フィッシング詐欺で36億円相当のイーサリアム盗難、単独被害では過去最大規模か
単独被害として最大
詐欺防止専門のプラットフォーム「Scam Sniffer」による調査で、6日に特定のウォレットアドレス(0x13e382dfe53207e9ce2eeeab330f69da2794179e)から、約36億円相当のイーサリアム(ETH)関連トークンが不正に移動されたことが明らかになった。
この事件は、スマートコントラクトの悪用が原因と見られ、暗号資産(仮想通貨)に関する単独の詐欺としては過去最大の被害額である可能性が高い。
被害に遭ったユーザーは、不正なウェブサイトで「increaseAllowance」と名付けられたスマートコントラクトを誤って承認した。その結果、攻撃者に保有するトークンのアクセスを許し、資産を自由に移動させてしまった。
この詐欺師の関連ウォレットアドレスは特定されており、「Fake_Phishing」とラベル付けされた。Scam Snifferによれば、過去にも同様の手口で多くの被害が確認されている。
既に、詐欺師は9,579.21 stETHと4,850.99 rETHを分散型取引所のCurveとUniswapを利用して14,430.2 ETHに交換。さらに1,000 ETHを163.5万DAIに交換し、それを複数のウォレットアドレスに分散した。残りの資産は、1,785 ETH、10,000 ETH、2,000 ETHに分けて、3つの別のウォレットアドレスに移動された。
関連:Web3ウォレットMetamask(メタマスク) 利用上の注意点を解説
詐欺の傾向と対策
巧妙にユーザーを誘いこみ、スマートコントラクトへの署名を促す手口は、仮想通貨詐欺の常套手段となっている。
DeFi(分散型金融)、ブロックチェーンゲーム、NFT(非代替性トークン)購入など、さまざまなdApps(分散型アプリケーション)を利用する際には、ユーザー自身が保有するトークンのアクセス権限をアプリケーションに許可する必要がある。
かつては「Approve(承認)」という機能が悪用されるケースが多かったが、警戒感が高まる中で、類似の「increaseAllowance」を使用するケースが増えているようだ。
詐欺のリスクを軽減する方法としては、信頼度の低いdApps(分散型アプリ)を極力避け、接続する場合はスマートコントラクトの内容をよく確認することが挙げられる。例えば、Web3対応ウォレット「MetaMask」では、「Edit Permission」機能を用いてトークンの移動上限を設定することが可能だ。
また、MetaMaskは、フィッシング攻撃を検出するセキュリティ機能を強化する計画を発表している。2023年末には、新しいプロトコル「Snaps」を導入予定で、これにより、ユーザーが取引を承認する前に悪意のあるコードや行動を警告する通知が表示されるようになる。
関連:MetaMaskが新プロトコル「Snaps」を導入へ、ウォレットのカスタマイズが可能に
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します