ハッカーによるUSDCの盗難
ハッカーは、ウォレットの所有者が知らずに悪意のある「パーミット」署名を行った後、USDCで44万ドル以上を奪ったと、Scam Snifferが月曜日に報告しました。この盗難は、フィッシングによる損失が急増する中で発生しました。
フィッシングによる損失の増加
Scam Snifferの月次報告によると、11月には6,000人以上の被害者から約777万ドルが奪われ、10月からの総損失は137%増加しましたが、被害者の数は42%減少しました。「ホエールハンティングは、パーミット署名による122万ドルの大ヒットで激化しました。攻撃の数は減少しているものの、個々の損失は大幅に増加しています」と同社は指摘しました。
パーミットベースの詐欺の手法
パーミットベースの詐欺は、ユーザーを騙して見かけ上合法的な取引に署名させ、攻撃者にトークンを使う権利を静かに渡すことに関するものです。悪意のあるdappsは、フィールドを偽装したり、契約名を偽ったり、署名リクエストを日常的なものとして提示したりすることがあります。ユーザーが詳細を注意深く確認しない場合、リクエストに署名することは、攻撃者にユーザーのすべてのERC-20トークンにアクセスする権限を実質的に与えることになります。
「この攻撃タイプの特に厄介な点は、攻撃者がパーミットとトークンの転送を1つの取引で実行することもできれば、パーミットを通じて自分にアクセスを与え、その後、後で追加された資金を転送するのを待つこともできることです」とTwinstakeのプロダクト責任者であるタラ・アニソンはDecryptに語りました。
ユーザーの警戒と防御策
アニソンは、この事件が孤立したものではないと強調しました。「ユーザーを騙して完全には理解していないものに署名させるフィッシング詐欺の大きな価値と高ボリュームの例がたくさんあります。しばしば無料エアドロップの名目で行われたり、ウォレットを接続するための偽のプロジェクトランディングページや、影響を受けたかどうかを確認するための詐欺的なセキュリティ警告の下で行われます」と彼女は付け加えました。
ウォレットプロバイダーは、より多くの保護機能を展開しています。たとえば、MetaMaskは、サイトが疑わしい場合にユーザーに警告し、取引データを人間が読み取れる意図に変換しようとします。他のウォレットも同様に高リスクのアクションを強調しています。しかし、詐欺師は適応し続けています。
「それが実際に資金を送信しようとしているプロトコルと一致しない場合、それはおそらく資金を盗もうとしている誰かです」とCircuitの創設者兼CEOであるハリー・ドネリーは述べました。
資金の回復の難しさ
一度盗まれると、資金の回復はほぼ不可能です。Zircuit Financeの共同創設者で技術責任者のマーティン・デルカは、資金を取り戻す可能性は「基本的にゼロ」と述べました。「フィッシング攻撃では、あなたの資金を奪うことが全体の目的である個人と対峙しています。交渉はなく、連絡先もなく、しばしば相手が誰であるかもわかりません」と彼は言いました。
「これらの攻撃者は数字ゲームをしています」とデルカは述べ、「一度お金がなくなると、それはもう戻ってこない。回復は基本的に不可能です」と付け加えました。
