チェック・ポイント・ソフトウェア・テクノロジーズは、同社のレポート「8 Million Dollars Stolen in a Uniswap Phishing Attack」において、「Uniswap(ユニスワップ)」へのフィッシング攻撃で800万ドル相当の被害が出ていることを明らかにした。
Uniswapは暗号資産(仮想通貨)の分散型取引所の大手であり、分散型ネットワークプロトコルを用いたイーサリアムのブロックチェーン技術を使用して運営されている。
スマートコントラクトを利用することにより、イーサリアムブロックチェーン上での各種仮想通貨トークンの自動取引を容易にしている。
先日、仮想通貨取引所「Binance(バイナンス)」のCEOは自身のTwitterアカウント(@cz_binance)で、 Uniswapが悪用された可能性があると警告を発している。
▲“当社の脅威インテリジェンスは、ETHブロックチェーン上のUniswap V3に潜在的な悪用を検出しました。ハッカーはこれまでに4295ETHを盗み、それらをトルネードキャッシュ経由で洗浄しています。@Uniswapに通知できる方はいませんか?私たちが力になれます。”
イーサスキャン(etherscan.io)のようなブロックチェーンエクスプローラーは、一般的に取引のアーカイブとして利用され、投資決定前のユーザにトークンに関する情報を提供する。
多くのハッカーはこうしたブロックチェーンエクスプローラーを利用してユーザを欺き、偽の情報を与えてそのトークンや契約が正当なものであると信じ込ませる。
今回のケースでは、攻撃者はシンプルなERC20トークンを作成し、UNIトークンを保有するユーザに対しエアドロップ(無償で配布)した。
このエアドロップの目的は、被害者を攻撃者の詐欺サイトへ誘導することでした。以下のスクリーンショットから分かるように、このフィッシングキャンペーンは、被害者がイーサスキャン上でエアドロップによって取得したトークンを正当なものと見せかけることに成功している。
この画像が示すとおり、トークンを送信したのはUniswap V3で間違いないように見える。しかし被害者がこれらのトークンをクリックすると、接続先は「UniswapLP.com」というフィッシングサイトだった(現在、このサイトは閉鎖されている)。
このサイトでは被害者に対し、配布によって受け取ったUniswapLPトークンをUNIトークンに交換することができると説明してた。
被害者は、画面中の「Click here to claim(ここをクリックして請求)」と書かれたボタンを押すことにより、攻撃者による自分のアカウントへのフルアクセスを許可することになる。これにより攻撃者は、被害者のすべてのテザー(USDT)へもアクセス可能になる。
続いて、次のような振替が行われた。
以下のスクリーンショットが示すとおり、この新手のフィッシング詐欺により攻撃者は800万ドル相当のETH(イーサ)を窃取した。
イーサスキャン上でアドレスを偽る手口
前述のとおり、攻撃者は送信元をUniswapと偽っていた。それが可能となった原因は、イーサスキャンのようなブロックチェーンエクスプローラーが、コントラクト発行機能から単なるトランザクションの記録としてデータを取り出せることにある。
トランザクションの記録はブロックチェーン上に保存され、アクセス可能です。しかしこの発行機能は、必ずしも実在のアドレスを設定せずに使用できる。このような動作を行うコードとして、例えば次のようなシミュレーションが可能となる。
画像が示すように、ブロックチェーンエクスプローラーに表示されるアドレスには「‘0x0000000000000000000000000000000000000000’」を設定している。
するとエクスプローラーは、「‘0x0000000000000000000000000000000000000000’」というアドレスでトランザクションが行われたと認識する。
このシミュレーションにより、アドレスはUniswapやその他どのような設定でも可能であると証明された。
暗号資産(仮想通貨)ユーザのためのヒント
初心者のユーザにとって仮想通貨は非常に難解であり、使用するアプリケーションに不慣れなことが原因となって詐欺被害に遭いやすいことを、私たちは理解している。
しかしユーザは、イーサスキャンのようなメジャーなプラットフォームであってもバグが生じる可能性について理解することが必要。仮想通貨ユーザが心に留めるべき重要なルールとして、以下を推奨する。
1.利用するプラットフォームの公式Twitterやウェブサイトは、欠かさず読むこと。
2.Uniswapやその他の大きなプラットフォームを名乗り、エアドロップやその他の口実でトークンが送られて来た時は、公式ソースの情報を注意深く確認すること。
3.仮想通貨のウォレット、取引や交換のプラットフォームを探す際には、必ずそのプラットフォームのウェブサイトを確認する。もしプラットフォーム内にリンクが見当たらない場合、詐欺と判断すること。
4.URLのダブルチェックを欠かさないこと。
