$10 百万暗号資産の盗難がトルネードキャッシュにルーティングされ、重大なセキュリティの脆弱性を暴露

昨年、巧妙なフィッシング攻撃の犠牲になった暗号通貨の「クジラ」は、$10 百万ドル相当の盗まれたエーテルが暗号通貨ミキシングサービスTornado Cashに移動されたのを目にし、デジタル資産エコシステムにおける持続的なセキュリティ脅威を浮き彫りにしました。

9月のハッキングによる主要な資金移動

2023年3月21日、ブロックチェーンセキュリティ企業CertiKは、2023年9月のフィッシング事件に関連付けられたアカウントが3,700エーテルをトルネードキャッシュに転送したという疑わしい活動を特定しました。この転送は、2023年9月6日の元の攻撃で盗まれた(百万のデジタル資産の重要な部分を示しています。

被害者は、暗号通貨のクジラであり、Rocket Pool流動性ステーキングサービスを通じてステーキングされたエーテルの大きな保有を失いました。この高度な攻撃は、2つの異なる段階で発生しました:

• 第1フェーズ:9,579 stETHの削除
• 第2フェーズ:4,851 rETHの盗難

エクスプロイトの技術的な内訳

セキュリティプロジェクト Scam Sniffer は、攻撃を可能にした技術的脆弱性を明らかにしました: 被害者は「増加許可」トランザクションを承認しており、これは壊滅的な結果をもたらしました。この特定のスマートコントラクト機能は、他者のERC-20トークンを第三者が同意のもとに使用することを許可します。

攻撃の仕組み:

1. 被害者は「許可の増加」取引を承認しました
2. 攻撃者は被害者のトークンに対する承認権を獲得しました
3. スマートコントラクト機能が悪用されてトークンが転送されました
4. 資産は匿名性を最大化するために変換されました

このセキュリティ侵害は、特に潜在的に悪意のあるスマートコントラクトとの相互作用におけるトークン承認の固有のリスクについて、暗号通貨コミュニティ全体で激しい議論を引き起こしています。

資産変換とマネーロンダリングの経路

ブロックチェーンインテリジェンス企業のPeckShieldは、攻撃者のその後の行動を追跡し、盗まれた資産がどのように体系的に次のように変換されたかを文書化しました。

• 13,785 エーテル
• 164万Daiステーブルコイン

変換後、DAIの一部はFixedFload取引所に送られ、残りの盗まれた資金はその起源を隠すために複数のウォレットアドレスに分配されました。その後、最新のTornado Cashの送金が行われました。

承認エクスプロイトの成長トレンド

この事件は、暗号通貨のセキュリティ侵害における厄介なパターンの一部を示しています。2月だけで、Scam Snifferの報告によると、フィッシング関連の詐欺によってほぼ$10 百万が失われました。

• エーテルネットワーク上で発生する盗難の78%
• すべての盗まれた資金の86%を占めるERC-20トークン

トークン承認の脆弱性は依然として重大な損失を生み出しています。この)百万の移転が特定される1日前に、Dolomite取引所で以前使用されていた古い契約が悪用され、契約に権限を付与したユーザーから180万ドルが盗まれました。Dolomiteの開発者は、その後、ユーザーに対して侵害された契約アドレスへのすべての同意を取り消すよう促しました。

迅速な対応がさらなる損失を防ぐ

多くの攻撃が大きな損失をもたらす一方で、迅速なセキュリティ対応が被害を軽減することができます。3月20日、Layerswapチームは、ドメインプロバイダーの迅速な介入のおかげで、ウェブサイトが侵害された後、さらなる悪用を防ぐことに成功しました。迅速な対応にもかかわらず、攻撃者は約50人のユーザーから約100,000ドルを抽出することに成功しました。Layerswapは、影響を受けたユーザーへの返金と、不便に対する追加の補償を提供することを約束しています。

これらの繰り返される事件は、暗号通貨取引におけるセキュリティの警戒がいかに重要であるかを強調しています。トークン承認機能の悪用やスマートコントラクトの脆弱性は、ユーザー教育の強化とすべての契約の相互作用の慎重な確認が必要であることを浮き彫りにし、ますます洗練された脅威環境において不必要な資産の損失を防ぐためのものです。