巧妙なアドレスポイズニング攻撃により、単一の仮想通貨アドレスからAaveでラップされたステーキング済みEther担保型USDC (aEthUSDC) が約2,400万ドル相当盗まれました。この事件は、スマートコントラクトのコードの脆弱性を悪用するのではなく、ユーザーの習慣を狙う、増大する陰湿な暗号通貨詐欺の一形態を浮き彫りにしています。
セキュリティ企業PeckShieldは、単一の仮想通貨ウォレット所有者がアドレスポイズニング攻撃によって約2,400万ドル相当のaEthUSDCを失ったと報告しました。この種の詐欺は、攻撃者がターゲットのウォレットに、被害者の取引履歴で頻繁に使用されるアドレスの開始文字と終了文字を模倣した特別に作成されたアドレスからゼロ価値取引を送信することを含みます。目的は、ユーザーをだまして、その履歴から不正なアドレスをコピーさせて後続の大きな取引を行い、それによって資金を詐欺師に直接送らせることです。
窃盗後、攻撃者は迅速にその収益を資金洗浄しました。2,400万ドル相当のaEthUSDCは、約2,000万DAIに交換されました。PeckShieldは、これらの資金が現在、0xdCA9および0xd0c2で始まる2つの攻撃者制御ウォレットに保持されていることを確認しました。犯人はこれらの盗まれた資金をArbitrumネットワークにブリッジするプロセスを開始しました。これは、資金の痕跡を曖昧にし、さらなる資金洗浄のために異なる分散型金融(DeFi)エコシステムにアクセスするために使用される一般的な戦術です。
この2,400万ドル規模の悪用は、DeFiユーザーが直面する持続的なセキュリティ課題を厳しく思い起こさせるものです。プロトコルコードを標的とするスマートコントラクトの悪用とは異なり、アドレスポイズニングは人間のエラーと、多くの場合切り詰められたアドレスを表示するウォレットインターフェースの設計を利用します。この事件は、経験豊富なユーザーでさえも、ますます巧妙化するソーシャルエンジニアリング詐欺に対して脆弱であることを再確認させます。投資家が完全なアドレスの確認やハードウェアウォレットの使用など、厳格なセキュリティ対策を採用し、ウォレット開発者がこのような高価な間違いを防ぐために、より明確な警告と検証メカニズムを導入する必要性が緊急に高まっていることを浮き彫りにします。
