作者: ジャイロ・ファイナンス
従来の金融ではセキュリティインシデントは珍しいことではありませんが、暗い森のような匿名通貨サークルではさらに頻繁に発生します。
データによると、過去 5 月だけで暗号化業界では典型的なセキュリティ インシデントが 37 件発生し、ハッキング攻撃、フィッシング詐欺、ラグ プルによる損失総額は 1 億 5,400 万米ドルに達し、4 月から約 52.5% 増加しました。
ちょうど6月3日にも、他の事件とは少し異なり、2つの事件が大規模な取引に関連しており、その過程は非常に奇妙なものでしたが、物語の終わりには、喜ぶ人もいましたし、心配する人もいました。 。
6月3日、ナカマオというユーザーが投稿したダオライの自伝に関する長文記事から、ハッカーによる窃盗事件が相次いで始まった。
5月24日、ナカマオ氏はまだ出勤中であり、すべての通信機器も手元にあったと言われているが、この一見間違いのない背景の下で、ハッカーはバイナンスアカウントのパスワードと第2段階認証コマンドを入手できなかった。 (2FA)、彼の口座内のすべての資金がノックオン取引を使用して盗まれました。
ペアトレードとは、簡単に言えば、流動性の乏しい取引ペアで大量の取引を行い、取引当事者による大規模な買いを利用してハッカー口座の売却を吸収し、最終的に相手が現物資金または特定のアルトコインの資金を取得することを指します。 . ステーブルコイン、買い手は売り手からアルトコインを引き継ぎます。この盗難手口は取引所では珍しくありません。2022 年に FTX は 3 コンマの API KEY の漏洩により最大 600 万米ドルの盗難被害に遭いました。その際、SBF は紙幣の機能を利用して問題を解決しました。それ以来、バイナンスでは大規模な模倣取引も行われている。しかし、このモデルの悪質な点は、リスク管理が不十分な取引所にとっては、単なる通常の取引行為であり、異常な窃盗が存在しないことです。
このケースでは、QTUM/BTC、DASH/BTC、PYR/BTC、ENA/USDC、NEO/USDC が選択され、ユーザーの多額の資金を利用して 20% 以上上昇した価格を購入しました。ユーザーは 1 時間以上後にアカウント情報を確認して異常を発見するまで、ハッカーの操作に気付かなかった。
セキュリティ会社の回答によると、ハッカーはWeb Cookieを乗っ取り、Webページに保存されている端末データを利用してユーザーアカウントを操作するという。典型的な例を挙げると、インターネット上の特定のインターフェイスに入るとき、過去のアクセス履歴とデフォルトの記録が残っているため、ログインするためにアカウントとパスワードは必要ありません。
これはユーザー自身の過失によって引き起こされた可能性がありますが、その後、事態はさらにおかしくなりました。盗難後、ナカマオ氏はすぐに顧客でバイナンスの共同創設者である何毅氏に連絡し、ハッカーの資金を短期間で凍結することを期待してUIDをセキュリティチームに引き渡した。しかし、Binance のスタッフが Kucoin と Gate に通知するまでに 1 日かかりましたが、ハッカーの資金はずっと前に消えていました。さらに、ハッカーは Binance からすべてを安全に引き出すまでにアカウントを分散しませんでした。資金。プロセス全体を通じて、ユーザーはセキュリティに関するリマインダーを受け取らなかっただけでなく、さらに皮肉なことに、大規模な取引のため、バイナンスは実際に 2 日目にスポット マーケット メーカーに招待メールを送信しました。
その後のレビューで、平凡な Chrome プラグイン Aggr が再びなかまおの視界に入ってきました。このプラグインは市場データの Web サイトを閲覧するために使用されます。盗まれた人物の説明によると、複数の海外 KOL が数か月間このプラグインを宣伝しているのを見て、自分の必要のためにダウンロードしたとのことです。
ここでは、簡単な科学の普及を説明します。理論上、このプラグインは、悪意のある拡張機能を介して取引アカウントにログインし、取引のためにユーザーのアカウント情報にアクセスするだけでなく、資金を引き出したり、アカウント設定を変更したりすることもできます。その理由は、プラグイン自体が広範な権限アクセス、ネットワーク リクエストの操作、ブラウザ ストレージへのアクセス、クリップボードの操作などの複数の機能を備えているためです。
プラグインに問題があることを発見したなかまおさんは、すぐにKOLに問い合わせをし、ユーザーにプラグインを無効化するよう通知するよう警告しましたが、思いがけず、この瞬間にブーメランがバイナンスに差し込まれました。ナカマオ氏の最初の声明によると、バイナンスは以前からこのプラグインの問題を認識していたが、バイナンスは今年3月にも同様の事件が発生し、その後ハッカーを追跡したか、製品の一時停止を回避するために間に合わなかったという。これにより、KOL はハッカーとの連絡を維持することができ、この段階で、ナカマオが次の被害者となりました。
Cookieだけでログインして取引できるということは、バイナンスの仕組みに問題があるはずだが、事件自体は実際にはユーザー自身の過失によって引き起こされたものであり、責任の所在は難しい問題である。
予想通り、その後のバイナンスの対応は市場に混乱を引き起こした。原因はハッカー攻撃だったとする公式アカウントのレビューに加え、バイナンスはAGGRプラグインに関する関連情報に気付かなかったとWeChatグループでこの事件についてコメントした。「ユーザー自身のコンピュータがハッキングされた。神様。「救うのは難しいし、バイナンスにはデバイスが侵害されたユーザーを補償する方法がない。」
ナカマオ氏は明らかにバイナンスの運営を受け入れることができず、バイナンスがリスク管理の点で何もしていないと信じている。さらに、KOLは彼がバイナンスチームにプラグインについて言及したことを明確に認めており、バイナンスもこの件を報告しなかった疑いがある。世論が高まり続ける中、バイナンスはユーザーが悪質なプラグインを報告した場合のフィードバックとして報奨金を申請すると改めて回答した。
この時点で問題は終わったと思ったが、興味深いことに6月5日、事態は新たな展開を見せた。ナカマオ氏は、前述したように3月ではなく5月12日にバイナンスに対して再度公開謝罪を行った。さらに、KOL は Binance の秘密エージェントではありません。KOL と Binance の間のコミュニケーションは、プラグインの問題ではなく、アカウントの問題に焦点を当てています。
これらの発言の真偽はともかく、失望の表明から公の場での謝罪へと態度が180度変わったことから、バイナンスが賠償したに違いないと見ることができ、具体的な賠償額は不明である。
一方、偶然にも6月3日にはBinanceに加えてOKXも影響を受けた。 OKX ユーザーは、AI の顔を変えることによってアカウントが盗まれ、アカウント内の 200 万ドルが送金されたとコミュニティで述べました。この事件は 5 月初旬に発生しました。ユーザーの説明によると、アカウントの盗難の理由は個人的な漏洩とは関係なく、ハッカーは自分の電子メール アドレスにログインし、忘れていたパスワードをクリックすると同時に、この状況を回避するために、偽造の ID カードと AI 顔変更ビデオを使用してファイアウォールを開き、さらに携帯電話番号、電子メール アドレス、Google 認証システムを変更し、24 時間以内にすべてのアカウント資産を盗みました。
ビデオは見ていないものの、ユーザーの発言から、AI 合成ビデオが非常に質の悪いものであることが高い確率でわかりますが、それでも OKX のリスク管理システムを破っているため、ユーザーはそう信じています。 OKXにも責任があり、OKXが全額の賠償金をその基金に支払うことを望んでいます。しかし実際には、注意深く分析すれば、犯人はユーザーとよく知り合い、ユーザーの習慣や口座金額を知っている人物に違いないと判断でき、ユーザー自身も手紙の中で述べています。彼には彼から離れられない友人がいます。原則として、OKX はこれについて補償しません。現在、このユーザーは警察に通報しており、警察を通じて賠償を求める予定だ。
これら 2 つのインシデントを受けて、暗号化コミュニティでも広範な議論が行われました。もちろん、セキュリティの観点から、ウォレットの自己管理が資産を絶対的に管理していることを強調する人は多いですが、個人管理に比べて取引所の方が依然として安全であることは認めざるを得ません。その核心は通信手段を増やすことです。やり取りは、結果に関係なく、少なくとも接続して連絡できる第三者であり、連絡が適切であれば、上記の被害者と同様に補償される可能性もあります。セルフホスト型ウォレットが盗まれた場合、補償を提供できる機関はほとんど補償されません。
ただし、現在の取引所のセキュリティ向上も急務です。大規模な取引プラットフォームはほとんどのユーザーの資産を管理しており、暗号化された資産を回復するのは難しいため、セキュリティにはより注意を払う必要があります。従来の金融を使用する場合、通常、送金時にアカウントが管理されないようにするために、ログアウトするたびにパスワードを再入力する必要があります。したがって、コミュニティは、取引プラットフォームにパスワードロック機能を追加し、取引前に2FA認証を追加し、IP変更後に認証を再入力するか、マルチパーティセキュアMPC認証を採用してパスワードを分散化し、ユーザーエクスペリエンスを犠牲にしてセキュリティを向上させることを提案しています。 。しかし、一部のユーザーは、繰り返し検証することは高頻度のトランザクションにはあまりにも簡単であり、実現可能であるのは難しいと考えています。
He Yi氏もこれに対し、「現在、価格急変にはビッグデータアラームと手動による二重確認が重畳されており、ユーザーへのリマインダーも追加される。プラグイン操作やCookie認証の検証頻度も増加する」と述べた。このシナリオではトランザクションパスワードは適用されませんが、Binance はユーザーの違いに基づいてセキュリティ検証手順を追加します。」
原点に立ち返って、今回の二つの事件から判断すると、ユーザー側も十分に注意し、自らのセキュリティ意識を高め、資産の分散配置を前提とした運用には完全に独立した機器を使用するよう努めることが推奨されます。基本的には利便性を優先せず、分散型認証を使用し、パスワード不要のライブ認証の設定を避け、プラグインを慎重に使用し、大量の資産の保管にはハードウェア ウォレットを使用します。
結局のところ、暗号資産は物理的な資産とは異なり、少なくとも追跡することはできますが、規制上の制限により、暗号資産の盗難に対してその後の補償を得るのはほとんど困難であり、訴訟を起こすことさえ困難です。 。
このようなケースも珍しくありません。典型的な例は、最近の 1818 年のゴールデン アイ レポートに記載されています。被害者の朱さんは、通貨投機で数千万ドルを稼いだというZhihuのボス「チェン・チーチー」を発見し、通貨投機で金を稼ぐために彼を尾行することを望んでいた。両者の交渉の結果、利益分配協力を実現する契約に署名し、利益の70%はCheng Qiqiに帰属し、損失が生じた場合は双方がそれぞれ保有することになった。トランザクション中は、Zhu 氏のみが負担します。フォローアップ操作については、すべてのアカウント所有権はあなた自身の手にあります。
このような高い利益分配、一見信頼できる契約は、信頼できる結果をもたらしません。被害者は当初わずかな利益を上げた後、チェン・チーチー氏の「清算の全額補償」のスローガンに沿ってチップへの投資を増やし、最終的には100倍のレバレッジで60万の元本を使ってETHを空売りした。 ETHの上昇により、被害者は全財産を失いました。
すべての操作は個人によって行われ、詐欺や強制行為はなかったので、この件で立件するのは明らかに困難です。結局のところ、警察と記者は、我が国の法律と規制に従って次のように強調することしかできませんでした。仮想通貨取引は、保護、高リスク、警戒の強化などから免除されるわけではありません。
結局、朱さんは傷心ながらも無邪気な表情でとんでもない結末を演じた。
いずれにせよ、取引に参加する観客には、どんな金融分野でも、たとえ暗号サークルであっても、もともと高い利益と自由を得るためにある程度のセキュリティを犠牲にするこの分野は、効率や収益性よりもはるかに安全であることをもう一度思い出してもらいたいと思います。それはより重要であり、これが、いわゆる分散型暗号化の世界が集中化から脱却するのが難しい理由の 1 つである可能性があります。
結局のところ、それが人間の本質なのです。誰もが誰かに真実を語ってもらいたいと思っていますし、たとえどれだけお金を稼いでも、他人のために結婚式の衣装を作る気はありません。
