万ドル(許可署名)となりました。攻撃件数は減少したものの、個々の損失額は大幅に増加しています」と同社は述べています。
許可詐欺とは?
許可ベースの詐欺は、ユーザーに正規の取引に見せかけた署名をさせ、実際には攻撃者にトークンの使用権を与えるものです。悪意のある分散型アプリケーション(dapps)は、フィールドを偽装したり、コントラクト名を偽装したり、署名要求を日常的なものとして提示したりします。
ユーザーが詳細を慎重に確認しない場合、署名によって攻撃者にユーザーのERC-20トークンすべてへのアクセス権が与えられます。一度許可されると、詐欺師は通常すぐに資金を抜き取ります。
この手法はEthereumの許可機能を悪用しており、本来は信頼できるアプリケーションに利用権を委任できるように設計されたものでした。しかし、攻撃者にこれらの権利が付与された場合、利便性が脆弱性となります。
「このタイプの攻撃で特に厄介なのは、攻撃者が許可とトークンの転送を1つのトランザクションで実行できる点です(いわゆる『スマッシュ・アンド・グラブ』型)。または、許可を通じてアクセス権を与え、その後は何もせず、後で追加された資金の転送を待つこともできます(許可機能のメタデータで十分に長いアクセス期限を設定しておけば)」とTwinstakeプロダクト責任者のTara Annison氏は述べています。
「この種の詐欺が成功するかどうかは、あなたが何が起こるのかを完全に理解せずに署名してしまうかどうかにかかっています」と彼女は述べ、「すべては人間の脆弱性、そして人々の素朴さを利用することに帰着します」と付け加えました。
Annison氏は、この事件が決して孤立したものではないと付け加えました。「価値も件数も大きなフィッシング詐欺の例は多く、ユーザーを騙して完全には理解していないものに署名させることを狙っています。多くはエアドロップやプロジェクトの偽ランディングページ、ウォレット接続や偽のセキュリティ警告で確認を促すなどの形で偽装されています」と述べています。
身を守るには
デジタルウォレットプロバイダーは、保護機能を強化しています。例えばMetaMaskは、疑わしいサイトをユーザーに警告し、トランザクションデータを人間が理解できる言語に変換しようとします。他のウォレットも高リスク行動を強調表示しています。しかし、詐欺師も常に適応しています。
Circuitの創業者兼CEOであるHarry Donnelly氏は、「permit」型攻撃は「かなり一般的」とし、ユーザーに送信者のアドレスやコントラクトの詳細を確認するようアドバイスしています。
「これが最も明確な確認方法です。プロトコルが実際の送金先と一致しない場合、誰かが資金を盗もうとしている可能性が高いです」と彼は述べました。「金額も確認できます。多くの場合、無制限の承認を与えようとします。」
Annison氏は、警戒心こそがユーザーの最善の防御であると強調しています。「『permit』、『applianceAll』、『transferFrom』型詐欺から身を守る最良の方法は、自分が何に署名しているのかを把握することです。実際にそのトランザクションでどのような操作が行われるのか?どの機能が使用されているのか?自分が署名したと思っていたものと一致しているのか?」
「多くのウォレットや分散型アプリケーション(dapps)は、ユーザーが何も考えずに署名しないよう、UIを改良し、結果を表示したり高リスクな機能には警告を表示するようになっています。しかし、ユーザー自身が積極的に署名内容を確認し、単にウォレットを接続して署名ボタンを押すのではなく、内容をしっかり確認することが重要です」と彼女は述べました。
一度盗まれた資金の回収はほぼ不可能です。Zircuit Financeの共同創業者兼技術責任者であるMartin Derka氏は、資金を取り戻せる可能性は「ほぼゼロ」だと述べました。
「フィッシング攻撃では、相手は資金を盗むことだけを目的とした個人です。交渉も連絡先もなく、相手が誰かも分からないことがほとんどです」と彼は述べました。
「こうした攻撃者は数の論理で動いています」とDerka氏は述べ、「一度お金が盗まれたら、それは永遠になくなってしまいます。回収は事実上不可能です」と付け加えました。