Convex Financeにフロントエンド攻撃
DeFi(分散型金融)イールドオプティマイザーConvex Financeは24日、フロントエンドの改ざんによるフィッシング詐欺の手口を検出したことを公表した。5つのユーザーアドレスがウェブサイト上で偽のコントラクトに署名したが、不正流出などの被害は報告されていない。
Investigation is still ongoing, but a quick update for the community:
— Convex Finance (@ConvexFinance) June 23, 2022
– DNS for https://t.co/5rSUjMgY4u was hijacked, prompting users to approve malicious contracts for some interactions on the site.
– Funds on verified contracts are unaffected.
Convex Finance(CVX)はステーブルコインの主要な分散型取引所Curve Finance(CRV)の利用者向けに構築された利回りの最適化サービス。複雑な運用作業を省略しながらCRVトークンと流動性提供の報酬を増幅できることで人気を博し、TVL(ロックされた資産総額)は3,600億円(30億ドル)を超えている(Defillama調べ)。
手口はフロントエンド攻撃によるもので、スマートコントラクトではなくウェブサイトがハッキングされたことを意味する。つまり、Convexのサイトを操作して、ユーザーに悪意のあるスマートコントラクトを署名(Approve)させた形だ。
Convexチームは、従来のスマートコントラクトに預けられた資産に影響が無いことを強調。「現時点で問題は改善されているが、調査は継続中。完全な調査報告は追って行う」と述べている。偽のコントラクトに署名した5つのアドレスを公開し、保有者に対してコミュニティチャネルから連絡するよう促している。
関連:仮想通貨レンディング大手Celsius、DeFiプラットフォームの不正流出で損失
DeFiを狙うフィッシング詐欺
近年、フロントエンド攻撃に関連する、仮想通貨ユーザーの盗難被害が増加している。21年12月にはビットコイン(BTC)向けのDeFiインフラBadgerDAOのフロントエンドが改ざんされ、約150億円(1億2000万ドル)もの資産が盗み出された。
BadgerDAOが使用しているコンテンツデリバリーネットワーク「Cloudflare」のAPIキーが漏洩し、攻撃者がBadgerのウェブサイトに悪意のあるスクリプトを挿入。接続したユーザーのトークン移動が可能になっていた。
5月には、CoinGeckoやEtherscanといった、仮想通貨データベースサイトで利用者を攻撃対象としたフィッシング詐欺が発生した。
これらのフロントエンド攻撃を防ぐために、例え安全なサイトと表示されていても、接続するコントラクトが本物かどうか常に疑う姿勢がユーザーに求められている。仮想通貨ウォレットでは、取引前に署名しようとするコントラクトの内容を確認できる。
The same applies when you swap/mint/sell/stake/farm on all the fancy stuff built by amazing devs the past few years.
— MetaMask 🦊💙 (@MetaMask) March 4, 2022
When tokens need to be moved by a contract to facilitate an action, you must first *approve* that address to access/move those tokens.
This is important.
7/ pic.twitter.com/FNZH8Xdl3C
出典:Metamask
詳細情報(画像赤枠)からEtherscanにアクセスし、Creator行をクリックすると、誰がいつ該当コントラクトをデプロイしたかを確認できる。少なくとも公式アドレスがコントラクトを作成したかどうかは確認できるだろう。
関連:CoinGeckoやEtherscan、フィッシング攻撃が発生
