This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
ブロックチェーン安全新たな挑戦:スマートコントラクトとソーシャルエンジニアリングの二重の脅威
ブロックチェーンの安全性:スマートコントラクトと社会工学の二重の課題
暗号通貨とブロックチェーン技術は金融の自由の概念を再構築していますが、この革命は新たなセキュリティ脅威ももたらしました。詐欺師はもはや単に技術的な脆弱性を利用するのではなく、ブロックチェーンのスマートコントラクト自体を攻撃ツールに変えています。巧妙に設計されたソーシャルエンジニアリングの罠を通じて、彼らはブロックチェーンの透明性と不可逆性を利用し、ユーザーの信頼を資産を盗む手段に変えています。偽造されたスマートコントラクトからクロスチェーン取引の操作まで、これらの攻撃は隠蔽されており、さらにその"合法的"な外見により騙されやすくなっています。本稿では、実例を通じて詐欺師がどのようにプロトコルを攻撃手段に変えるかを明らかにし、技術的防護から行動予防に至る包括的な解決策を提供します。
一、合法協定はどのように詐欺の道具になったのか?
ブロックチェーン協定は安全性と信頼を確保すべきですが、詐欺師はその特性を利用し、ユーザーの不注意と組み合わせて、さまざまな隠れた攻撃手法を生み出しました。以下は一般的な手法とその技術的詳細です:
(1) 悪意のスマートコントラクトの承認
技術原理: イーサリアムなどのブロックチェーン上で、ERC-20トークン標準はユーザーが"Approve"関数を通じて第三者に指定された数量のトークンを自分のウォレットから引き出す権限を与えることを許可します。この機能は分散型金融(DeFi)プロトコルで広く使用されており、ユーザーは取引、ステーキング、または流動性マイニングを完了するためにスマートコントラクトに権限を与える必要があります。しかし、詐欺師はこのメカニズムを利用して悪意のある契約を設計しています。
仕組み: 詐欺師は、合法的なプロジェクトに見せかけた分散型アプリケーション(DApp)を作成し、通常はフィッシングサイトやソーシャルメディアを通じて宣伝します。ユーザーはウォレットを接続し、"Approve"をクリックするよう誘導されます。表面上は少量のトークンを承認することですが、実際には無制限の額です。一度承認が完了すると、詐欺師の契約アドレスが権限を取得し、いつでも"TransferFrom"関数を呼び出して、ユーザーのウォレットからすべての対応するトークンを引き出すことができます。
実際のケース: 2023年初、"あるDEXのアップグレード"を装ったフィッシングサイトが、数百人のユーザーに数百万ドルのUSDTとETHの損失をもたらしました。オンチェーンデータは、これらの取引がERC-20標準に完全に準拠していることを示しており、被害者は承認が自発的に署名されたため、法的手段で取り戻すのが難しいです。
(2) サインフィッシング
技術原理: ブロックチェーン取引では、ユーザーがプライベートキーを使用して署名を生成し、取引の合法性を証明する必要があります。ウォレットは通常、署名要求をポップアップし、ユーザーが確認すると、取引はネットワークにブロードキャストされます。詐欺師はこのプロセスを利用して、署名要求を偽造し、資産を盗みます。
仕組み: ユーザーは公式通知を装ったメールやインスタントメッセージを受け取ります。例えば、「あなたのNFTエアドロップが受け取れる準備ができました。ウォレットを確認してください。」リンクをクリックすると、ユーザーは悪意のあるウェブサイトに誘導され、ウォレットを接続し「検証取引」に署名するよう求められます。この取引は実際には「Transfer」関数を呼び出し、ウォレット内のETHやトークンを詐欺師のアドレスに直接転送する可能性があります。または、「SetApprovalForAll」操作を行い、詐欺師にユーザーのNFTコレクションの管理を許可することになります。
実際のケース: ある有名なNFTプロジェクトのコミュニティが署名フィッシング攻撃に遭い、多くのユーザーが偽の「エアドロップ受取」取引に署名したため、数百万ドル相当のNFTを失いました。攻撃者はEIP-712署名標準を利用し、一見安全なリクエストを偽造しました。
! DeFiダークフォレストサバイバルガイド:スマートコントラクトのエンパワーメントが資産収穫者になるとき
(3) 偽のトークンと「ダスト攻撃」
技術原理: ブロックチェーンの公開性は、誰でも任意のアドレスにトークンを送信することを可能にします。受信者が積極的にリクエストしていなくてもです。詐欺師はこれを利用して、複数のウォレットアドレスに少量の暗号通貨を送信し、ウォレットの活動を追跡し、ウォレットを持つ個人や会社と関連付けます。
仕組み: 攻撃者は少量の「ダスト」トークンを異なるアドレスに送信し、どれが同じウォレットに属しているかを突き止めようとします。これらのトークンは魅力的な名前やメタデータを持っている可能性があり、ユーザーを特定のウェブサイトに誘導して詳細を確認させることがあります。ユーザーはこれらのトークンを現金化しようと試みるかもしれず、攻撃者はトークンに付随するコントラクトアドレスを通じてユーザーのウォレットにアクセスすることができます。さらに巧妙なのは、ダスト攻撃がユーザーのその後の取引を分析することで、ユーザーのアクティブなウォレットアドレスを特定し、より精密な詐欺を実施することができる点です。
実際のケース: イーサリアムネットワーク上で「GASトークン」のダスト攻撃が発生し、数千のウォレットに影響を与えました。一部のユーザーは好奇心からのやり取りにより、ETHやERC-20トークンを失いました。
二、なぜこれらの詐欺は見抜きにくいのか?
これらの詐欺が成功する理由は、主にそれらがブロックチェーンの合法的なメカニズムに隠れていて、一般のユーザーがその悪意の本質を見分けるのが難しいためです。以下はいくつかの重要な理由です:
技術的複雑性:スマートコントラクトのコードと署名要求は、非技術的なユーザーにとってはわかりにくいものです。例えば、「Approve」要求は「0x095ea7b3...」のような16進数データとして表示され、ユーザーはその意味を直感的に判断することができません。
チェーン上の合法性:すべての取引はブロックチェーン上に記録されており、一見透明ですが、被害者はしばしば事後に承認や署名の結果に気づき、その時点で資産は回収できなくなります。
ソーシャルエンジニアリング:詐欺師は人間の弱点、例えば欲望("1000ドルのトークンを無料で受け取る")、恐怖("アカウントに異常があるため確認が必要")、または信頼(カスタマーサポートを装う)を利用する。
巧妙に偽装:フィッシングサイトは公式のドメイン名に似たURLを使用することがあり、さらにはHTTPS証明書を利用して信頼性を高めることがあります。
! DeFiダークフォレストサバイバルガイド:スマートコントラクトエンパワーメントがアセットハーベスターになるとき
三、どのようにして暗号通貨ウォレットを保護しますか?
これらの技術的および心理的な戦争が共存する詐欺に対処するために、資産を保護するには多層的な戦略が必要です。以下は詳細な防止策です:
許可権限を確認および管理する
リンクとソースを検証する
冷 wallet とマルチシグネチャを使用する
サインリクエストを慎重に処理してください
粉塵攻撃への対応
! DeFiダークフォレストサバイバルガイド:スマートコントラクト認証がアセットハーベスターになるとき
まとめ
上述のセキュリティ対策を実施することで、ユーザーは高度な詐欺プログラムの犠牲者になるリスクを大幅に低減できますが、真の安全は技術だけに依存するものではありません。ハードウェアウォレットが物理的な防御を構築し、マルチシグがリスクを分散させるとき、ユーザーの権限ロジックへの理解とオンチェーンの行動に対する慎重さこそが、攻撃に対する最後の砦です。毎回の署名前のデータ解析、各権限付与後の権限審査は、自身のデジタル主権を守るためのものである。
未来、技術がどのように進化しても、最も重要な防御線は常に次のことです:セキュリティ意識を習慣として内面化し、信頼と検証の間にバランスを築くことです。ブロックチェーンの世界では、すべてのクリック、すべての取引が永続的に記録され、変更することはできません。したがって、警戒心を持ち続け、継続的に学ぶことは、この急速に発展する分野で安全に進むために非常に重要です。
! DeFiダークフォレストサバイバルガイド:スマートコントラクトエンパワーメントが資産収穫者になるとき