暗号資産の世界では噂は早く広がります。昨日、Venus Protocolの脆弱性に関する噂がXを駆け巡りました。最初は、貸出プロトコル自体が侵害されたと考える人もいました。
しかし数時間の共同分析で状況が明らかになり、Venusはハッキングされていませんでした。代わりに、フィッシング攻撃がクジラを罠にかけ、たった一度の悪意ある取引で2700万ドル相当の資産が流出しました。
これはプロトコルの障害ではありませんでした。人為的ミスでした。そしてこれは分散型金融の最大の弱点を如実に示しています:不注意なクリック一つで財産が消えてしまうのです。
被害者は偽サイトから悪意のある取引を承認しました。その一度の署名で、攻撃者のバーナーウォレット(0x7fd8…202a)に彼のトークンへの無制限アクセス権を与えてしまいました。
承認が与えられるとすぐに攻撃者は行動しました。資産は数秒で消えました。Cyvers Alertsによると
流出したのは以下の通りです:
1980万ドル相当のvUSDT
715万ドル相当のvUSDC
14万6000ドル相当のvXRP
2万2000ドル相当のvETH
さらにBNB Chain上の285 BTCBも
世代を超えて築かれた富が、このようにして消えました。
驚くべき点:Venusは決してハッキングされていなかった
Venus ProtocolはXで確認しました
彼らのコントラクトは安全だったと。フロントエンド?問題なし。スマートコントラクトの脆弱性もなし。コードの悪用もなし。
これは純粋なソーシャルエンジニアリングでした。偽のリンク、信頼されたクリック、そして一気に、オープン承認が残りを実行しました。
これが分散型金融の力の暗い側面です。無制限のトークン承認は分散型金融をシームレスで迅速にします。しかし承認が悪意ある手に渡ると、すべてのウォレットが時限爆弾に変わります。
コミュニティの反応:ショックと同情
暗号資産のTwitterは反応で沸き立ちました。クジラに同情を示す人もいれば、これを別の警告と見る人もいました。
彼は攻撃者がいかに忍耐強く不注意な瞬間を待っているかを指摘しました。フィッシングリンクは被害者がクリックする前に数日間流通していた可能性があります。
Venus Protocolはそれ以来、被害者と直接協力しながらプラットフォームの一部を一時停止しています。回復の選択肢は限られていますが、努力は続いています。
なぜフィッシングが分散型金融で成功し続けるのか
分散型金融は仲介者を排除します。それが美点であり、危険でもあります。あなたが鍵を持ち、取引に署名します。何か問題が起きてもカスタマーサポートはありません。
フィッシャーはこれを完璧に悪用します:
- 偽サイトは本物をピクセル単位でコピーします。
- Twitterボットが公式発表の下に「緊急」リンク付きで返信します。
- 無制限の承認は、攻撃者が一度アクセスするだけで十分だということを意味します。
伝統的金融では、銀行は不正な送金を取り消すことができます。分散型金融では、ブロックチェーンの不変性は資産がウォレットを離れたら、それは戻らないことを意味します。
学んだ教訓:安全を保つ方法
Venusの事件は、シンプルながらも重要な安全対策を浮き彫りにしています:
1. ランダムなリンクを信用しないこと。常にURLを手動で入力するか、公式サイトをブックマークしましょう。
2. すべての取引を二重確認すること。署名前に承認内容を読み、無限のトークンアクセスは危険です。
3. 古い承認を定期的に取り消すこと。Revoke.cashのようなツールを使えば簡単です。
4. ハードウェアウォレットを使用すること。攻撃者がバイパスできない物理的な確認ステップが追加されます。
フィッシャーは強気相場でウォレットが太るときに繁栄します。彼らは貪欲が注意力を殺すことを知っています。隙を与えないようにしましょう。
より大きな視点:ソーシャルエンジニアリング対スマートコントラクト
この攻撃は分散型金融のリスクがどこにあるかを示しています。
スマートコントラクトはより強固になっています。プロトコルの悪用は依然として発生していますが、2021-22年と比較すると減少しています。
一方、人間は最も弱いリンクのままです。
フィッシャーは信頼をハックできるとき、コードをハックする必要はありません。偽のメタマスクポップアップ。「エアドロップ」を約束するTwitterリンク。一瞬の気の緩みが数百万ドルの代償になることがあります。
セキュリティ専門家は、ここでは新しい技術よりも教育が重要だと主張しています。ウォレットのUX改善、より明確な承認警告、より良い詐欺検出が役立つかもしれません。しかし最終的に、自己管理には自己責任が伴います。
資金は回収されるのか?
Venus Protocolは被害者との連絡を確認しました。資産回収の取り組みは進行中ですが、現実的には、攻撃者が管理するウォレットに流出した資金が戻ってくることはほとんどありません。
時には、攻撃者が身代金のような返還を交渉することもありますが、今のところその兆候はありません。資産はすぐにブリッジやミキサーを通じて混合され、追跡が難しくなるでしょう。
最後の考え:分散型金融ユーザーへの警鐘
これは単なる別の悪用見出しではありませんでした。分散型金融のセキュリティはユーザーから始まることを思い出させるものです。
プロトコルは防弾かもしれません。監査も通過するかもしれません。しかし一度の悪いクリックで何百万ドルも流出する可能性があります。
強気相場が過熱するにつれ、より多くのフィッシング試行が予想されます。より多くの偽エアドロップ。より多くの緊急リンクを持つTwitterボット。
- 次の見出しにならないでください。
- 二重確認。頻繁に承認を取り消す。常に警戒心を持つ。
- なぜなら分散型金融では、この教訓を学ぶのは一度きりだからです。
免責事項:これは取引や投資のアドバイスではありません。暗号資産を購入したり、サービスに投資したりする前に、常に自分で調査を行ってください。
Twitter @nulltxnews をフォローして、最新の暗号資産、NFT、AI、サイバーセキュリティ、分散型コンピューティング、および メタバースのニュースを入手しましょう!
出典: https://nulltx.com/27m-gone-in-seconds-venus-protocol-user-hit-by-phishing-attack/
