Japan時間の昨日早朝、オンチェーンアナリストのスペクター氏は、送金アドレスを慎重に確認しなかったために約5000万USDTがハッカーのアドレスに送金された事例を発見した。
私の調査によると、アドレス(0xcB80784ef74C98A89b6Ab8D96ebE890859600819)は、19日の北京時間13時頃、大規模な引き出し前のテストとして、Binanceから50 USDTを引き出した。
約10時間後、このアドレスはBinanceから49,999,950 USDTを一気に引き出しました。先に引き出した50 USDTと合わせると、合計金額はちょうど5000万USDTに達しました。
約20分後、5000万USDTを受け取ったアドレスはテスト目的で50USDTを0xbaf4…95F8b5に転送しました。
テスト送金が完了してから15分も経たないうちに、ハッカーのアドレス0xbaff…08f8b5は、残りの49,999,950 USDTを保有するアドレスに0.005 USDTを送金しました。ハッカーが使用したアドレスは、50 USDTを受け取ったアドレスと先頭と末尾が非常に類似しており、明らかに「アドレスポイズニング」攻撃の事例となっています。
10分後、0xcB80で始まるアドレスが残りの4000万USDTを転送しようとしたとき、ハッカーがデバイスを「ポイズニング」し、約5000万USDTを直接ハッカーの手に送ったアドレスである前回のトランザクションをうっかりコピーした可能性があります。
5,000万ドルを手にしたハッカーたちは、30分後に資金洗浄を開始しました。SlowMistによると、ハッカーたちはまずMetaMask経由でUSDTをDAIに変換し、その後、そのDAIをすべて使って約16,690イーサリアムを購入し、10イーサリアムを残して残りのイーサリアムをTornado Cashに移しました。出典:https://tokennews.jp/
昨日北京時間午後4時頃、被害者はブロックチェーン上にメッセージを投稿し、正式な刑事訴訟が提起されたこと、そして法執行機関、サイバーセキュリティ機関、そして複数のブロックチェーンプロトコルの協力を得て、ハッキング行為に関する信頼できる大量の情報を収集したことを表明しました。被害者は、ハッカーが100万ドルを残し、残りの98%の資金を返還するよう要求しました。ハッカーがこれに応じれば、それ以上の措置は取られません。応じない場合は、刑事責任と民事責任の両方でハッカーに対して法的措置を取り、ハッカーの身元を公表すると表明しました。しかし、現時点でハッカーはこれに対し何の反応も示していません。
Arkhamプラットフォームが収集したデータによると、このアドレスはBinance、Kraken、Coinhako、Coboのアドレスとの間で大規模な取引記録を持っています。Binance、Kraken、Coboについては説明は不要ですが、Coinhakoはあまり馴染みのない名前かもしれません。Coinhakoはシンガポールを拠点とする暗号資産取引所で、2014年に設立され、2022年にシンガポール金融管理局から大規模決済機関ライセンスを取得し、シンガポールで規制された取引所となっています。
このアドレスは複数の取引所と Cobo のホスティング サービスを使用していたこと、また、事件発生から 24 時間以内にハッカーを追跡するためにすべての関係者に迅速に連絡していたことを考えると、このアドレスは個人ではなく組織に属している可能性が高いと推測します。
「事故」が大きなミスにつながった。
「アドレスポイズニング」攻撃が成功した唯一の理由は「不注意」です。このような攻撃は、送金前にアドレスを二重に確認するだけで回避できますが、今回の事件の犯人は明らかにこの重要な手順を省略していました。
アドレスポイズニング攻撃は2022年に出現し始めましたが、その発端はEVMアドレスの先頭部分をカスタマイズできるツールである「プレミアムアドレス」ジェネレーターです。例えば、私自身も0xericで始まるアドレスを生成して、より識別性の高いアドレスにすることができます。
このツールは後にハッカーによって設計上の欠陥が発見され、秘密鍵を総当たり攻撃で破られる可能性があり、複数の大規模な金銭窃盗につながりました。しかし、カスタマイズされた先頭と末尾を生成できる機能は、一部の悪意のある人物に「巧妙なアイデア」を与えることもありました。つまり、ユーザーが一般的に使用する送金アドレスに類似した先頭と末尾を持つアドレスを生成し、ユーザーが頻繁に使用する他のアドレスに資金を送金することで、一部のユーザーがハッカーのアドレスを自分のアドレスと間違え、チェーン上の資産をハッカーに渡してしまう可能性があるのです。
過去のオンチェーン情報から、今回の攻撃以前から0xcB80で始まるアドレスがハッカーの主要な標的であり、アドレスポイズニング攻撃はほぼ1年前から始まっていたことがわかります。この種の攻撃は、ハッカーがユーザーの不注意や過失によって最終的に攻撃に引っかかると賭けるものです。まさにこの容易に検知できる攻撃手法こそが、不注意な個人が繰り返し被害に遭う原因となっているのです。
この事件を受けて、F2Poolの共同創設者である王俊氏は、被害者への同情を表明するツイートを投稿し、昨年、自分のアドレスが秘密鍵の漏洩によって侵害されていないかを確認するために、そのアドレスに500ビットコインを送金したところ、ハッカーに490ビットコインを盗まれたと述べました。王俊氏の経験はアドレスポイズニング攻撃とは無関係ですが、彼はおそらく、誰でも間違いを犯すものであり、被害者の不注意を責めるのではなく、ハッカーの責任を問うべきだと主張したのでしょう。
5,000万ドルは決して小さな金額ではありませんが、この種の攻撃で盗まれた金額としては過去最高額ではありません。2024年5月には、同様の攻撃により、あるアドレスが7,000万ドル相当のWBTCをハッカーのアドレスに送金しましたが、被害者はセキュリティ企業Match SystemsとCryptotex取引所の支援を受け、オンチェーン交渉を通じて最終的にほぼすべての資金を回収しました。しかし、この事件では、ハッカーは盗んだ資金をすぐにETHに変換し、Tornado Cashに送金したため、最終的に回収できるかどうかは不透明です。
4月、カーサの共同創業者兼最高セキュリティ責任者のジェイムソン・ロップ氏は、アドレスポイズニング攻撃が急速に広がっており、2023年以降ビットコインネットワークだけで4万8000件もの事件が発生していると警告した。
Telegram上の偽のZoomミーティングリンクを含むこれらの攻撃は、それほど高度なものではありませんが、まさにこの「単純な」アプローチこそが人々の警戒を緩めさせるのです。暗い森の中で暮らす私たちにとって、常に警戒を怠らないことは重要です。