ユーザーは Ethereumで悪意のある許可署名を承認した後、USDCで440,358ドルを失いました

Web3セキュリティプラットフォームScam Snifferが確認したところによると、仮想通貨ユーザーが、攻撃者がウォレットを空にすることを許した不正な「許可」署名を知らずに承認したことにより、 Ethereum で440,358ドル相当のUSDコイン（USDC）を失った。

ウォレットアドレス0x67E8561Ba9d3f4CBe5fEd4C12c95b54f073a0605を使用していた被害者は、 を与える 。Scam Snifferは、資金が0xbb4…666f682aFと0x6a3aF6…d8F9a00Bというラベルの付いた2つの異なるアドレスに送金されていることを検知しました。 

フィッシング攻撃者が被害者からの44万ドルのUSDC送金を承認

Etherscanのブロックチェーンデータによると、攻撃者は「許可」トランザクションを利用していました。これは、所有者による手動確認を必要とせずにトークンを転送する署名の一種です。署名の時点では資金が移動していないように見えても、攻撃者は後から金額を記入し、追加の同意なしに cash ことができます。今回のケースでは、440,358ドルが記入されました。

承認されると、攻撃者はUSDC取引を処理するFiatTokenProxytracを使用して、複数の「transferFrom」呼び出しを実行しました。月曜日午前10時（UTC）頃、「偽のフィッシング」アカウントに22,000USDCが送金され、アドレス0xbb4…666f682aFに66,060ドル、0x6a3aF6…d8F9a00Bに352,300ドルが同時に送金されました。

被害者:
0x67E8561Ba9d3f4CBe5fEd4C12c95b54f073a0605

詐欺師:
0xbb4223Ef4cCe93fB40beb62178aBE9A666f682aF
0x6a3aF6Cb51D52F32D2A0A6716a8EFF99d8F9a00Bhttps://t.co/GdyGP2iPYZ pic.twitter.com/IukksnpAl1

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 2025年12月8日

Scam Sniffer はまた、11 月 7 日に別のフィッシング事件が発生したと報告しておりdent 別のユーザーが不正な許可メッセージに署名してからわずか 30 分後に 122 万ドル相当の USDC と PlaUSDT0 トークンを失った。

Web3セキュリティ企業の11月のフィッシングレポートによると、被害総額は777万ドルに達し、10月の328万ドルから1137%増加しました。被害額の急増にもかかわらず、被害者数は42%減少し、11月は6,344人のユーザーが被害に遭い、前月の10,935人から42%減少しました。

約1週間前、一部のハッカーが「アドレスポイズニング」を悪用し、 Ethereumから110万USDTを盗み出しました。ラミエル・キャピタルのCIO、カイル・ソスカ氏によると、このグループは「クジラ」ウォレットからの少額の送金を監視し、GPU搭載システムを使ってdent同一のアドレスを生成したとのことです。 

「今回のケースでは、攻撃者は被害者にオンチェーンで非常に少額のテザートランザクションを送信し、被害者のWeb3ウォレットの最近のアクティビティリストに類似アドレスが表示されるようにします。そして被害者は、大金を送金する際にdentこのアドレスを選択するのです」とソスカ氏は、この事件がどのようにしてdent 得たのかを尋ねるXユーザーへの返信で述べた。

ホリデーショッピングシーズン、なりすまし詐欺が急増

仮想通貨関連のフィッシング詐欺の増加は、年末年始の買い物シーズンにおけるデジタル詐欺の増加に続くものだ。tractractrac tractractractrac tractrac201%増加したと 詐欺 報告している。 

メイシーズ、ウォルマート、ターゲットを装ったメールは1週間で54%増加したが、全体として最もなりすまし被害が大きかったのはアマゾンで、フィッシング攻撃の80%を占め、デジタル消費者ブランドのアップル、アリババ、ネットフリックスを上回った。 

11月初旬だけで、カスペルスキーは季節の割引を謳うスパムメールを146,535件検出しました。そのうち2,572件は独身の日キャンペーン関連でした。これらのメッセージの多くは、前年から使い古された実績のあるテンプレートを再利用しており、詐欺師はAmazon、Walmart、Alibabaを装って早期アクセスセールを宣伝し、ユーザーを偽のチェックアウトページにリダイレクトしてdent情報を盗み出し、悪意のある承認操作を実行していました。

データ によると、同社は1月から10月にかけて、オンラインストア、銀行、決済システムを狙ったフィッシング攻撃を6,394,854件ブロックしました。これらの攻撃の約半数（48.2%）は、オンラインショッピング利用者を特に狙ったものでした。

同時期にカスペルスキーは、ゲームプラットフォームへの攻撃を2,000万件以上dentした。この中には、ゲームソフトを装った悪意あるファイルの配布ポイントとなっているDiscordを悪用した攻撃が1,856万件含まれている。

エンターテインメントプラットフォームも激しい標的攻撃に見舞われ、2025年にはNetflixをテーマにしたフィッシング攻撃が801,148件、Spotify関連のフィッシング攻撃が576,873件記録された。同社はまた、ゲームプラットフォームのSteam、PlayStation、Xboxを装ったフィッシング攻撃が2,054,336件発生したことも記録している。

さらに、カスペルスキーは「一般的なソフトウェア」を装ったマルウェア感染の試みを20,188,897件記録しており、その大半はDiscordによるもので、18,556,566件の検出数となり、昨年報告されたdent数の14倍以上となった。