数百のウォレットが進行中のクロスチェーン攻撃で流出、ZachXBTが警告

クロスチェーン攻撃が複数のEVM互換ブロックチェーンで数百もの暗号資産ウォレットから資金を流出させており、損失額は107,000ドルを超え、攻撃が続く中で増加し続けています。

ブロックチェーン調査員のZachXBTは金曜日の早朝にこのインシデントを報告し、被害者はウォレットあたり比較的少額(通常2,000ドル未満)を失っている一方で、根本的な原因は特定されていないと警告しました。

この協調的な攻撃は、暗号資産セキュリティにとって壊滅的な12月に続くもので、50百万ドルのアドレスの乗っ取り詐欺やクリスマス当日のTrust Walletの侵害を含む26件の主要な攻撃により、76百万ドルが盗まれ、ユーザーから約7百万ドルが流出しました。

複数のブロックチェーンで攻撃パターンが出現

ZachXBTは、EVMチェーンを標的とした継続的な窃盗に関連している可能性のある疑わしいアドレス(0xAc2***9bFB)を特定しました。

調査員は、より多くの被害者が名乗り出る中で、窃盗被害者の検証済みアドレスを収集しており、影響を受けたユーザーにX(旧Twitter)を通じて直接連絡するよう求めています。

この分散型攻撃は、攻撃者が単一の大口保有を標的とするのではなく、複数の小口ウォレットを悪用する最近の注目度の高いインシデントで見られた戦術を反映しています。

このアプローチは、侵害されたアカウント全体での総抽出を最大化しながら、即座の検出を回避することが多いです。

セキュリティ研究者は、クロスチェーンの性質が高度なインフラストラクチャを示唆しており、脅威アクターが被害者が対応する前に資金を流出させるために、異なるブロックチェーンネットワーク全体で同時に活動していることを指摘しています。

EVMチェーンを超えて、攻撃方法は、ここ数か月間業界を悩ませてきたアドレスの乗っ取りスキームや秘密鍵の侵害で観察されたパターンに類似しています。

専門家は、協調的なタイミングとマルチチェーン実行が、さまざまなブロックチェーン環境全体で持続的なインフラストラクチャを維持できる十分なリソースを持つ攻撃者を示していることを強調しています。

Trust Walletの侵害がより広範な脆弱性の危機を浮き彫りに

この警告は、Trust WalletユーザーがChrome Web StoreからChrome拡張機能が一時的に削除され、クリスマス当日のハッキング被害者のための重要な請求検証ツールが遅延するという新たな問題に直面した数日後に発表されました。

Trust WalletのCEOであるEowyn Chenは、Googleが新バージョンのリリース中に発生した技術的なバグを認めたことを確認しました。

「これがどれほど懸念されることか理解しており、私たちのチームは積極的に問題に取り組んでいます」とTrust Walletは、17の攻撃者管理下のウォレット全体で約8.5百万ドルの盗難資産にリンクされた2,520の流出したウォレットアドレスを特定した後に述べました。

12月25日の侵害は、Trust Walletのブラウザ拡張機能の悪意のあるバージョン2.68に起因しており、これは正当に見え、Chromeのレビュープロセスを通過しましたが、リカバリーフレーズを抽出する隠しコードが含まれていました。

12月24日から26日までの間に侵害された拡張機能をインストールしてログインしたユーザーは、イーサリアムブロックチェーン、Bitcoin、Solanaを含む複数のブロックチェーンで即座の資金流出に直面しました。

Trust Walletは、このインシデントを11月に浮上し、露出したGitHubシークレットと流出したChrome Web Store APIキーを通じて複数の企業を侵害したSha1-Huludとして知られるより広範なサプライチェーン攻撃にまで遡りました。

攻撃は内部承認チェックをバイパスし、自動化されたセキュリティシステムと手動レビュアーの両方に対して本物に見える悪意のあるコードの直接アップロードを可能にしました。

業界はヒューマンレイヤーセキュリティの危機に直面

ImmunefiのCEOであるMitchell Amadorは、攻撃ベクトルがスマートコントラクトコードではなく運用上の脆弱性をますます標的としているため、暗号資産セクターが根本的なセキュリティの見直しに直面していると警告しています。

「脅威の状況は、オンチェーンコードの脆弱性から運用セキュリティと財務レベルの攻撃にシフトしています」と彼はCryptonewsに語りました。「コードが堅牢になるにつれて、攻撃者は人間の要素を標的にします。」

12月のハッキング損失が11月の194.2百万ドルから76百万ドルへと前月比60%減少したにもかかわらず、セキュリティ専門家は持続的な脅威が残っていることを強調しています。

「暗号資産はセキュリティの見直しに直面しています」とAmadorは述べました。「今年のほとんどのハッキングは、不十分な監査のために発生したのではなく、ローンチ後、プロトコルのアップグレード中、または統合の脆弱性を通じて発生しています。」

ブロックチェーンセキュリティ企業のPeckShieldは12月に26件の主要な攻撃を記録し、アドレスの乗っ取り詐欺と秘密鍵の漏洩が相当な損失を占めました。

ある被害者は、意図した宛先を視覚的に模倣した不正なアドレスを誤ってコピーした後、50百万ドルを失いました。

別の主要なインシデントには、マルチシグ・ウォレットに関連する秘密鍵の漏洩が含まれ、約27.3百万ドルの損失が発生しました。

業界の脆弱性は技術的な攻撃を超えてソーシャルエンジニアリングスキームにまで及び、ブルックリン在住のRonald Spektorは、会社の従業員になりすましてCoinbaseユーザー約100人から16百万ドルを盗んだとされる容疑で起訴されています。