Edgen Crypto·Dec 09 2025, 18:49最近発生したイーサリアムの「パーミット」機能を通じた44万ドルの窃盗事件は、DeFiユーザーを標的とする巧妙なフィッシング詐欺の増加を浮き彫りにしています。これらの詐欺は、複雑なオンチェーン権限を悪用し、多額の金銭的損失を引き起こし、エコシステムへの信頼を損なっています。
単一のイーサリアムユーザーを標的とした「パーミット詐欺」による44万ドルの窃盗は、分散型金融(DeFi)エコシステムにおけるエスカレートする脅威ベクトルを浮き彫りにしています。この事件は孤立したものではなく、コアとなるブロックチェーン機能を悪用する洗練されたフィッシング攻撃の進化を表しています。これらの攻撃は、投資家にとって直接的で取り返しのつかない金銭的損失をもたらし、DeFiプロトコルの継続的な成長と採用に必要なユーザーの信頼を体系的に損なうという二重の脅威をもたらします。より広範なデジタル詐欺の傾向によって証明されるように、サイバー犯罪者の専門化の進展は、オンチェーンでの悪用がより一般的かつ複雑になることを示唆しています。
「パーミット詐欺」は、EIP-2612として知られる一部のERC-20トークンの機能を悪用します。この機能は、標準のオンチェーントランザクションではなく、オフチェーン署名を通じてトークンの支出を承認することを可能にし、ガスレス承認を可能にするように設計されています。この悪用では、被害者はサービスへのログインなど、無害であると信じていたメッセージに署名するようソーシャルエンジニアリングされました。しかし、彼らが提供した署名はpermit機能のものでした。この署名により、詐欺師のアドレスに被害者のトークンを転送する権限が付与され、44万ドルの窃盗につながりました。ユーザーは典型的なトランザクションを承認しておらず、この攻撃は特に欺瞞的です。
このような高度な詐欺の拡散は、DeFi市場に重大な影響を及ぼします。第一に、ユーザーの不安を高め、複雑な許可を必要とする新しいプロトコルの採用を遅らせる可能性があります。投資家は、隠れた悪用を恐れて、スマートコントラクトとのやり取りにますます慎重になるかもしれません。第二に、いかなるメッセージへの署名もその結果を明確かつ明示的に伝えるユーザーインターフェースを設計する上で、DeFiアプリケーション開発者により大きな負担をかけることになります。これを怠ると、風評被害やロックされた総価値(TVL)の損失につながる可能性があります。この事件は、DeFiにおける技術革新が、ユーザーセキュリティと教育の進歩と合致しなければならないという厳しい警告となります。
この事件に関する具体的なコメントはありませんが、より広範なサイバーセキュリティコミュニティはこの傾向について警告してきました。米国財務省のFinCEN報告書によると、ランサムウェア関連の支払いは急増し、2022年から2024年の間に21億ドル以上が報告されています。これらの不正支払いの大部分はビットコイン(BTC)で行われました。インシデント対応企業CovewareのCEOであるビル・シーゲル氏は、より良いデータ収集の必要性を指摘し、「攻撃の深刻さと頻度について単一の情報源」を作成するためには「包括的な義務的報告要件」が必要であると述べました。この感情は、多くの損失が報告されないDeFiに直接適用されます。さらに、FBIの「一呼吸置く」キャンペーンは、緊急の行動または情報要求に直面した際に一時停止して確認するようユーザーに促しています。これは、パーミット詐欺を可能にするソーシャルエンジニアリング戦術に対する重要な防御策です。
イーサリアムのパーミット詐欺は、デジタル詐欺におけるより広範な業界横断的な傾向の縮図です。サイバー犯罪者は、Ransomware-as-a-Service(RaaS)モデルと高度な技術を活用し、正当なビジネスと同じくらい洗練された方法で活動しています。セキュリティ研究者によると、戦術には、説得力のあるフィッシングメッセージを作成するためのAIの使用、「SEOポイズニング」による偽の顧客サポート番号の検索結果操作、詐欺的なQRコードの作成などが含まれます。これらの方法はすべて、人間の心理を悪用し、技術的保護手段を回避するように設計されています。核心的な問題は情報の非対称性です。ユーザーは、自身が与えている技術的許可を認識していないことが多く、これは犯罪者が従来の金融と急成長するDeFiランドスケープの両方で体系的に悪用している脆弱性です。金融インフラがより分散化され、ユーザー主権になるにつれて、セキュリティ検証の責任はますます個人に課せられるようになり、教育と懐疑心が最も重要になります。