詐欺師はさまざまな手法を使ってユーザーの金銭を盗むが、その中にはウォレットアドレスさえ知っていれば済むものもあると、Forta Networkの研究者は述べた。
ブロックチェーンセキュリティ企業Forta Networkによると、詐欺師らは一般ユーザーから盗んだ仮想通貨を回収するため、5月に少なくとも7,905個のブロックチェーンウォレットを立ち上げた。
最近独自のトークンをローンチしたFortaは、Ethereum、Binance Smart Chain、Polygon、Optimism、Avalanche、Arbitrum、Fantomブロックチェーン上でさまざまな種類の詐欺を検出するボットのネットワークを運営している。
かつてマイクロソフトのセキュリティ研究部門で働いていた、フォルタの常駐研究員クリスチャン・ザイファート氏は、ブロックチェーン上の取引をスキャンしながら、フォルタのアルゴリズムはさまざまな種類の異常な行動を検出できるとCoinDeskに語った。
こうした異常の一部は、ユーザーのウォレットに対する攻撃です。
一部の攻撃では、詐欺師はソーシャルエンジニアリングに頼っています。つまり、ユーザーの個人情報を嗅ぎ回ったり、暗号資産ユーザーにパスワードやシードフレーズを明かさせるトリックを展開したりします。他の攻撃では、被害者のウォレットアドレスを知ることだけが必要です。
参照: ハッキングをエクスプロイトと呼ぶことで人的ミスを最小限に抑える | 意見
「多くの攻撃はソーシャルエンジニアリング攻撃だ。ユーザーをウェブサイトに誘い込み、ウェブサイトがウォレットを接続するよう求め、取引がポップアップ表示され、ユーザーがそれを承認するとお金が消えてしまう」とザイファート氏は語った。
「アイスフィッシング」
5 月に最も多く見られた攻撃は、いわゆる「アイス フィッシング」手法で、Forta が記録した攻撃全体の 55.8% を占めました。より明白でよく知られているフィッシング攻撃 (アイス フィッシングは、Web 上でよく見られる「フィッシング」攻撃をもじったものです) とは異なり、このタイプの攻撃はユーザーの個人情報を直接狙うものではありません。
その代わりに、アイスフィッシャーは被害者を騙して悪質なブロックチェーントランザクションに署名させ、被害者のウォレットへのアクセスを許可して、攻撃者がすべてのお金を盗めるようにします。このような場合、被害者は実際の暗号通貨サービスを模倣するように設計されたフィッシングWebサイトに誘い込まれることがよくあります。
これらの詐欺は、「トークン承認」トランザクションに依存しています。これは、ユーザーがスマート コントラクトにウォレットへの一定量のアクセス権を付与できるようにする非管理型 Web3 ウォレットの最も一般的な用途の 1 つです。
最も人気のあるイーサリアム暗号ウォレットのメーカーであるMetaMaskは、サポートページで、トークン承認トランザクションを許可する場合、「ユーザーは完全に制御権を持ち、自分が行うすべてのことに対して最終的な責任を負うことになります。そのため、トークン承認を確認する際に、自分が何にサインアップしているのかを正確に理解することが非常に重要です」と述べています。
前述の詐欺と同様の手口では、攻撃者はユーザーを騙して、分散型取引所(DEX)を含むさまざまな分散型アプリケーション(dapps)とやり取りさせようとする。こうした手口は、新しいトークンのエアドロップのような、新たな有利な機会があるという幻想を作り上げ、FOMO(取り残される恐怖)に陥る一般的な傾向を悪用することが多いとザイファート氏は述べた。
しかし、ユーザーは正当なサービスとやり取りする代わりに、トークン承認トランザクションに署名することで、自分の資産に対する制御権を攻撃者に譲り渡すことになります。
「ユーザーはクリック、クリック、クリックするたびに取引がポップアップ表示され、多くの場合タイマーも付いている。そしてユーザーは確認せずに承認してしまう」とザイファート氏は言う。
Seifert 氏によると、アイスフィッシングには「被害者を [悪意のある] Web サイトに誘い込み、肯定的な物語を作り出す」という 2 つの重要なステップがあります。
「アイスフィッシング攻撃のバリエーションは、ユーザーを騙してネイティブ資産を詐欺師に直接送らせることです。これは、詐欺師の契約の「セキュリティアップデート」機能に署名することで実現されます」とザイファート氏は述べ、通常はこの方法で少額の仮想通貨が盗まれると付け加えた。
NFT、エアドロップ、アドレスポイズニング
一部の攻撃は、代替不可能なトークン (NFT) のトレーダーをターゲットにしています。たとえば、詐欺師は、OpenSea が導入し、多くの NFT マーケットプレイスで使用されている Seaport プロトコルなど、NFT インフラストラクチャの癖を利用する手法を開発しました。Seaport で NFT を販売するには、ユーザーは、取引手数料を節約するために、より広範な Ethereum ネットワークではなく、プラットフォーム上でローカルにブロードキャストされるトランザクションに署名して、売り注文を作成します。
攻撃者は、価値ある NFT を持つユーザーを探し回り、その貴重な保有資産を市場価格のほんの一部で売却する取引を承認するようにユーザーを騙そうとします。
今日の NFT トレーダーは、さまざまな方法で悪用される可能性があることをよく認識しています。近年の最も注目を集めた暗号通貨強盗のいくつかは、影響力のある NFT の人物を標的にしています。これにより、これまで以上に標的を絞った、洗練されたフィッシング攻撃が発生しています。
「アドレス ポイズニング」攻撃では、攻撃者は被害者のウォレットの取引履歴を調べ、最も頻繁にやり取りされるアドレスを探します。次に、ターゲットに馴染みのあるブロックチェーン アドレスを作成し、ほとんど価値のないトランザクションを被害者に送信します。このトランザクションは、悪意のあるアドレスを次のトランザクションを行うときに誤ってコピーして貼り付けられるような場所に置くことで、標的の被害者の取引履歴を「ポイズニング」することを目的としています。
しかし、多くの場合、最も単純なエクスプロイトが依然として有効です。たとえば、攻撃者は被害者の信頼や注目を集めるソーシャルエンジニアリングのエクスプロイトを設計する際に、よく知られているブランドを使用する、とセイファート氏は言います。6月初旬にChainlink(LINK)保有者が受け取った不正なtLINKトークンがまさにそのケースで、攻撃者はLINK保有者に新しいトークンと思われるものをエアドロップしました。
詐欺師たちは、エアドロップされたトークンの説明欄に、フィッシングサイトでtLINKを実際のLINKトークンと交換するというオファーを載せていたとザイファート氏は語った。そして、もしそのオファーを受け入れていたら、彼らは損をしていただろう。
Forta によると、このような攻撃をさらに巧妙にしているのは、攻撃者が不正な ERC-20 トークンを正当なスマート コントラクトに割り当て、その偽のトークンを標的のトークンを保有する人に転送する関数を実行できることです。これにより、ユーザーは正当なコントラクトからエアドロップを受け取ったように見えますが、実際は詐欺に他なりません。
参照: 2023 年の暗号資産の悪用とハッキングの防止
このような攻撃では、攻撃者による偵察作業はほとんど必要ありません。攻撃者が被害者について知る必要があるのは、ウォレットのアドレスだけです。
取引の健全性
ハッカーや詐欺師がますます巧妙になっているため、ウォレットがやり取りするアドレスには常に注意を払うことが重要だとザイファート氏は述べた。理想的にはウォレットにはセキュリティ機能が組み込まれている必要があると同氏は述べ、現時点ではフォルタが不正アドレスのデータベースをゼンゴーウォレットに提供していると付け加えた。
フォルタは、ブロックチェーンウォレットに、詐欺行為への関与の可能性に応じて異なるリスクスコアを割り当てているとザイファート氏は述べた。