Edgen Crypto·Dec 04 2025, 02:18Web3の求職者が悪意のあるコードレビュー要求に騙され、暗号通貨資産を失いました。この出来事は、ソーシャルエンジニアリング攻撃がデジタル空間における資産窃盗の主要な手段となる傾向が高まっていることを浮き彫りにしています。
Web3および暗号通貨セクターを標的とした新たなソーシャルエンジニアリング戦術が出現しました。求職者が悪意のあるコードをレビューするよう騙され、結果として秘密鍵を盗まれました。SlowMistの創設者であるYu Xian氏によって指摘されたこの事件は、単独のケースではなく、より広範でエスカレートする脅威の状況を象徴しています。この状況には、Yearn Financeから最近盗まれた900万ドルなどの高度な技術的エクスプロイトや、ReactおよびNext.jsフレームワークで特定されたような重要なサプライチェーンの脆弱性が含まれます。これらの事件は集合的に、攻撃ベクトルが増殖し複雑さを増し、資産を脅かし、デジタルインフラへの信頼を損なうため、セキュリティセンチメントにとって弱気市場を示唆しています。
この攻撃は、一見すると正規の採用プロセスを通じて展開されました。攻撃者はWeb3企業**@seracleofficialを装い、求職者と接触し、コードレビュータスクを割り当てました。コードはソフトウェア開発の一般的なプラットフォームであるBitbucket**のリポジトリにホストされていました。しかし、このリポジトリには、応募者の開発環境から機密情報を抜き取るように設計された悪意のあるコードが含まれていました。コードとやり取りすることで、応募者は意図せず自分のシステムを侵害し、その結果、暗号通貨ウォレットの秘密鍵が盗まれ、その後の資産損失につながりました。この方法は、採用プロセスという信頼できる専門的な文脈を通じて人間的要素を悪用することにより、従来の技術的防御を回避します。
主要な市場への影響は、Web3エコシステムの要である信頼の浸食です。この事件は、リスクがスマートコントラクトの脆弱性だけでなく、個人や組織の運用セキュリティにも及ぶことを浮き彫りにしています。企業にとっては、新規採用者に対するより厳格で、潜在的に費用のかかる審査およびオンボーディング手続きの必要性を示唆しています。市場全体にとっては、この分野と関わる専門家にとって新たな知覚リスクの層を導入し、人材獲得を遅らせ、コンプライアンスの負担を増大させる可能性があります。この事件が、デジタル資産空間が斬新で予測不可能なセキュリティ脅威に満ちているという認識を強化するため、即時のセンチメントは弱気です。
セキュリティ専門家は、このソーシャルエンジニアリング攻撃と他の主要なセキュリティイベントとの類似点を指摘し、脅威がエスカレートするパターンを強調しています。Yearn Financeにおける別個だが関連するDeFiエクスプロイトについてコメントした**Check Point Research (CPR)**は、「防御者にとって、このエクスプロイトは、複雑なシステムにおける正当性が、ハッピーパスだけでなく、すべての状態遷移の明示的な処理を必要とすることを再確認させるものです」と述べました。
この見解はソフトウェア開発の世界でも同様です。ReactおよびNext.jsフレームワークの重大な脆弱性に関して、セキュアコーディングトレーナーのTanya Jancaは、画期的なLog4j脆弱性と同じ緊急性で対処すべきだと助言しました。彼女は「たとえまだ野外で悪用されたことが知られていないとしても、これほど深刻なWebアプリケーションのセキュリティ上の欠陥はありえません」と述べています。攻撃者が人間的および技術的弱点の両方をますます高度な方法で悪用しているというのが共通の認識です。
この採用詐欺は、より大規模な高度なサイバー攻撃の傾向における単一のデータポイントに過ぎません。セキュリティ情勢は、ますます巧妙になる敵対者に対する多方面の戦いによって定義されています。
これらの出来事はまとめて、デジタル経済に対する明確かつ現在の危険を示しています。攻撃者はシステム、ソフトウェア、そして人々を首尾よく標的にしており、包括的なセキュリティデューデリジェンスがこれまで以上に重要になっています。