This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
ブロックチェーンの新しいセキュリティの課題:スマートコントラクトが詐欺ツールに成り果てる 防止策の全解析
金融の自由を再構築する:ブロックチェーンのセキュリティに関する新たな課題とその対策
暗号通貨とブロックチェーン技術は金融自由の概念を再定義していますが、この革命は新しいセキュリティの課題ももたらしました。詐欺師はもはや技術的な脆弱性に依存するだけでなく、巧妙にブロックチェーンのスマートコントラクトプロトコルそのものを攻撃ツールに変えています。精巧に設計されたソーシャルエンジニアリングの罠を通じて、彼らはブロックチェーンの透明性と不可逆性を利用し、ユーザーの信頼を資産を盗むための道具に変えています。偽造されたスマートコントラクトからクロスチェーン取引の操作まで、これらの攻撃は隠蔽性が高く、さらに「合法化」された外見のために非常に欺瞞的です。本稿では、実際のケースを分析することで、詐欺師がどのようにプロトコルを攻撃の手段に変えるかを明らかにし、技術的な防護から行動防止に至るまでの包括的な解決策を提供し、去中心化された世界で安全に進む手助けをします。
! DeFiダークフォレストサバイバルガイド:スマートコントラクトのエンパワーメントが資産収穫者になるとき
一、合法協定はどのように詐欺ツールになるのか?
ブロックチェーンプロトコルの初衷は安全性と信頼性を保障することですが、詐欺師はその特性を巧妙に利用し、ユーザーの不注意と組み合わせて、多様な隠れた攻撃方法を創造しています。以下は一般的な手法とその技術的詳細です:
(1) 悪意のあるスマートコントラクトの権限付与
技術原理: イーサリアムなどのブロックチェーン上で、ERC-20トークン標準はユーザーが「Approve」関数を通じて第三者(通常はスマートコントラクト)に指定された数量のトークンを自分のウォレットから引き出すことを許可することを可能にします。この機能はDeFiプロトコルで広く使用されており、ユーザーは取引、ステーキング、または流動性マイニングを完了するためにスマートコントラクトに権限を付与する必要があります。しかし、詐欺師はこのメカニズムを利用して悪意のあるコントラクトを設計しています。
仕組み: 詐欺師は合法的なプロジェクトを装ったDAppを作成し、通常はフィッシングサイトやソーシャルメディアを通じて宣伝します。ユーザーはウォレットを接続し、"Approve"をクリックするよう誘導されます。表面的には少量のトークンを承認するように見えますが、実際には無限の限度額(uint256.max値)かもしれません。承認が完了すると、詐欺師の契約アドレスは権限を得て、いつでも"TransferFrom"関数を呼び出して、ユーザーのウォレットから対応するすべてのトークンを引き出すことができます。
実際のケース: 2023年初、"あるDEXのアップグレード"を装ったフィッシングサイトが原因で、数百人のユーザーが数百万ドルのUSDTとETHを失いました。チェーン上のデータによると、これらの取引は完全にERC-20規格に準拠しており、被害者は自発的に署名したため、法的手段を通じて取り戻すこともできませんでした。
! DeFiダークフォレストサバイバルガイド:スマートコントラクトエンパワーメントがアセットハーベスターになるとき
(2) サインフィッシング
技術原理: ブロックチェーン取引では、ユーザーがプライベートキーを使用して署名を生成し、取引の合法性を証明する必要があります。ウォレットは通常、署名要求をポップアップし、ユーザーが確認した後、取引がネットワークにブロードキャストされます。詐欺師はこのプロセスを利用して、署名要求を偽造し、資産を盗みます。
仕組み: ユーザーは、"あなたのNFTエアドロップを受け取る準備ができました。ウォレットを確認してください"という内容の、公式通知を装ったメールやソーシャルメッセージを受け取ります。リンクをクリックすると、ユーザーは悪意のあるウェブサイトに誘導され、ウォレットの接続と"検証取引"の署名を求められます。この取引は実際には"Transfer"関数を呼び出すもので、ウォレット内のETHまたはトークンを直接詐欺師のアドレスに送信する可能性があります。または、"SetApprovalForAll"操作が行われ、詐欺師にユーザーのNFTコレクションを管理する権限を与えることになります。
実際のケース: ある有名なNFTプロジェクトのコミュニティが署名フィッシング攻撃に遭い、多くのユーザーが偽の「エアドロップ受取」取引に署名したため、数百万ドル相当のNFTを失いました。攻撃者はEIP-712署名標準を利用し、一見安全に見えるリクエストを偽造しました。
(3) 偽のトークンと"ダスト攻撃"
技術原理: ブロックチェーンの公開性は、誰でも任意のアドレスにトークンを送信できることを許可します。受信者が自発的にリクエストをしていなくてもです。詐欺師はこれを利用して、複数のウォレットアドレスに少量の暗号通貨を送信し、ウォレットの活動を追跡し、ウォレットを所有する個人や企業と関連付けます。
仕組み: 大多数の場合、ダスト攻撃で使用される「ダスト」は、エアドロップの形式でユーザーのウォレットに配布されます。これらのトークンは魅力的な名前やメタデータを持っている可能性があり、ユーザーを誘導して特定のウェブサイトを訪れさせ、詳細を確認させるのです。ユーザーはこれらのトークンを現金化しようとするかもしれませんが、その際、攻撃者はトークンに付随するコントラクトアドレスを通じてユーザーのウォレットにアクセスすることができます。さらに巧妙なのは、ダスト攻撃が社会工学を通じてユーザーのその後の取引を分析し、ユーザーのアクティブなウォレットアドレスを特定して、より正確な詐欺を実行することです。
実際のケース: 過去、イーサリアムネットワーク上で発生したある"トークン"のダスト攻撃は、数千のウォレットに影響を及ぼしました。一部のユーザーは好奇心からインタラクションを行い、ETHやERC-20トークンを失いました。
二、なぜこれらの詐欺は見抜きにくいのか?
これらの詐欺が成功する理由は、ブロックチェーンの合法的なメカニズムに隠れているため、一般のユーザーがその悪意の本質を見分けるのが難しいからです。以下は、いくつかの重要な理由です:
技術の複雑さ:スマートコントラクトのコードや署名リクエストは、非技術的なユーザーにとって難解です。例えば、「Approve」リクエストは「0x095ea7b3...」のような16進数データとして表示され、ユーザーはその意味を直感的に判断できません。
オンチェーンの合法性:すべての取引はブロックチェーンに記録され、一見透明ですが、被害者は往々にして事後に承認や署名の結果に気づき、その時には資産は回収不可能となってしまいます。
ソーシャルエンジニアリング:詐欺師は人間の弱点、例えば貪欲("1000ドルのトークンを無料で受け取る")、恐怖("アカウントの異常を確認する必要があります")または信頼(カスタマーサポートを装う)を利用します。
精巧な偽装:フィッシングサイトは公式ドメインに似たURLを使用する可能性があり、さらにはHTTPS証明書を通じて信頼性を高めることがあります。
! DeFiダークフォレストサバイバルガイド:スマートコントラクト認証がアセットハーベスターになるとき
三、どのようにして暗号通貨ウォレットを保護しますか?
これらの技術的および心理的戦争が共存する詐欺に直面して、資産を保護するには多層的な戦略が必要です。以下は詳細な防止策です:
権限を確認および管理する
リンクと出所を確認する
冷 wallet とマルチシグを使用
サイン要求を慎重に処理してください
粉塵攻撃への対応
まとめ
上記のセキュリティ対策を実施することにより、ユーザーは高度な詐欺プログラムの被害者になるリスクを大幅に低減できますが、真の安全性は技術だけに依存するものではありません。ハードウェアウォレットが物理的な防御線を構築し、マルチシグがリスクを分散させるとき、ユーザーの権限ロジックへの理解や、オンチェーンの行動への慎重さが、攻撃に対抗するための最後の砦となります。署名前のデータ解析、承認後の権限審査は、自己のデジタル主権への誓いです。
未来、どんなに技術が進化しても、最も重要な防線は常に次のことにあります:安全意識を筋肉の記憶として内面化し、信頼と検証の間に永続的なバランスを築くことです。結局のところ、コードが法律であるブロックチェーンの世界では、すべてのクリック、すべての取引が永遠にチェーン上の世界に記録され、変更することができません。