投資
ローンチパッド
CandyDrop
キャンディーを集めてエアドロップを獲得
Launchpool
クイックステーキング
潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のエアドロップを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
NEW
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
NEW
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
もっと
- 人気の話題もっと見る
43.81K 人気度
42.49K 人気度
303.71K 人気度
12.12K 人気度
9.56K 人気度
- 人気の Gate Funもっと見る
- 時価総額:$3.65K保有者数:10.00%
- 時価総額:$3.68K保有者数:20.04%
- 時価総額:$3.63K保有者数:10.00%
- 時価総額:$3.63K保有者数:10.00%
- 時価総額:$3.62K保有者数:10.00%
- ピン
44万ドルのハッキングが示すイーサリアム「パーミット詐欺」の増大する脅威
要点まとめ
Decryptのアート、ファッション、エンターテインメントハブ
SCENEを発見
Scam Snifferの月曜日のツイートによると、ウォレット所有者が悪意のある「permit」署名に気付かず署名した後、ハッカーがUSDCで44万ドル以上を盗みました。
この窃盗はフィッシング被害の急増の中で発生しました。Scam Snifferの月次レポートによると、11月には6,000人以上の被害者から約777万ドルが流出し、被害者数が42%減少したにもかかわらず、総損失額は10月比で137%増加しました。
「ホエールハンティングが激化し、最大$1.22百万の(permit署名)が記録されました。攻撃回数が減少したにもかかわらず、個々の損失額は大幅に増加しました」と同社は述べています。
permit詐欺とは?
permit型詐欺は、ユーザーに一見正当なトランザクションに署名させ、実際には攻撃者にトークンの使用権を与えてしまう手口です。悪意のあるdappは、フィールドを偽装したり、コントラクト名を偽装したり、署名リクエストを日常的なもののように見せかけたりします。
ユーザーが詳細を十分に確認しない場合、リクエストへの署名は攻撃者にユーザーの全ERC-20トークンへのアクセス権を与えることになります。一度許可されると、詐欺師は通常、即座に資金を引き出します。
この手法は、信頼できるアプリケーションに支出権限を委任できるように設計されたEthereumのpermit関数を悪用しています。この利便性が、権限が攻撃者に与えられた場合に脆弱性となります。
「この攻撃タイプで特に厄介なのは、攻撃者がpermitとトークンの転送を1つのトランザクションで実行できる(、いわゆるスマッシュ・アンド・グラブ型)、もしくはpermitで自分にアクセス権を与えた後、しばらく潜伏し、後から追加された資金を転送できるようにする((permit関数のメタデータ内で適切に遠いアクセス期限を設定すれば))という点です」とTwinstakeのプロダクト責任者Tara Annison氏はDecryptに語りました。
「この種の詐欺が成功するのは、自分が何に署名しているのかを十分に理解していないまま署名してしまうことに依存しています」と彼女は述べ、「人間の脆弱性と、人々の焦りにつけ込むことがすべてです」と付け加えました。
Annison氏は、この事件が決して孤立したものではないと指摘します。「ユーザーに十分に理解していないものに署名させようとするフィッシング詐欺には、高額かつ高頻度の事例が多数あります。多くの場合、無料エアドロップのふりをしたり、偽のプロジェクトランディングページでウォレット接続を促したり、偽のセキュリティ警告で影響を確認させようとします」と述べました。
自分の身を守るには
ウォレットプロバイダーは、より多くの保護機能を展開しています。例えばMetaMaskは、サイトが疑わしい場合にユーザーに警告し、トランザクションデータを人間が理解できる意図に変換しようとします。他のウォレットも同様に高リスク行為を強調表示します。しかし、詐欺師たちは進化を続けています。
Circuitの創業者兼CEOであるHarry Donnelly氏はDecryptに対し、permit型攻撃が「かなり広範囲」にわたっているとし、送信者アドレスやコントラクト詳細を確認するようユーザーに呼びかけました。
「それが、実際に資金を送ろうとしているプロトコルと一致しない場合、それは資金を盗もうとしている可能性が高いことを示す最も明確な方法です」と彼は述べました。「金額も確認できます。多くの場合、無制限の承認を与えようとします。」
Annison氏は、警戒心が依然としてユーザーの最強の防御策であると強調しました。「permit、approveAll、transferFrom詐欺から自分を守る最良の方法は、自分が何に署名しているのかを把握することです。そのトランザクションで実際に何が行われるのか?どの関数が使用されているのか?これらは自分が署名しようと思っていた内容と一致していますか?」
「多くのウォレットやdappは、ユーザーが盲目的に署名しないように、また使用されている高リスク関数に警告を出すなど、ユーザーインターフェースを改善しています。しかし、ユーザー自身が何に署名しているのかを積極的に確認し、単にウォレットを接続して署名ボタンを押すだけにならないようにすることが重要です」と彼女は述べました。
一度盗まれた資金の回収はほぼ不可能です。Zircuit Financeの共同創業者兼技術責任者のMartin Derka氏はDecryptに対し、資金を取り戻せる可能性は「事実上ゼロ」だと述べました。
「フィッシング攻撃では、相手は資金を奪うことだけが目的の人物です。交渉も連絡先もなく、しばしば相手が誰なのかも分かりません」と彼は述べました。
「これらの攻撃者は数の勝負をしています」とDerka氏は付け加え、「一度資金が失われれば、それで終わりです。回収は本質的に不可能です」と述べました。