ユーザーが仮想通貨詐欺で1100万ドル損失

Scam Sniffer のレポートによると、被害者は MakerDAO 管理の代表者であり、これがこの巨額損失にさらなる側面を加えています。アーカム・インテリジェンスはこのニュースを認め、被害者がさらされた詐欺の複雑な性質を指摘した。

一方、ブロックチェーンセキュリティを専門とする会社SlowMistは、この巨額の損失はフィッシング署名に関連するリスクによるものであると説明した。

この攻撃を促進した主な要因の 1 つは、EIP-2612 によって付与された承認です。これにより、スマート コントラクトとの対話時に事前承認を必要とせずに署名を実行できるようになります。

この機能には利点があるにもかかわらず、ネットワーク トランザクションを必要とせずに認証署名を作成できるため、重大なセキュリティ リスクにつながる可能性があります。

この機能を使用すると、ユーザーは、ブロックチェーンにアクセス許可をブロードキャストせずに、悪意のある Web サイトへのアクセス許可に署名できます。

SlowMist 氏が説明したように、署名があるだけで必要な権限が付与されるため、これには高いレベルのリスクが伴います。

悪意のある攻撃者はこの脆弱性を悪用し、正規の Web サイトになりすまして被害者を騙すことができます。これらのトランザクションはネットワーク上でブロードキャストされないため、侵害された署名の検出が非常に困難になります。