ERC-20 トークン: 暗号通貨盗難の温床

ERC-20 トークンは暗号通貨詐欺でよく盗まれており、損失のかなりの部分をフィッシング攻撃が占めています。トランザクションを合理化するように設計されたトークン標準の承認メカニズムは、悪意のある攻撃者が「allow」や「increaseAllowance」などの機能を悪用し、知らず知らずのうちに盗難を促進してきました。これらの脆弱性に対処する試みにもかかわらず、スマート コントラクトの不変の性質により、ERC-20 の欠陥を修正することが困難になります。さらに、イーサリアムのエコシステムではフィッシング詐欺が蔓延しており、経験豊富な暗号通貨ユーザーさえもソーシャル エンジニアリング戦術の犠牲者になっています。セキュリティの専門家は、フィッシングのリスクを軽減するには注意と意識の必要性を強調しています。

ERC-20 Tokens: A Breeding Ground for Crypto Theft

ERC-20 トークン: 暗号通貨盗難の温床

Within the ever-evolving realm of cryptocurrencies, ERC-20 tokens have emerged as a ubiquitous standard, accounting for a staggering 89.5% of the $71.5 million worth of crypto assets pilfered through phishing scams in March alone, according to the reputable firm Rip-off Sniffer. This alarming statistic highlights a fundamental flaw within the design of ERC-20 tokens, leaving them vulnerable to exploitation.

評判の高い企業リップオフによると、進化し続ける暗号通貨の領域内で、ERC-20トークンは遍在する標準として浮上しており、3月だけでフィッシング詐欺によって盗まれた7,150万ドル相当の暗号資産の驚くべき89.5％を占めているという。スニッファー。この憂慮すべき統計は、ERC-20 トークンの設計に根本的な欠陥があり、悪用されやすい状態にしていることを浮き彫りにしています。

At the heart of the problem lie features such as "allow" and "increaseAllowance," intended to enhance the efficiency of the token standard. However, these very mechanisms have inadvertently introduced new vulnerabilities, creating a breeding ground for sophisticated theft schemes.

問題の核心は、トークン標準の効率を高めることを目的とした「allow」や「increaseAllowance」などの機能にあります。しかし、まさにこれらのメカニズムが新たな脆弱性を誤って導入し、高度な盗難スキームの温床を生み出しています。

Origins of the Flaw: An Inherent Design Flaw

欠陥の原因: 本質的な設計欠陥

First introduced in 2015, ERC-20 tokens possess inherent security loopholes that have allowed malicious actors to exploit unsuspecting victims, often through phishing attacks. Mikko Ohtamaa, co-founder of the algorithmic trading protocol Trading Strategy, attributes these vulnerabilities to poor design choices embedded within Ethereum and, to a lesser extent, Solana.

2015 年に初めて導入された ERC-20 トークンには固有のセキュリティの抜け穴があり、悪意のある攻撃者が、多くの場合フィッシング攻撃を通じて、無防備な被害者を悪用することを可能にしてきました。アルゴリズム取引プロトコルTrading Strategyの共同創設者であるMikko Ohtamaa氏は、これらの脆弱性はイーサリアムと、程度は低いがSolanaに埋め込まれた不適切な設計選択が原因であるとしている。

"The immutability of smart contracts complicates efforts to rectify ERC-20's flaws," explains Ohtamaa. This characteristic, while crucial for maintaining the integrity of blockchain technology, presents a significant obstacle to patching vulnerabilities in existing contracts.

「スマート コントラクトの不変性により、ERC-20 の欠陥を修正する取り組みが複雑になります」と Ohtamaa 氏は説明します。この特性は、ブロックチェーン テクノロジーの整合性を維持するためには重要ですが、既存の契約の脆弱性にパッチを適用する場合には大きな障害となります。

Phishing Attacks: Leveraging Uniswap's Permit2

フィッシング攻撃: Uniswap の Permit2 の悪用

Phishing scams have become a primary mode of attack for crypto thieves, with Ethereum serving as a prime target. Uniswap, a prominent decentralized exchange, sought to address the inconvenience of separate approvals for each transaction by introducing Permit2, a smart contract released in 2022.

フィッシング詐欺は暗号通貨泥棒にとっての主な攻撃手段となっており、イーサリアムが主な標的となっています。著名な分散型取引所である Uniswap は、2022 年にリリースされたスマート コントラクトである Permit2 を導入することで、取引ごとに個別に承認される不便さに対処しようとしました。

Permit2 aimed to streamline the process by allowing users to grant batch token approvals to decentralized applications (DApps), thereby eliminating the need for multiple on-chain approvals and reducing gas fees. However, this seemingly innocuous solution opened up a new avenue for illicit actors to obtain "allow" signatures through phishing schemes, ultimately siphoning tokens from unsuspecting victims.

Permit2 は、ユーザーが分散型アプリケーション (DApps) にバッチ トークン承認を付与できるようにすることでプロセスを合理化し、それによって複数のオンチェーン承認の必要性を排除し、ガス料金を削減することを目的としていました。しかし、この一見無害なソリューションは、違法行為者がフィッシング詐欺を通じて「許可」署名を取得し、最終的には何も疑っていない被害者からトークンを吸い上げる新たな道を開きました。

Limitations of the "Approve" Mechanism

「承認」メカニズムの制限

The core functionalities of the ERC-20 standard, including the "approve" mechanism, have been instrumental in catalyzing the rise of decentralized finance (DeFi). However, this mechanism has also become a target for malicious entities to deceive users into signing fraudulent messages, exploiting the discrepancy between Ethereum's native currency, Ether, and ERC-20 tokens in their interaction with smart contracts.

「承認」メカニズムを含む ERC-20 標準の中核機能は、分散型金融 (DeFi) の台頭の促進に貢献してきました。ただし、このメカニズムは、スマート コントラクトとのやり取りにおけるイーサリアムのネイティブ通貨であるイーサと ERC-20 トークン間の不一致を悪用し、ユーザーをだまして詐欺メッセージに署名させる悪意のある組織の標的にもなっています。

While sending Ether to a smart contract is straightforward, ERC-20 tokens require explicit approvals when interacting with different smart contracts. This approval process becomes a prime target for malicious actors seeking to trick victims into granting unintended access to their funds.

Ether をスマート コントラクトに送信するのは簡単ですが、ERC-20 トークンは、さまざまなスマート コントラクトとやり取りするときに明示的な承認を必要とします。この承認プロセスは、被害者を騙して資金への意図しないアクセスを許可させようとする悪意のある攻撃者にとって主な標的となります。

The Immutable Curse: A Dilemma for Developers

不変の呪い: 開発者のジレンマ

The immutable nature of smart contracts poses a significant challenge for developers seeking to address the vulnerabilities in ERC-20 tokens. Changes to existing tokens in circulation are virtually impossible, leaving them perpetually susceptible to exploitation.

スマート コントラクトの不変の性質は、ERC-20 トークンの脆弱性に対処しようとしている開発者にとって大きな課題となります。流通している既存のトークンを変更することは事実上不可能であり、永続的に悪用されやすい状態になります。

However, some projects have attempted to circumvent this limitation by employing upgradable proxies or middleman contracts. These solutions provide a degree of flexibility, allowing developers to modify or eliminate non-core functionalities, such as "increaseAllowance" and "allow." Uniswap's Permit2, for example, extended the "allow" functionality to ERC-20 tokens that lacked it natively.

ただし、一部のプロジェクトでは、アップグレード可能なプロキシまたは仲介者契約を採用することで、この制限を回避しようとしています。これらのソリューションはある程度の柔軟性を提供し、開発者が「increaseAllowance」や「allow」などの非コア機能を変更または削除できるようにします。たとえば、Uniswap の Permit2 は、「許可」機能をネイティブに欠如している ERC-20 トークンにも拡張しました。

The Social Engineering Factor

ソーシャルエンジニアリングの要素

Despite the technical flaws in ERC-20 token design, social engineering techniques play a significant role in the success of phishing scams. These tactics manipulate human behavior, exploiting psychological vulnerabilities to trick victims into compromising their security.

ERC-20 トークンの設計には技術的な欠陥があるにもかかわらず、ソーシャル エンジニアリング技術はフィッシング詐欺の成功に重要な役割を果たしています。これらの戦術は人間の行動を操作し、心理的脆弱性を利用して被害者をだまして安全を侵害します。

Mikhail Vladimirov, an Ethereum developer and smart contract auditor, emphasizes the importance of user education and simplified wallet interfaces to mitigate the risks associated with phishing attacks. He argues that overly technical jargon and complex codes often confuse users, making them more susceptible to scams.

イーサリアム開発者でスマートコントラクト監査人のミハイル・ウラジミロフ氏は、フィッシング攻撃に関連するリスクを軽減するためのユーザー教育と簡素化されたウォレットインターフェースの重要性を強調しています。同氏は、過度に専門用語や複雑なコードはユーザーを混乱させることが多く、詐欺に遭いやすくなると主張する。

Are Phishing Scams a Priority?

フィッシング詐欺は優先事項ですか?

The security community has been criticized for not prioritizing phishing scams, primarily attributed to their impact on less experienced users or flaws in front-end interfaces. Some researchers dismiss them as a "silly user problem" or a responsibility of wallet and front-end developers.

セキュリティ コミュニティは、主に経験の浅いユーザーへの影響やフロントエンド インターフェイスの欠陥が原因で、フィッシング詐欺を優先していないとして批判されています。研究者の中には、それらを「愚かなユーザーの問題」、またはウォレットやフロントエンド開発者の責任として無視する人もいます。

However, the prevalence of phishing attacks has expanded beyond novice users, and even experienced crypto enthusiasts have fallen victim to sophisticated social engineering schemes. Necksus, a crypto miner and collaborator with the forensics platform Intelligence On Chain, lost approximately $20,000 to a phishing scam after being deceived by a compromised NFT artist's account.

しかし、フィッシング攻撃の蔓延は初心者ユーザーを超えて拡大しており、経験豊富な暗号通貨愛好家さえも高度なソーシャル エンジニアリング スキームの犠牲になっています。暗号通貨採掘者であり、法医学プラットフォーム Intelligence On Chain の協力者である Necksus は、侵害された NFT アーティストのアカウントに騙された後、フィッシング詐欺により約 20,000 ドルを失いました。

Emerging Trends in Phishing Attacks

フィッシング攻撃の新たな傾向

Phishing scams are constantly evolving, with attackers employing increasingly creative techniques. Lev Menshikov of Oxorio, an auditing agency, highlights the rising popularity of attacks targeting ENS (Ethereum Name Service) domain owners. In this scheme, attackers send fraudulent email alerts to ENS domain owners, luring them to a bogus renewal website where their funds are extorted.

フィッシング詐欺は常に進化しており、攻撃者はますます創造的な手法を使用しています。監査機関オクソリオのレフ・メンシコフ氏は、ENS（イーサリアム・ネーム・サービス）ドメイン所有者を標的とした攻撃の人気が高まっていることを強調する。このスキームでは、攻撃者は ENS ドメイン所有者に詐欺メール警告を送信し、偽の更新 Web サイトに誘導し、そこで資金を巻き上げます。

Mitigating Risks and Protecting Assets

リスクの軽減と資産の保護

While the immutability of smart contracts and the vast array of tokens make it challenging to prevent attacks on a purely on-chain level, a combination of security tools and user vigilance can significantly reduce the risk of falling victim to phishing scams.

スマート コントラクトの不変性と膨大な数のトークンにより、純粋にオンチェーン レベルで攻撃を防ぐのは困難ですが、セキュリティ ツールとユーザーの警戒を組み合わせることで、フィッシング詐欺の被害に遭うリスクを大幅に軽減できます。

WalletGuard and Pocket Universe are examples of security tools that allow users to scan URLs for potential risks and identify potential wallet drainers. By exercising caution and maintaining a heightened awareness of phishing attempts, crypto users can protect their digital assets from malicious actors.

WalletGuard と Pocket Universe は、ユーザーが URL をスキャンして潜在的なリスクを調べ、潜在的なウォレット排出者を特定できるセキュリティ ツールの例です。慎重に行動し、フィッシング攻撃に対する意識を高めることで、暗号通貨ユーザーはデジタル資産を悪意のある攻撃者から守ることができます。

A Cynical View: Profiting from Unresolved Issues

シニカルな見方: 未解決の問題から利益を得る

Some experts, like Ohtamaa, believe that there is a lack of incentive to resolve the phishing problem in the cryptocurrency industry. "It's always more profitable to sell aspirin than to cure the patient," he says, implying that the financial rewards of exploiting vulnerabilities outweigh the efforts required to fix them.

Ohtamaa のような一部の専門家は、仮想通貨業界にはフィッシング問題を解決するインセンティブが不足していると考えています。 「患者を治すよりも、アスピリンを販売する方が常に利益が得られます」と彼は言い、脆弱性を悪用することによる金銭的利益が、脆弱性を修正するために必要な労力を上回ることをほのめかしています。

As the cryptocurrency ecosystem continues to evolve, it remains essential for developers, security researchers, and users to work together to address the ongoing threat of phishing scams. By understanding the vulnerabilities inherent in ERC-20 tokens and adopting proactive measures, crypto users can safeguard their digital assets and contribute to a more secure future for the crypto community.

暗号通貨エコシステムが進化し続ける中、開発者、セキュリティ研究者、ユーザーが協力して継続的なフィッシング詐欺の脅威に対処することが引き続き不可欠です。 ERC-20 トークンに固有の脆弱性を理解し、積極的な対策を採用することで、暗号通貨ユーザーはデジタル資産を保護し、暗号通貨コミュニティのより安全な未来に貢献できます。