DeFiユーザー、承認トランザクションを悪用したフィッシング詐欺で83万8,000ドルを失う

エグゼクティブサマリー

分散型金融 (DeFi) エコシステムのユーザーが、悪意のあるトランザクションを承認した後、約83万8,000ドルの PT-LP tUSDe トークンを失いました。オンチェーンセキュリティ企業である Scam Sniffer によって特定されたこの事件は、プロトコルハッキングの結果ではなく、トークン標準の基本的な機能を悪用したフィッシング詐欺でした。このイベントは、Web3空間におけるユーザーレベルのセキュリティに関連する重大かつ継続的なリスクと、悪意のあるアクターが採用する巧妙な手法を浮き彫りにしています。

イベントの詳細

この攻撃は、ユーザーをだましてデジタルな「承認」トランザクションに署名させることに重点が置かれました。イーサリアムやその他のEVM互換チェーンに基づくプロトコルでは、トークン保有者は、スマートコントラクトが自分の代わりにトークンと対話したり、トークンを使用したりすることを許可する必要があることがよくあります。これは、分散型取引所やレンディングプラットフォームなどのDeFiアプリケーションと連携するための標準的な手順です。

このケースでは、ユーザーは不正なインターフェースを提示され、おそらく正当なトランザクションだと信じたものに署名するよう促されました。しかし、実際には攻撃者のコントラクトにPT-LP tUSDeトークンを引き出す広範な許可を与えてしまい、攻撃者はすぐにそれを実行し、約83万8,000ドルの金銭的損失につながりました。このような脅威を監視および特定することに特化したプラットフォームであるScam Snifferは、DeFiスペースに対する継続的な監視の一環として、このトランザクションにフラグを立てました。

市場への影響

この種の事件は投資家の信頼を損ない、DeFiの主流採用にとって大きな障壁となります。プロトコルレベルのセキュリティが依然として主要な懸念事項である一方で、このイベントはエンドユーザーの重大な脆弱性を浮き彫りにしています。金銭的損失は、DeFiが本質的に高リスクな環境であるという市場認識に寄与し、新たな資本流入を妨げる可能性があります。

さらに、この攻撃は、ユーザーエクスペリエンスにおける重要な課題を浮き彫りにしています。「承認」署名の性質を含むブロックチェーントランザクションの技術的複雑さは、平均的なユーザーには十分に理解されておらず、ソーシャルエンジニアリングやフィッシングキャンペーンの温床となっています。これにより、トランザクションシミュレーションや、与えられる権限に関する明確な警告など、より堅牢でユーザーフレンドリーなセキュリティ機能を提供するウォレットプロバイダーやアプリケーションの需要が高まる可能性があります。

専門家のコメント

この個別のイベントに関する具体的なコメントは発表されていませんが、Scam Snifferが提供するデータは、システム的な問題の厳しい状況を描き出しています。同社の監視によると、これは孤立したイベントではなく、大規模で組織化された取り組みの一部であることが明らかになっています。例えば、Scam Snifferは以前、Infernoとして知られる「サービスとしての詐欺」プロバイダーを追跡しており、このプロバイダーだけでも689以上のフィッシングウェブサイトを作成しました。

同社のデータは、問題の規模がかなり大きく、1月にイーサリアム、アービトラム、BNB Chainを含む複数のブロックチェーンで、フィッシングスキームを介して約5,500万ドルが盗まれたことを示しています。これは、フィッシングが暗号経済内で永続的かつ収益性の高い違法企業であることを示唆しています。

より広範な文脈

この83万8,000ドルの損失は、暗号通貨保有者を標的とした高価値フィッシング攻撃のよく文書化されたパターンに当てはまります。Scam Snifferのようなセキュリティ企業は、以前にGIGA投資家が被った600万ドルの損失を含む、数百万ドル規模の多数の盗難について報告しています。これらの攻撃は、「クジラ」と呼ばれる洗練された高額資産を持つ個人でさえも脆弱であることを示しています。

方法はますます工業化されており、単純なウォレットドレインから、特定のトークン承認を狙った複雑なソーシャルエンジニアリングスキームへと移行しています。DeFiエコシステムが成長するにつれて、これらの攻撃者に対する金銭的インセンティブが増加し、セキュリティ企業、プロトコル開発者、ウォレットクリエイターからの、このような略奪的活動からユーザーを保護するためのより積極的で協調的な対応が求められています。