ユーザーは、複数の不正な許可署名に署名したためにフィッシング攻撃を受け、1,100 万ドルを失いました。
EIP-2612 を通じて有効化された許可署名により、オフチェーントランザクションの承認が可能になり、重大なセキュリティリスクが生じます。
セキュリティ企業は、許可署名には注意が必要であることを強調し、保護のためにセキュリティ拡張機能を使用することを推奨しています。
最近の事件では、フィッシング攻撃によりユーザーが大きな経済的損失を被りました。ユーザーは、複数の Permit フィッシング署名に署名した後、1,100 万ドル相当の aEthMKR および Pendle USDe トークンを失いました。この事件は、デジタル資産のセキュリティに関連するリスクの増大を示しています。被害者は MakerDAO ガバナンス委任者であり、知らないうちに不正な Permit 署名に署名したことで攻撃の餌食になりました。
5時間前、被害者は複数のPermitフィッシング署名に署名したために、1100万ドル相当のaEthMKRおよびPendle USDeトークンを失いました。pic.twitter.com/9jhgQMdkl9
— 詐欺スニファー | Web3 詐欺対策 (@realScamSniffer) 2024 年 6 月 23 日
許可署名リスク
この事件は、EIP-2612 によって有効化された機能である Permit 署名に関連する脆弱性を浮き彫りにしています。この機能により、ユーザーはオンチェーンでの事前承認なしにトランザクションを承認できるため、悪意のある人物に悪用される可能性があります。署名の承認はオフチェーンで行われるためリスクが高まり、侵害された署名を検出することが困難になります。
セキュリティ会社による分析
Arkham Intelligenceとブロックチェーンセキュリティ企業SlowMistはともにこの事件を分析した。SlowMistによると、Permit署名は悪意のある人物に簡単に悪用される可能性があるため、大きなリスクがあるという。SlowMistは、一部のウォレットは署名情報をデコードして表示し、ユーザーがフィッシング攻撃を識別できるようにすると指摘した。しかし、Permit署名フィッシングのリスクに関する警告は不十分な場合が多い。
予防措置
ユーザーは、スマート コントラクトを操作したり、オフチェーン署名に署名したりする際に注意を払うことをお勧めします。Scam Sniffer が推奨するようなセキュリティ拡張機能をインストールすると、フィッシング攻撃に対する保護を強化できます。さらに、ユーザーは、許可署名に署名する前に、Web サイトとスマート コントラクトの正当性を検証する必要があります。
この事件は、デジタル資産分野におけるセキュリティの重要性を改めて思い起こさせるものです。スマート コントラクトとデジタル トークンの使用が拡大するにつれ、ユーザーは警戒を怠らず、フィッシング攻撃やその他のサイバー脅威から資産を保護するために必要な予防策を講じる必要があります。
こちらもご覧ください
署名銀行の期限が迫る中、仮想通貨顧客は慌てる
シグネチャー銀行、10万ドル以下の仮想通貨取引を停止:バイナンス
FDIC、破綻銀行による暗号通貨サポートを禁止:シグネチャー銀行の暗号通貨パートナーが危機に
ヴィタリック・ブテリン、効率化のためにイーサリアムの PoS 強化を提案
Google、2024年1月からビットコインETFの広告を許可へ
許可証署名詐欺で1,100万ドルが失われる:セキュリティ専門家がオフチェーン取引への注意を促すという記事が、Crypto News Landに最初に掲載されました。