フィッシング詐欺、仮想通貨のセキュリティ欠陥に対する「トルネードキャッシュ」攻撃で1,000万ドルを洗浄

ブロックチェーンセキュリティ会社CertiKは、2023年9月に2,400万ドル相当のフィッシング詐欺に関与したアカウントが最近、1,000万ドル相当のイーサを暗号混合プロトコルであるTornado Cashに送金したと報告した。被害者は、攻撃者にトークンへのアクセスを許可する「増額」トランザクションを承認した後、リキッドステーキングプロバイダーであるロケットプールを通じて大量のステーキングイーサを失いました。仮想通貨コミュニティ内では、悪用の可能性に対する懸念とともに、トークンの許容量をめぐる議論が目立っています。

Cryptocurrency Security Breach: Phishing Scam Launders $10 Million Through Tornado Cash

暗号通貨のセキュリティ侵害: フィッシング詐欺、トルネード キャッシュで 1,000 万ドルを洗浄

On March 21, CertiK, a prominent blockchain security firm, raised an alarm in the cryptocurrency community, reporting the transfer of $10 million worth of Ether (ETH) from an account implicated in a major phishing scam in September 2023. The funds were laundered through Tornado Cash, a crypto-mixing protocol designed to obfuscate the trail of illicit transactions.

3 月 21 日、著名なブロックチェーン セキュリティ会社である CertiK は、2023 年 9 月に大規模なフィッシング詐欺に関与した口座から 1,000 万ドル相当のイーサ (ETH) が送金されたと報告し、仮想通貨コミュニティに警鐘を鳴らしました。資金は以下の方法で洗浄されました。 Tornado Cash は、違法な取引の痕跡を難読化するために設計された暗号混合プロトコルです。

This incident is a chilling reminder of the persistent threat posed by phishing scams, which have become increasingly sophisticated and targeted in the cryptocurrency space. The account in question was part of a larger hack that stole a staggering $24 million from a prominent cryptocurrency investor known as a "crypto whale" on September 6, 2023.

この事件は、暗号通貨分野でますます巧妙化、標的化されているフィッシング詐欺によってもたらされる持続的な脅威を、ぞっとするような思い起こさせます。問題のアカウントは、2023年9月6日に「仮想通貨クジラ」として知られる著名な仮想通貨投資家から2400万ドルという驚異的な額を盗んだ大規模なハッキングの一部だった。

The victim of this phishing attack lost a substantial amount of staked Ether (ETH) through the liquid staking provider Rocket Pool. Through a series of cunning transactions, the attackers managed to siphon funds in two separate transfers, extracting a total of 9,579 stETH and 4,851 rETH.

このフィッシング攻撃の被害者は、リキッド ステーキング プロバイダーである Rocket Pool を通じて、相当量のステーキング イーサ (ETH) を失いました。一連の狡猾な取引を通じて、攻撃者は 2 回の送金で資金を吸い上げ、合計 9,579 stETH と 4,851 rETH を抽出しました。

According to Scam Sniffer, an anti-scam initiative that has been closely tracking this incident, the breach occurred when the victim inadvertently approved an "Increase Allowance" transaction. This action granted the hackers permission to access the victim's ERC-20 tokens via a token allowance mechanism—a feature that enables third parties to spend tokens on behalf of the token holder.

この事件を綿密に追跡している詐欺対策団体 Scam Sniffer によると、被害者が誤って「手当の増額」取引を承認したときに侵害が発生しました。このアクションにより、ハッカーはトークン許可メカニズム (第三者がトークン所有者に代わってトークンを使用できるようにする機能) を介して被害者の ERC-20 トークンにアクセスする許可を与えられました。

The conversation around token allowances has been gaining traction within the cryptocurrency community, with many voicing concerns over the potential for misuse through the deployment of malicious smart contracts. These concerns have been further validated by recent events, including the Dolomite exchange exploit on March 20, which resulted in the theft of $1.8 million from unsuspecting users due to an outdated contract.

トークンの許容量をめぐる議論は暗号通貨コミュニティ内で注目を集めており、悪意のあるスマートコントラクトの導入による悪用の可能性について多くの懸念の声が上がっています。こうした懸念は、3 月 20 日のドロマイト交換エクスプロイトを含む最近の出来事によってさらに裏付けられました。このエクスプロイトでは、期限切れの契約が原因で無防備なユーザーから 180 万ドルが盗まれました。

In the wake of the latest phishing scam, PeckShield, another blockchain security firm, conducted a thorough investigation and uncovered a complex network of transactions. The fraudsters converted their illicit gains into 13,785 ETH and 1.64 million Dai, dispersing a portion of these funds through the FixedFload exchange and other digital wallets.

最新のフィッシング詐欺を受けて、別のブロックチェーン セキュリティ会社である PeckShield は徹底した調査を実施し、複雑な取引ネットワークを明らかにしました。詐欺師らは不法利益を13,785ETHと164万Daiに換金し、これらの資金の一部をFixedFload取引所やその他のデジタルウォレットを通じて分散させた。

This incident underscores the persistent risk of phishing scams in the cryptocurrency domain, which continue to result in significant financial losses. A recent report by Scam Sniffer highlighted that nearly $47 million was stolen through crypto phishing in February alone, with the majority of these incidents occurring on the Ethereum network and primarily involving ERC-20 tokens.

この事件は、仮想通貨分野におけるフィッシング詐欺のリスクが根強くあり、重大な経済的損失をもたらし続けていることを浮き彫りにしました。 Scam Sniffer による最近のレポートでは、2 月だけで仮想通貨フィッシングを通じて 4,700 万ドル近くが盗まれたことが強調されており、これらの事件の大部分はイーサリアム ネットワーク上で発生し、主に ERC-20 トークンが関係しています。

Despite the ongoing efforts of security firms like CertiK and PeckShield to safeguard the cryptocurrency ecosystem, malicious actors continue to find ways to exploit vulnerabilities and compromise user funds. These incidents serve as a stark reminder of the importance of practicing vigilance and employing robust security measures to protect digital assets.

CertiK や PeckShield などのセキュリティ企業が暗号通貨エコシステムを保護するために継続的に取り組んでいるにもかかわらず、悪意のある攻撃者は脆弱性を悪用してユーザーの資金を侵害する方法を模索し続けています。これらの事件は、デジタル資産を保護するために警戒を怠らず、堅牢なセキュリティ対策を採用することの重要性をはっきりと思い出させます。

Token approvals, in particular, have emerged as a significant vulnerability that needs to be addressed. As the cryptocurrency community continues to evolve, it is imperative to develop and implement robust mechanisms to prevent the unauthorized use of token allowances and mitigate the risk of phishing scams.

特にトークンの承認は、対処が必要な重大な脆弱性として浮上しています。暗号通貨コミュニティが進化し続けるにつれて、トークン許容量の不正使用を防止し、フィッシング詐欺のリスクを軽減するための堅牢なメカニズムを開発および実装することが不可欠です。

While the cryptocurrency industry has witnessed its share of successful security interventions, the ongoing challenges and risks associated with digital asset security should not be underestimated. Vigilance, education, and collaboration among security experts, cryptocurrency exchanges, and users are essential to combat phishing scams and protect the integrity of the cryptocurrency ecosystem.

暗号通貨業界はセキュリティ介入の成功を目撃してきましたが、デジタル資産のセキュリティに関連する継続的な課題とリスクを過小評価すべきではありません。フィッシング詐欺と闘い、仮想通貨エコシステムの完全性を保護するには、警戒、教育、セキュリティ専門家、仮想通貨取引所、ユーザー間の協力が不可欠です。