44万ドルの攻撃が明らかにするEthereumにおける「許可」詐欺の増大する脅威

Source: PortaldoBitcoin Original Title: US$ 44万の攻撃から何が明らかになったのか：イーサリアムにおける「許可」詐欺の増加する脅威 Original Link: ハッカーは、ウォレット所有者が知らずに悪意のある「許可」署名を行った後、USDCでUS$ 440,000以上を盗みました。

この盗難は、フィッシングによる損失の増加の中で発生しました。11月には6000人以上の被害者から約US$ 7.77百万が失われ、10月と比較して総損失は137％増加しましたが、被害者数は42％減少しました。

「ホエール狩りが激化し、最大損失はUS$ 1.22百万(許可署名)となっています。攻撃の数は減少していますが、一件あたりの損失額は大幅に増加しています。」

許可詐欺とは何ですか？

許可に基づく詐欺は、ユーザーに正当な取引のように見える署名をさせることで、実際には攻撃者にトークンを使う権利を与えるものです。分散型アプリケーション(dapps)の悪意のあるものは、フィールドを偽装したり、コントラクト名を偽造したり、署名要求を日常的なもののように見せかけたりします。

ユーザーが詳細を注意深く確認しない場合、署名を行うことで攻撃者にユーザーのERC-20トークン全てにアクセスする権限を与えてしまいます。権限を付与されると、詐欺師は通常、すぐに資金を吸い上げます。

この手法は、トークンの転送を容易にするために設計されたEthereumの許可機能を利用しています。これにより、ユーザーは信頼できるアプリに支出権を委譲できます。この便利さが、これらの権利が攻撃者に渡されたときに脆弱性となります。

「この種の攻撃の特に厄介な点は、攻撃者が一つの取引で許可とトークンの転送を同時に行う('スマッシュアンドグラブ’方式)ことも可能であり、その後、許可を与えたまま放置し、後から追加された資金を転送するのを待つこともできる点です(許可のメタデータに十分長い期限を設定すれば)」。

「この種の詐欺の成功は、あなたが何が起こるか完全に理解せずに何かに署名してしまうことにかかっています。すべては人間の脆弱性と、人々の素直さを利用したものです。」

多くの高額・大規模なフィッシング詐欺の例があり、ユーザーを騙して完全に理解していないものに署名させることを目的としています。これらの詐欺はしばしば、無料配布や、ウォレットをつなぐための偽のプロジェクトのランディングページ、または偽のセキュリティ警告に偽装されています。

どのように身を守るか

デジタルウォレットの提供者は、より多くの保護機能を導入しています。例えばMetaMaskは、疑わしいサイトを警告し、取引データを人間が理解できる言葉に翻訳しようとします。他のウォレットも高リスクな操作を強調しています。しかし、詐欺師は引き続き適応しています。

ユーザーには、送信者のアドレスやコントラクトの詳細を確認することが推奨されます。「これは、プロトコルが実際の資金の行き先と一致していない可能性を最も明確に示す方法です。誰かが盗もうとしている可能性が高いからです。値も確認できます。多くの場合、無制限の承認を付与しようとします。」

監視は依然としてユーザーの最良の防御策です。「'permit’タイプの詐欺から身を守る最善の方法は、何に署名しているのかを確実に理解していることです。実際に取引で何が行われるのか？どの関数が使われているのか？それらはあなたが署名すると考えていた内容と一致していますか？」

「多くのウォレットや分散型アプリは、何も盲目的に署名しないようにユーザーインターフェースを改善し、結果を確認できるようにし、高リスクな関数について警告も表示しています。ただし、ユーザーは積極的に何を署名しているのか確認し、単にウォレットを接続して署名をクリックしないことが重要です。」

一度盗まれると、資金の回復はほぼ不可能です。フィッシング攻撃では、あなたの資金を盗もうとするだけの人物と対話しているだけです。交渉の余地もなく、連絡先もなく、多くの場合、相手の正体もわかりません。

「これらの攻撃者は数字を利用して遊びます。お金がなくなると、二度と戻りません。回復はほぼ不可能です。」