Edgen Crypto·Nov 05 2025, 16:17ある暗号資産ユーザーが、悪意のある「permit」署名エクスプロイトにより30万ドル以上のaBasUSDCトークンを失いました。これはWeb3認証メカニズムにおける継続的な脆弱性を浮き彫りにし、新たなセキュリティ警告を促しています。
2025年11月5日にScam Snifferが報じたところによると、暗号資産ユーザーが悪意のある「permit」署名を実行した後、304,595ドル相当のaBasUSDCトークンを失いました。これは、分散型金融における永続的なセキュリティ課題を浮き彫りにしています。
2025年11月5日、あるユーザーが304,595ドルのaBasUSDCトークンを失ったと報じられました。Scam Snifferによって明らかにされ、その後PANewsによって報じられたこの事件は、ユーザーが詐欺的な「permit」署名に署名したことを含んでいます。この攻撃方法は、ユーザーが特定の取引に対する明示的な知識や意図なしにデジタル資産の転送を承認するように欺きます。
EIP-2612を介してERC20プロトコルに導入された「permit」関数は、ユーザーがトークン転送のためのオフチェーン承認を与えることを可能にします。通常、この関数はアカウント(所有者)が指定された受信者(使途者)のために承認署名を生成することを可能にし、使途者が所有者からのオンチェーントランザクションを必要とせずにtransferFrom呼び出しを開始するなどの承認された操作を実行することを許可します。署名には、所有者、使途者、価値、期限などのパラメータが含まれます。効率のために設計されたこのメカニズムは、ユーザーが悪意のある承認に署名するようにだまされた場合に悪用される可能性があります。
このエクスプロイトは、Web3エコシステム、特にトークン承認メカニズムにおける重大な脆弱性を浮き彫りにしています。この事件に先立ち、2025年9月30日には、2人のユーザーが悪意のあるUniswap Permit2署名に署名した後、155,000ドル相当のaBascbBTCと90,000ドル相当のXAUtを失うなど、他の重大な損失が発生しました。これらの出来事は、正当なプロトコル機能を不正な利益のために悪用する攻撃の洗練度が高まっていることを強調しています。
より広範な市場心理は依然として慎重であり、2025年上半期におけるWeb3セクター全体のハッカー攻撃、フィッシング詐欺、「ラグプル」による損失総額は約21億3800万ドルに達しています。Beosin Alertによる監視では、同時期に90件の主要な攻撃事件が記録され、総損失額は20億9300万ドルに達しました。2025年11月3日のBalancer V2エクスプロイトで1億2800万ドル以上が盗まれた事件を含め、このような事件は、分散型金融プラットフォームのセキュリティと完全性に対する投資家の懸念を高めています。
GoPlusのようなセキュリティプラットフォームは、ユーザーに極度の警戒を維持し、セキュリティプロトコルに厳格に従うことを推奨しています。これには、未知のリンクを避け、未検証のソフトウェアのインストールを控え、未知のトランザクション内容に署名する際に注意を払い、未検証のアドレスに資金を送金しないことが含まれます。Web3アンチ詐欺プラットフォームであるScam Snifferは、オフチェーンとオンチェーンのデータ分析を組み合わせることでリアルタイム保護を提供し、このような脅威を積極的に監視しています。そのセキュリティソリューションは、Binance、Bybit、OneKey、Phantom、TokenPocketを含む主要なウォレットで使用されており、何百万ものユーザーをフィッシングや詐欺から保護することを目指しています。
これらのエクスプロイトの再発的な性質は、個々のユーザーとWeb3プロジェクトチームの両方からの継続的な警戒を必要とします。「permit」関数は取引効率を提供しますが、その悪用は、急速に進化する技術環境においてデジタル資産を保護するという継続的な課題を浮き彫りにしています。この事件は、高度なWeb3ウォレット機能および認証プロトコルに関連するリスクを軽減するために、取引の詳細を慎重に検証し、信頼できるセキュリティツールを使用することを含む、堅牢なセキュリティプラクティスの必要性を再確認します。