2025年第3四半期における暗号資産盗難の主要原因は依然としてプライベートキーの漏洩

SlowmistのMistTrackの盗難資金分析によると、秘密鍵の漏洩が暗号資産盗難の最も一般的な原因であり続けていることが示されています。

この調査結果によると、7月から9月の間に317件の盗難資金の報告が提出され、そのうち10件では3.73百万ドル以上の資産が凍結または回収されました。

秘密鍵が主要な脆弱性であり続ける

このレポートでは、ほとんどの暗号資産盗難は高度な攻撃よりも、侵害された認証情報に依存していることが強調されています。未承認の販売業者が偽のハードウェアウォレットを販売し続けており、これが一般的な詐欺となっています。これらのデバイスには、事前に書き込まれたシードフレーズが含まれていたり、回復情報を密かに取得するために悪意のある改ざんが行われていたりして、被害者が資産を入金すると攻撃者が資金にアクセスできるようになります。

SlowMistは、ユーザーに対して、認可された販売業者からのみハードウェアウォレットを購入し、自分のデバイスでシードフレーズを作成し、大金を送金する前に少額の送金を試すことを勧めています。パッケージの完全性を確認したり、事前設定された回復カードを避けたりするような簡単なチェックが損失を防ぐのに役立ちます。

攻撃者はまた、フィッシングやソーシャルエンジニアリングを使用した新しい手法を開発しています。レポートでは、EIP-7702の委任フィッシングの事例を調査しており、侵害されたアカウントが送金が開始されると自動的に資産を流出させる契約にリンクされていました。このような場合、被害者は通常の活動に従事していると信じていましたが、隠された第三者認証によってハッカーが制御権を獲得することができました。

分析によると、ソーシャルエンジニアリングは依然として持続的な脅威であり、フィッシャーはLinkedInで採用担当者を装い、求職者との信頼関係を数週間かけて構築した後、「カメラドライバー」やその他の悪意のあるコードをインストールするよう説得しています。あるケースでは、攻撃者がZoomコール中に操作されたChromeの拡張機能とプログラムを組み合わせ、1300万ドル以上の損失につながりました。

古いフィッシング詐欺も依然として効果的

従来の手法も引き続き効果的であることが証明されています。不正なGoogleの広告がMistTrackなどの正当なサービスを複製し、Aaveのような分散型金融プラットフォームの偽のダッシュボードは、隠された認証リクエストを通じて120万ドル以上の損失を生み出しました。悪用者はまた、プロジェクトフォルダに残された未使用のDiscordバニティリンクを乗っ取り、コミュニティを騙しました。

別の攻撃ベクトルは、悪意のあるコマンドをCAPTCHA認証として偽装し、被害者にウォレットデータ、ブラウザクッキー、秘密鍵を盗むコードをコピーするよう騙します。

SlowMistは、Web3の悪用は複雑なトリックではなく、ハッカーが日常的な行動を利用することであると説明しています。つまり、ゆっくり行動する、ソースを二重確認する、ショートカットを避けるなどの簡単な行動が、脅威が常に変化する空間で安全を保つための最良の方法です。

「秘密鍵の漏洩が2025年第3四半期の暗号資産盗難の主要原因であり続ける」という投稿はCryptoPotatoで最初に公開されました。