これは史上最大のアドレスポイズニング事件か？ 新たな Ethereum 詐欺でユーザーが7100万ドルのwBTC損失を主張

2024年のここ数ヶ月は、嵐の前の静けさのようでした。ラグプル、詐欺、ブリッジエクスプロイトは以前の時期に比べて大幅に減少しました。資金を流用する新たな方法が広まりつつあり、大口投資家に影響を与えています。

このエクスプロイトはアドレスポイズニングとして知られるようになりました。これは、標的の送金先ではなく、悪意のあるウォレットに資金を送金するものです。この攻撃は、 DeFi ユーザーと分散型トレーダーに影響を与えます。 

最大の強盗は Ethereum ブロックチェーン上のラップされたBTCに影響を与える

最近の強盗による被害額は、市場価格の変動により、6,800万ドルから7,100万ドルと推定される。 

アドレスポイズニングの最も深刻な危険性は、関係するアドレスがすべて有効かつ使用可能であるということです。攻撃者は、マイクロトランザクションを利用して、エクスプロイトアドレスをユーザーの履歴に挿入する可能性が高いでしょう。

すると、ユーザーは Ethereum アドレスを取引所や他のウォレットのアドレスだと勘違いし、確認もせずにコピー＆ペーストしてしまう可能性があります。結局のところ、このエクスプロイトは人為的なミスと、アドレスの一部文字列の確認漏れに起因しています。 

人間が読めるdentの支持者たちは、ENS名を使えばアドレス文字列の比較の手間が省けると指摘しました。しかし、アドレスの最初と最後の4文字を比較するだけでは、誤った送金先に資金を送金してしまうのを防ぐのに十分ではない場合もあります。 

今回のエクスプロイトにはコピー＆ペースト機能への攻撃は含まれておらず、ウォレットの履歴に挿入されたアドレスを見落とすことに頼っていました。ポイズンドアドレス攻撃の別の形態はより高度で、侵害されたウォレットが作成者にとって既に知られている秘密鍵を生成するというものです。

なりすまし詐欺が新たな大規模詐欺に発展

今回の大規模な攻撃は、複数のソーシャルメディアアカウントによって行われ、彼らは実際の被害者になりすましているようだ。ウォレットの所有者は信頼できる形で名乗り出ておらず、多くの人が自分のトークンや NFT。 

研究者の@Zachxbtは懐疑的な見方を保ちつつ、新たな詐欺師に注意を払っている。 

再び悪用されている NFTの エアドロップ、あるいは単に寄付アドレスの認知度を高める目的で

汚染されたアドレスから資金を救出することはできますか?

すべてのブロックチェーン取引が不可逆的というわけではありません。現在、ウォレット所有者はハッカーに連絡を取り、資金を返還すれば10%の手数料を支払うと申し出ています。プロトコルによっては、ラップされたBTCもブロックバリデータ側で返金対象となる場合があります。 

現時点では資金移転の証拠はない。 

アドレスポイズニングハッキングは連続犯罪か？

一部の懐疑論者は、今回の盗難事件はエンゲージメント・ファーミングやソーシャルメディアでの影響力拡大のための手段だと考えている。ウォレットの所有者を tracには依然として十分な証拠がないものの、被害を受けたアカウントは自分だと主張する人もいる。 

さらに興味深いのは、このエクスプロイトで得た資金が、以前のトークン盗難に関係するウォレット クラスターに集まってしまったことです。 

上のトークンと資産は Ethereum 高い透明性を維持しているため、このウォレット群は 「偽のフィッシング詐欺」の標的とされ。資金はミキサーや分散型プロトコルに送金されたり、 NFT。

Dustフィッシング詐欺は復活か？ 

の復活とも言える 「ダストフィッシング」 。攻撃の手法は同じで、攻撃者は少額の送金を富裕層のウォレットに送りつけ、その送金が正当なアドレスから送られてきたものだと信じ込ませる。 

場合によっては、攻撃者は最初の4桁と最後の4桁が似ているアドレスを生成することができます。問題を回避する最善の方法は、取引履歴からアドレスをコピー＆ペーストしないことです。代わりに、毎回信頼できる情報源からアドレスを取得するようにしてください。 

Ethereum ネットワークとそのトークン標準では、ダストトランザクションを防ぐことはできず、すべての悪意のあるアドレスにフラグを立てることはできません。

開発者は、アドレスの数字と文字のランダムな部分を比較できるウォレットを使った回避策を提供しています。これにより、アドレスの先頭と末尾の文字のみを検証してしまう問題を回避できます。 

その他の解決策としては、長くて判読できない文字列を比較しなくても済むように、アドレスを視覚的に表現する方法があります。