スナイパーフィッシング：OKX Web3ウォレットの4つのリスク取引遮断機能を一文で理解する

Scam Sniffer が発表した2024年中間フィッシングレポートによると、2024年上半期だけで26万人の被害者がEVMチェーン上で3.14億ドルを失い、その中には20人がそれぞれ100万ドル以上の損失を被ったという。悲しいことに、ある被害者は1100万ドルを失い、歴史上2番目の大きな盗難被害者となった。

このレポートのまとめによれば、現在ほとんどのERC20トークンの盗難は、Permit、IncreaseAllowance、Uniswap Permit2などのフィッシング署名の署名によるものである。また、大規模な盗難のほとんどは、Staking、Restaking、Aave担保、Pendleトークンに関与している。被害者は主に偽のTwitterアカウントのフィッシングコメントによってフィッシングサイトに誘導されている。

フィッシング攻撃は間違いなく、オンチェーンのセキュリティ問題の重災区である。

ユーザー基盤の取引ニーズを受ける入口級製品として、OKX Web3ウォレットは安全対策の強化とユーザー教育に焦点を当て続けている。製品レベルでは、チームは最近、高頻度のフィッシングシナリオに対するリスク取引の遮断機能をアップグレードし、今後もより多くのリスクシナリオを識別してユーザーに通知することを継続すると述べている。

この記事は、OKX Web3ウォレットの最新アップグレードにおける4つのリスク取引遮断機能の適用シナリオを明確にし、いくつかの盗難事例の運用原理を解説することを目的としており、皆様の助けになれば幸いです。

1、EOAアカウントへの悪意のある権限付与

6月26日、あるユーザーが偽のBlastフィッシングサイトで複数のフィッシング署名を署名し、21.7万ドルを失った。7月3日、ZachXBTはアドレス0xD7b2がFake_Phishing 187019のフィッシング被害者となり、6枚のBAYC NFTと40枚のBeansを失った（価値は約100万ドル以上）。7月24日、あるPendleユーザーが1時間前に複数のPermitフィッシング署名によって約469万ドル相当のPENDLEPT再ステーキングトークンを盗まれた。

過去2ヶ月間、さまざまな署名フィッシングによる損失事件や単一の金額は少なくなく、これは安全問題が頻発する重要なシナリオとなっている。ほとんどのシナリオは、ユーザーをハッカーのEOAアカウントに権限を付与するよう誘導することにある。

EOAアカウントへの悪意のある権限付与は、一般的にハッカーがさまざまな福利活動などの形式でユーザーを誘導し、ユーザーのアドレスをEOAアドレスに権限付与する署名を行わせることを指す。

EOAはExternally Owned Accountsの略で、外部アカウントとも訳される。これはイーサリアムを基盤としたブロックチェーンネットワーク上のアカウントタイプであり、イーサリアム上の別のアカウントタイプであるコントラクトアカウント（Contract Account）とは異なる。EOAはユーザーが所有し、スマートコントラクトによって制御されない。プレイヤーがチェーン上でサーフィンする際は、一般的にプロジェクト側のスマートコントラクトアカウントに権限を付与するが、個人が所有するEOAアカウントには権限を付与しない。

現在、最も一般的な権限付与方法は3つある。ApproveはERC-20トークン標準に存在する一般的な権限付与方法であり、第三者（スマートコントラクトなど）がトークン保有者の名義で一定数量のトークンを消費することを許可する。ユーザーは特定のスマートコントラクトに対して一定数量のトークンを事前に権限付与する必要があり、その後、そのコントラクトはいつでもtransferFrom機能を呼び出してこれらのトークンを移転できる。ユーザーが不注意で悪意のあるコントラクトに権限を付与した場合、これらの権限付与されたトークンは即座に移転される可能性がある。注意すべきは、被害者のウォレットアドレスにはApproveの権限付与の痕跡が見えることだ。

PermitはERC-20標準に基づいて導入された拡張権限付与方法であり、メッセージ署名を通じて第三者にトークンを消費することを許可するもので、スマートコントラクトを直接呼び出すのではない。簡単に言えば、ユーザーは署名を通じて他者に自分のトークンを移転することを承認できる。ハッカーはこの方法を利用して攻撃を行うことができる。たとえば、彼らはフィッシングサイトを構築し、ウォレットにログインするボタンをPermitに置き換えることで、ユーザーの署名を簡単に取得できる。

Permit2はERC-20の標準機能ではなく、Uniswapがユーザーの利便性のために導入した機能である。この機能により、Uniswapのユーザーは使用中に一度だけガス代を支払う必要がある。しかし、注意すべきは、もしあなたが以前にUniswapを使用し、無制限の額をコントラクトに権限付与した場合、あなたはPermit2フィッシング攻撃のターゲットになる可能性がある。

PermitとPermit2はオフライン署名方式であり、被害者のウォレットアドレスはガス代を支払う必要がなく、フィッシング者のウォレットアドレスが権限付与のオンチェーン操作を提供するため、これら2つの署名の権限付与の痕跡はフィッシング者のウォレットアドレスにしか見えない。現在、PermitとPermit2の署名フィッシングはWeb3資産セキュリティ分野の重災区となっている。

このシナリオにおいて、OKX Web3ウォレットの遮断機能はどのように機能するのか？

OKX Web3ウォレットは、署名待ちの取引を事前に解析し、解析結果が取引が権限付与行為であり、権限付与されたアドレスがEOAアドレスであることを発見した場合、ユーザーに警告を行い、フィッシング攻撃による資産損失を防ぐ。

2、悪意のあるアカウントオーナーの変更

悪意のあるアカウントオーナーの変更の事件は、TRON、Solanaなどのアカウントオーナー設計があるブロックチェーン上で通常発生する。ユーザーが一度署名すると、アカウントの制御権を失うことになる。

TRONウォレットを例に取ると、TRONのマルチシグ権限システムは3種類の異なる権限を設計している：Owner、Witness、Active。それぞれの権限には特定の機能と用途がある。

Owner権限は、すべてのコントラクトと操作を実行する最高権限を持つ。唯一この権限を持つ者が他の権限を変更でき、他の署名者を追加または削除できる。新しいアカウントを作成すると、デフォルトでそのアカウント本体がこの権限を持つ。

Witness権限は、主にスーパー代表（Super Representatives）に関連しており、この権限を持つアカウントはスーパー代表の選挙と投票に参加し、スーパー代表に関連する操作を管理できる。

Active権限は、日常的な操作に使用され、例えば送金やスマートコントラクトの呼び出しに使われる。この権限はOwner権限によって設定および変更され、特定のタスクを実行する必要があるアカウントに割り当てられることが多い。これは、いくつかの権限付与操作（例えばTRX送金、ステーキング資産）の集合である。

一つのケースは、ハッカーがユーザーの秘密鍵/リカバリーフレーズを取得した場合である。もしユーザーがマルチシグメカニズムを使用していない場合（つまり、そのウォレットアカウントはユーザー一人によってのみ制御されている）、ハッカーはOwner/Active権限を自分のアドレスに権限付与するか、ユーザーのOwner/Active権限を自分に移転することができる。この操作は通常、悪意のあるマルチシグと呼ばれる。

もしユーザーのOwner/Active権限が削除されていなければ、ハッカーはマルチシグメカニズムを利用してユーザーと共同でアカウントの所有権を制御する。この時、ユーザーは秘密鍵/リカバリーフレーズを持ち、Owner/Active権限も持っているが、自分の資産を移転することができない。ユーザーが資産を転出するリクエストを発起する際には、ユーザーとハッカーのアドレスの両方が署名する必要があり、正常に取引を実行できる。

もう一つのケースは、ハッカーがTRONの権限管理設計メカニズムを利用して、直接ユーザーのOwner/Active権限をハッカーのアドレスに移転し、ユーザーがOwner/Active権限を失うことである。

これら2つのケースで生じる結果は同じであり、ユーザーがOwner/Active権限を持っているかどうかにかかわらず、そのアカウントの実際の制御権を失い、ハッカーのアドレスがアカウントの最高権限を得ることで、アカウントの権限を変更したり、資産を移転したりすることができる。

このシナリオにおいて、OKX Web3ウォレットの遮断機能はどのように機能するのか？

OKX Web3ウォレットは、署名待ちの取引を事前に解析し、取引内にアカウント権限の変更行為が存在することを発見した場合、ユーザーに直接取引を遮断し、ユーザーがさらに署名することを根本的に防ぐ。

このリスクは非常に高いため、現在OKX Web3ウォレットは直接遮断を行い、ユーザーがさらなる取引を行うことを許可しない。

3、悪意のある送金先アドレスの変更

悪意のある送金先アドレスの変更のリスク取引シナリオは、主にDAppコントラクトの設計が不十分な場合に発生する。

3月5日、@CyversAlertsは、0xae7abで始まるアドレスがEigenLayerから4枚のstETHを受け取り、コントラクト14199.57ドルが疑似フィッシング攻撃に遭ったことを監視した。また、現在すでに多くの被害者がメインネット上で「queueWithdrawal」のフィッシング取引を署名していることを指摘した。

Angel Drainerはイーサリアムのステーキングの性質を狙い、取引の承認は通常のERC20「承認」方法とは異なり、EigenLayer Strategy ManagerコントラクトのqueueWithdrawal (0xf123991e)関数に特化した利用を行った。攻撃の核心は、queueWithdrawal取引を署名したユーザーが実際には悪意のある「引き出し者」に対して、ウォレットのステーキング報酬をEigenLayerプロトコルから攻撃者が選択したアドレスに引き出すことを承認してしまうことである。簡単に言えば、フィッシングウェブサイトで取引を承認すると、EigenLayerでステーキングした報酬は攻撃者のものになる。

悪意のある攻撃を検出するのをさらに困難にするため、攻撃者は「CREATE2」メカニズムを使用してこれらの引き出しを空のアドレスに承認する。これは新しい承認方法であるため、ほとんどのセキュリティ提供者や内部セキュリティツールはこの承認タイプを解析および検証しないため、ほとんどの場合、良性の取引としてマークされる。

この例だけでなく、今年に入ってからもいくつかの主流のブロックチェーンエコシステムで設計が不十分なコントラクトの脆弱性が発生し、一部のユーザーの送金先アドレスが悪意を持って変更され、資金損失の問題が発生している。

このシナリオにおいて、OKX Web3ウォレットの遮断機能はどのように機能するのか？

EigenLayerのフィッシング攻撃シナリオに対して、OKX Web3ウォレットは「queueWithdrawal」に関連する取引を解析し、ユーザーが公式ウェブサイト以外で取引を行い、かつユーザー自身のアドレス以外に引き出すことを発見した場合、ユーザーに警告を行い、強制的にユーザーにさらなる確認を求め、フィッシング攻撃を防ぐ。

4、類似アドレスへの送金

類似アドレスへの送金の攻撃手法は、被害者に対して非常に似た偽のアドレスを使用させることで、資金を攻撃者のアカウントに移転させるものである。これらの攻撃は通常、複雑な混乱と隠蔽技術を伴い、攻撃者は複数のウォレットやクロスチェーントランスファーなどの方法を使用して追跡の難易度を増加させる。

5月3日、ある巨大なホエールが同じ先頭と末尾の番号のアドレスのフィッシング攻撃に遭い、1155枚のWBTCを盗まれ、価値は約7000万ドルであった。

この攻撃の論理は、ハッカーが事前に大量のフィッシングアドレスを生成し、分散型プログラムを展開した後、チェーン上のユーザーの動態に基づいて、ターゲット送金アドレスに対して同じ先頭と末尾の番号のアドレスのフィッシング攻撃を仕掛けることである。そして、この事件では、ハッカーは0xを除去した先頭4桁と末尾6桁が被害者のターゲット送金アドレスと一致するアドレスを使用した。ユーザーが送金した後、ハッカーはすぐに衝突したフィッシングアドレス（約3分後）で追随する取引を行い（フィッシングアドレスがユーザーアドレスに0 ETHを送金した）、このようにフィッシングアドレスがユーザーの取引記録に現れた。

ユーザーは通常、ウォレットの履歴から最近の送金情報をコピーするため、この追随したフィッシング取引を見た後、コピーしたアドレスが正しいかどうかを注意深く確認せず、結果として1155枚のWBTCをフィッシングアドレスに誤って送金してしまった。

このシナリオにおいて、OKX Web3ウォレットの遮断機能はどのように機能するのか？

OKX Web3ウォレットは、チェーン上の取引を継続的に監視し、大口取引が発生した後すぐに、ユーザーが自発的にトリガーしない疑わしい取引が発生し、疑わしい取引のインタラクション相手が大口取引のインタラクション相手と非常に似ている場合、疑わしい取引のインタラクション相手を類似アドレスとして判断する。

その後、ユーザーが類似アドレスとインタラクションを行う場合、OKX Web3は遮断の警告を行う。また、取引履歴ページでは、類似アドレスに関連する取引を直接マークし、ユーザーが誘導されて貼り付けることを防ぎ、資金損失を防ぐ。（現在、8つのチェーンをサポートしている）

結論

総じて言えば、2024年上半期、エアドロップフィッシングメールやプロジェクト公式アカウントのハッキングなどのセキュリティ事件は依然として頻発している。ユーザーはこれらのエアドロップや活動から得られる利益を享受する一方で、前例のないセキュリティリスクにも直面している。ハッカーは公式のフィッシングメールや偽のアドレスなどの手段を使って、ユーザーに秘密鍵を漏洩させたり、悪意のある送金を行わせたりしている。また、一部のプロジェクト公式アカウントもハッカーの攻撃を受け、ユーザーの資金損失を引き起こしている。一般のユーザーにとって、このような環境下で最も重要なのは、警戒心を高め、安全知識を深く学ぶことである。同時に、リスク管理が信頼できるプラットフォームを選ぶことができる限り、選択することが重要である。

リスク警告および免責事項

本記事は参考のためのものである。この記事は著者の見解を表しており、OKXの立場を代表するものではない。この記事は意図的に（i）投資アドバイスまたは投資推奨を提供するものではなく；（ii）デジタル資産の購入、販売、または保有のオファーまたは勧誘を提供するものではなく；（iii）財務、会計、法律、または税務アドバイスを提供するものではない。我々は、これらの情報の正確性、完全性、または有用性を保証しない。保有するデジタル資産（安定コインやNFTを含む）は高リスクを伴い、大きく変動する可能性がある。あなたは自分の財務状況に基づいて、デジタル資産の取引または保有が自分に適しているかどうかを慎重に考慮すべきである。あなたの具体的な状況については、法律/税務/投資の専門家に相談してください。あなたは自らの責任で、地元の適用法令を理解し、遵守する必要がある。