ERC-20 トークン: 修正されたにもかかわらず、依然として暗号詐欺の温床となっている

暗号業界で広く使用されている ERC-20 トークンは、依然として盗難に対して脆弱です。効率の向上を目的としたアップデートにより、悪意のある攻撃者が悪用する新たな抜け穴が生じています。問題の深刻さにもか​​かわらず、ERC-20トークンをターゲットとした詐欺は増え続けており、経験豊富な暗号通貨ユーザーさえも被害に遭っています。スマート コントラクトの不変の性質により、ERC-20 設計の欠陥を修正する取り組みが複雑になる一方で、ソーシャル エンジニアリング戦術が依然としてこれらの攻撃の主要な推進要因となっています。

ERC-20 Tokens: A Breeding Ground for Crypto Scams, Despite Intended Fixes

ERC-20 トークン: 意図的な修正にもかかわらず、暗号通貨詐欺の温床

Introduction

導入

ERC-20 tokens, the ubiquitous token standard on the Ethereum network, have become a prime target for malicious actors, accounting for a staggering 89.5% of crypto losses due to phishing scams in March alone. This alarming statistic underscores the inherent vulnerabilities within the ERC-20 design, which have been inadvertently exacerbated by updates intended to enhance efficiency.

イーサリアム ネットワーク上で広く普及しているトークン標準である ERC-20 トークンは、悪意のある攻撃者の主要な標的となっており、3 月だけでフィッシング詐欺による仮想通貨損失の 89.5% という驚異的な原因を占めています。この憂慮すべき統計は、ERC-20 設計に内在する脆弱性を浮き彫りにしており、効率向上を目的としたアップデートによって意図せず悪化してしまいました。

Historical Context and Design Flaws

歴史的背景と設計上の欠陥

Introduced in 2015, ERC-20 tokens have long suffered from gaping security holes. These flaws stem from fundamental design decisions made early on, according to Mikko Ohtamaa, co-founder of Trading Strategy. These design flaws are particularly problematic for Ethereum and Solana, while other chains have implemented fixes.

2015 年に導入された ERC-20 トークンは、長い間、大きなセキュリティ ホールに悩まされてきました。 Trading Strategyの共同創設者であるMikko Ohtamaa氏によると、これらの欠陥は初期段階で行われた基本的な設計上の決定に起因するという。これらの設計上の欠陥はイーサリアムとソラナにとって特に問題ですが、他のチェーンは修正を実装しています。

However, the immutable nature of smart contracts complicates efforts to rectify the shortcomings of ERC-20 tokens, further exacerbating the problem.

ただし、スマート コントラクトの不変の性質により、ERC-20 トークンの欠点を修正する取り組みが複雑になり、問題がさらに悪化します。

Uniswap's Permit2: A Case Study in Unintended Consequences

Uniswap の Permit2: 意図しない結果のケーススタディ

Uniswap's Permit2, launched in 2022, aimed to enhance transactions by allowing batch token approvals for DApps. This update aimed to reduce gas fees by eliminating the need for separate approvals for each transaction.

2022年に開始されたUniswapのPermit2は、DAppsのバッチトークン承認を可能にすることでトランザクションを強化することを目的としていました。このアップデートは、取引ごとに個別の承認を行う必要をなくすことで、ガス料金を削減することを目的としていました。

However, as security researcher Roman Rakhlin demonstrated shortly after its release, illicit actors could obtain permit signatures through phishing schemes, facilitating the theft of tokens from unsuspecting victims. Despite his warnings, Uniswap has yet to respond to requests for comment.

しかし、セキュリティ研究者のローマン・ラクリン氏がリリース直後に実証したように、違法行為者はフィッシング詐欺を通じて許可の署名を取得し、何も疑っていない被害者からのトークンの盗難を容易にする可能性があります。同氏の警告にもかかわらず、Uniswapはコメントの要請にまだ応じていない。

ERC-20 and Cryptocurrency Scams

ERC-20 と暗号通貨詐欺

ERC-20 tokens, despite their shortcomings, revolutionized the creation and use of fungible tokens on Ethereum. However, their interactions with smart contracts differ significantly from Ether, the native currency, creating opportunities for malicious actors.

ERC-20 トークンは、欠点はあるものの、イーサリアムでの代替トークンの作成と使用に革命をもたらしました。ただし、スマート コントラクトとのやり取りはネイティブ通貨であるイーサとは大きく異なるため、悪意のある攻撃者が侵入する機会が生じます。

For instance, malicious entities can exploit the approval process required for ERC-20 token interactions with smart contracts, tricking users into signing fraudulent messages. Mikhail Vladimirov, an Ethereum developer and auditor, highlights this fundamental flaw in the standard's design.

たとえば、悪意のあるエンティティは、ERC-20 トークンとスマート コントラクトのやり取りに必要な承認プロセスを悪用し、ユーザーを騙して不正なメッセージに署名させる可能性があります。イーサリアム開発者兼監査人であるミハイル・ウラジミロフ氏は、標準設計のこの根本的な欠陥を強調しています。

Moreover, functions such as increaseAllowance and decreaseAllowance, introduced in 2017 to address theoretical attack vectors, have themselves become avenues for scams. Lev Menshikov, a security researcher at Oxorio, explains that attackers can manipulate the increasedAllowance function to trick users into increasing token allowances, enabling the theft of approved tokens.

さらに、理論的な攻撃ベクトルに対処するために 2017 年に導入された、i​​ncreaseAllowance や減少Allowance などの機能自体が詐欺の手口となっています。 Oxorio のセキュリティ研究者、Lev Mensikov 氏は、攻撃者は、increaseAllowance 関数を操作してユーザーをだましてトークン許容量を増加させ、承認されたトークンを盗むことができると説明しています。

The Immutable Curse: A Roadblock to Security

不変の呪い: セキュリティへの障害

Despite efforts to mitigate the risks associated with the increasedAllowance function, its removal from the ERC-20 contract and relocation to an extension highlight the limitations imposed by the immutability of smart contracts. Existing tokens cannot be modified, leaving them vulnerable to scams.

increaseAllowance 関数に関連するリスクを軽減する努力にもかかわらず、ERC-20 コントラクトからのこの関数の削除と拡張機能への再配置は、スマート コントラクトの不変性によって課せられる制限を浮き彫りにします。既存のトークンは変更できないため、詐欺に対して脆弱になります。

While upgradable proxies and intermediary contracts offer workarounds, they cannot eliminate the fundamental attack vector posed by the approve function.

アップグレード可能なプロキシと仲介コントラクトは回避策を提供しますが、承認機能によって引き起こされる根本的な攻撃ベクトルを排除することはできません。

Social Engineering: A Primary Facilitator

ソーシャル エンジニアリング: 主なファシリテーター

Vladimirov argues that the proliferation of scams is primarily attributable to social engineering tactics that exploit human vulnerabilities rather than technological flaws. He emphasizes the need for wallets to adopt simpler, more user-friendly interfaces to reduce susceptibility to scams.

ウラジミロフ氏は、詐欺の蔓延は主に技術的欠陥ではなく人間の脆弱性を悪用するソーシャルエンジニアリング戦術に起因していると主張する。同氏は、詐欺の被害を減らすために、ウォレットがよりシンプルでユーザーフレンドリーなインターフェイスを採用する必要性を強調しています。

Phishing Attacks: A Growing Threat

フィッシング攻撃: 増大する脅威

Phishing attacks have become increasingly sophisticated, targeting even experienced crypto users like Necksus, a crypto miner and intelligence analyst. Necksus fell victim to a phishing scheme that resulted in a significant loss of funds.

フィッシング攻撃はますます巧妙化しており、仮想通貨採掘者でありインテリジェンスアナリストである Necksus のような経験豊富な仮想通貨ユーザーさえも標的にしています。 Necksus はフィッシング詐欺の被害に遭い、多額の資金を失いました。

Even users who employ additional precautionary measures, such as transaction simulators, are not immune to these attacks. Oxorio's Menshikov warns of emerging trends in phishing, such as attacks targeting ENS domain owners.

トランザクション シミュレーターなどの追加の予防措置を講じているユーザーでも、これらの攻撃を免れることはできません。 Oxorio の Mensikov 氏は、ENS ドメイン所有者をターゲットにした攻撃など、フィッシングの新たな傾向について警告しています。

Solutions: The Elusive Panacea

解決策: とらえどころのない万能薬

Vladimirov believes that on-chain solutions are inadequate to combat phishing attacks, emphasizing the role of social engineering as a longstanding problem that predates cryptocurrency. He advocates for the development of security tools that can alert users to known attack vectors.

ウラジミロフ氏は、オンチェーンのソリューションではフィッシング攻撃に対抗するには不十分だと考えており、仮想通貨以前から続く長年の問題としてソーシャルエンジニアリングの役割を強調している。彼は、既知の攻撃ベクトルについてユーザーに警告できるセキュリティ ツールの開発を提唱しています。

Larry the Cucumber, co-founder of Pickle Finance, recommends using security tools like WalletGuard and Pocket Universe to detect malicious URLs and protect against wallet drainers.

Pickle Finance の共同創設者である Larry the Cucumber は、WalletGuard や Pocket Universe などのセキュリティ ツールを使用して、悪意のある URL を検出し、ウォレットの流出から保護することを推奨しています。

Pcaversaccio, an independent security researcher, urges extreme caution, advising users to be suspicious of all communications and to carefully scrutinize every transaction they sign.

独立系セキュリティ研究者であるプカベルサッチョ氏は細心の注意を呼び掛け、ユーザーに対し、すべての通信を疑い、署名するすべてのトランザクションを注意深く精査するようアドバイスしている。

A Cynical Perspective

シニカルな視点

Ohtamaa offers a somewhat cynical view, suggesting that addressing the issue would be less profitable than offering remedies after the fact. He cites the adage, "It is always more profitable to sell aspirin than to cure the patient."

Ohtamaa 氏は、問題に対処することは、事後的に救済策を提供するよりも利益が少ないことを示唆する、やや皮肉な見解を示しています。彼は、「患者を治すよりもアスピリンを売る方が常に儲かる」という格言を引用しています。

Conclusion

結論

ERC-20 tokens, despite their ubiquitous presence, remain vulnerable to scams due to inherent design flaws and the immutability of smart contracts. While efforts have been made to address these vulnerabilities, the proliferation of social engineering tactics has made phishing attacks an ever-present threat. The onus falls on the security community to develop tools and educate users to mitigate these risks. Until then, the crypto landscape will continue to be plagued by scams that exploit the weaknesses of the ERC-20 standard.

ERC-20 トークンは、遍在的に存在しているにもかかわらず、固有の設計上の欠陥とスマート コントラクトの不変性により、依然として詐欺に対して脆弱です。これらの脆弱性に対処するための取り組みが行われてきましたが、ソーシャル エンジニアリング戦術の蔓延により、フィッシング攻撃が常に存在する脅威となっています。これらのリスクを軽減するためのツールを開発し、ユーザーを教育する責任はセキュリティ コミュニティにあります。それまでは、暗号通貨業界は ERC-20 標準の弱点を悪用した詐欺に悩まされ続けるでしょう。