私は、グループの誰かがかつて賢い言葉を共有したのを思い出します:「利益を生み出しているのが誰か分からないなら、あなたが利益を生み出している人です。」これは私にとって本当に共感があります。同じ原則が暗号ウォレットの使用のセキュリティにも当てはまります。特定の行動が何を意味するのかわからない場合、あなたが行うすべてのオンチェーンの相互作用や署名は、ウォレットの資産の損失のリスクをもたらす可能性があります。

最近、Scam Snifferは2024年中間のフィッシング報告書を公開しました。今年の上半期だけで、EVMチェーン（イーサリアムベースのチェーン）で26万人の被害者がフィッシング詐欺に遭い、被害額は3億1,400万ドルに達しました。これを考えると、2023年のフィッシング攻撃で失われた2億9,500万ドルをすでに超えており、この数字に到達するのにわずか6ヶ月しかかかっていません。下のグラフに示されています。

レポートには、ほとんどのERC20トークン盗難が署名フィッシング署名（オフライン承認署名）、許可の増加（承認限界の拡大）、およびUniswap Permit2などの署名フィッシング署名から発生していることが強調されています。フィッシング攻撃は、明らかにオンチェーンセキュリティの重大な脆弱性のままです。

数日前、友人が問題に遭遇しました。2か月前の6月14日、彼らはCoinbaseウォレットからBinance（イーサリアムチェーン転送）に3回の転送を行いました。最初の転送は成功しましたが、残りの2つは届きませんでした。そして今では2か月経ちました。何が問題だったのでしょうか？

Etherscanで取引記録を確認したところ、下の画像に示すように、送金は1つだけで、他の2つの痕跡はありませんでした。

6月14日のすべてのオンチェーン取引をより詳しく調査したところ、3回の送金試行を見つけましたが、最後の2回は以下の画像に示されているように失敗した取引としてマークされていました。

その後、「失敗」とマークされたトランザクションの1つをクリックして、何が間違っていたのかを確認しました。エラーメッセージによると、「契約の実行中にエラーが発生しました」とありました。Etherscanの公式ドキュメントによると、この種のエラーはウォレットから資産が失われることはないはずです。このような場合、トークンは送信者のウォレットから決して離れることはなく、ガス手数料のみが差し引かれます。これは以下の画像で説明されています。

この種の問題に対処するには、次のことを確認する必要があります:

-その日のウォレットから実際に転送されたか、または失われたかを確認します（つまり、失敗した取引がウォレットに戻ってこなかった場合）。

-資産が譲渡または紛失したことが確認された場合は、関連するプラットフォームのカスタマーサポートに連絡する必要がある場合があります。このような場合、受信側のプラットフォームまたはアドレスでは問題を解決できないため、引き出しの送信または開始を担当するプラットフォームに連絡することをお勧めします。

これに基づき、私の通常の推奨事項は、Excelを使用して日々の取引（売買）やキャッシュフロー（収入/支出）を追跡するなど、詳細な取引ログを保持することです。これにより、問題が発生した場合、ログをオンチェーン取引記録と照合して相互確認ができます。実際、私自身もそのようなログを保持し、すべての取引を詳細に記録しています。また、特定の取引についての経験や考えをメモに追加しています。

この時点では、問題はほとんど理解されているようです。しかし、オンチェーンの取引履歴を確認していると、この友人のウォレットにさらに深刻な問題が見つかりました - ハッカーの標的にされているようです！

何が起こったのですか？以下の画像で詳しく見てみましょう：

まず、画像の赤いボックスを見てみましょう（正当な取引）：

ウォレットの所有者は、10,000ドルのスワップを完了し、USDTを0x8Fで始まりf103で終わるウォレットに転送したばかりでした。

今、緑のボックスをチェックしてください（フィッシング取引）：

直後に、ハッカーはいくつかの偽の取引を作成しました。興味深いことに、ハッカーのウォレットアドレスも0x8Fで始まりf103で終わっています。

ウォレットアドレスをもっと詳しく比較しましょう：

ウォレットの所有者の実際のアドレスは:

0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103

ハッカーのウォレットアドレスは次の通りです:

0x8F7cCF79d497feDa14eD09F55d2c511001E5f103

0x8F776d5623F778Ea061efcA240912f9643fdf103

問題を発見しましたか？これらのアドレスの最初の4文字と最後の4文字が同じであり、一目でほとんど同じように見えます。取引履歴からアドレスを直接コピーして貼り付ける際に、再度確認せずに送金すると、簡単にハッカーにお金を送ってしまう可能性があります。

したがって、このウォレットは実際に資産をフィッシングしようとするハッカーによって標的にされたことは明らかです。さらに、トランザクションハッシュページはFake_Phishingとフラグ付けされているため、これがハッカーのアドレスであることに疑いの余地はありません。参考のために、以下の画像をご覧ください。

クイックなヒント：なぜEtherscanで無効なトランザクションやゼロ値の送金が表示されないのですか？ Ethereumブラウザを簡体字中国語に切り替える方法はありますか？

デフォルトでは、Etherscanは無効なトランザクションとゼロ値の転送を非表示にします。これらを表示したい場合は、Etherscanの設定ページに移動して、高度なオプションを有効にしてください。同様に、簡体字中国語でのインターフェースを使用したい場合は、設定で調整することもできます。参照のために下の画像をご覧ください。また、Oklinkのようなサードパーティーのマルチチェーンエクスプローラーを使用することもできます。これも簡体字中国語をサポートしています。

ウォレットのセキュリティは、特に100万ドルを超える重要な資産を保持するウォレットの場合、注意が必要です。安全性を高めるために、目的に応じて資金を異なるウォレットに分散させることは良い考えです。個人的には、ウォレットを階層に整理しています。

ティア1：長期保管用に厳密にオフラインで保持されるAppleフォンに設定されたコールドウォレット。 これはオフラインで保持され、取引や送金には一切使用されません。 これらの資産を少なくとも10年間触れずに保持する予定です。 取引にコールドウォレットを使用したい場合は、Trezor、Ledgerなどのよく知られたハードウェアウォレットを信頼できるチャネル（Trezor、Ledgerなど）を通じて購入することを検討してください。

Tier 2: 大口座用のホットウォレット。Trust Walletを使用し、dAppの許可を一切与えません。このウォレットは、自分のウォレット間の送金やBinanceへの出金、送金にのみ使用されます。

Tier 3：テスト目的でいくつかの小さなウォレットがあります（新しいプロジェクトとの相互作用や新機能の試用、または時々エアドロップを受けるために使用されます）。他のウォレットは、オルトコインやミームトークンの購入に使用されます（最近はあまり行っていません）。各ウォレットはわずかな金額しか保持していません。数百ドルから数千ドルまでです。これらのウォレットに関しては、認証と署名に関してはよりリラックスしており、もし1つがハックされても大したことではありません。これらのすべてのウォレットを管理することは面倒ですが、追加のセキュリティのためにそれは価値があります。

まとめると、誰もが状況に応じてウォレットの管理方法を好む傾向があります。経験豊富な暗号通貨ユーザーは、自分の資産をオンチェーンに保持することを好む傾向がありますが、ほとんどの初心者にとって、（10万ドル未満の）資産をBinanceやOKXなどの主要なプラットフォームに保管する方がより安全です。

さあ、いくつかの一般的なフィッシングの手法を見ていきましょう:

1. フィッシング攻撃を許可する

まず、基本的な概念を説明しましょう。Ethereum上でトークンを送信する場合、通常はTransfer機能またはTransfer From機能を使用してトークンのスマートコントラクトとやり取りします。Transfer機能は、所有者がトークンの転送を他のアドレスに直接承認する場合に使用され、Transfer From機能は、第三者がトークンを一つのアドレスから別のアドレスに移動することを許可します。

以下は、許可フィッシング攻撃の動作方法です:

まず、攻撃者は被害者をだまして、フィッシングリンクをクリックさせたり、偽のウェブサイトを訪れさせたりして、ウォレットトランザクション（オフチェーン）に署名させます。

次に、攻撃者は許可機能を使用して承認を得ます。

最後に、攻撃者はTransfer From関数を呼び出して、被害者の資産を移動し、フィッシング攻撃を完了させます。

このフィッシング手法には重要な特徴があります: 攻撃者が署名の承認権限を取得した後、許可および転送元操作を実行できるということです。注目すべき重要な点は、権限が被害者のオンチェーン取引履歴には表示されないが、攻撃者のアドレスのアクティビティには表示されるということです。

通常、この種のシグネチャ フィッシング攻撃は 1 回限りのイベントであり、継続的なフィッシングの脅威をもたらすことはありません。簡単に言うと、シグネチャフィッシング攻撃は、ウォレットのニーモニックフレーズ(または秘密鍵)を盗むことはできません。各フィッシング攻撃では、ハッカーは一度だけ認証を使用することができ、認証したトークンとブロックチェーンにのみ影響します(たとえば、USDTを承認した場合、ハッカーはUSDTしか取得できません)。言い換えれば、1つのフィッシング署名は、ハッカーに1回限りの機会を与え、将来再び署名するという間違いを犯さない限り、ハッカーにあなたのウォレットを悪用する別の機会を与えます。

(画像クレジット：bocaibocai@wzxznl)

2.Uniswap許可2フィッシング攻撃

このフィッシング手法は、以前に言及されたパーミット攻撃と類似しており、両方ともオフチェーン署名フィッシングを含んでいます。Uniswap Permit2は、Uniswapが2022年に導入したスマートコントラクトです。Uniswapによると、これはトークン承認契約であり、異なるアプリケーション間でトークンの権限を共有および管理するために設計されており、よりシームレスでコスト効果の高い、安全なユーザーエクスペリエンスを提供します。多くのプロジェクトが今ではPermit2を統合しています。

最近、私はbocaibocai（X@wzxznl) Permit2フィッシング攻撃のメカニズムについて詳しく説明します。以下に簡単な要約を示します:

分散型取引所（DEX）でスワップを実行したい場合、従来のプロセスではまずDEXにトークンへのアクセスを承認し、その後スワップを行う必要があります。通常、これはユーザーにとって不便なガス手数料を2回支払うことを意味します。Permit2はこの追加の承認手順をスキップすることで、相互作用コストを削減し、全体的なユーザーエクスペリエンスを向上させます。

基本的に、Permit2はユーザーとdAppsの間に立ち入る中間者の役割を果たします。ユーザーがPermit2を認可すると、Permit2と統合された任意のdAppはその認可制限を共有することができます。これにより、ユーザーの負担が軽減され、プロセスが効率化されるだけでなく、dAppsは充実した体験により、より多くのユーザーや流動性を引き寄せることができます。

何かが双方に利益をもたらす状況のように見えたものが、二律背反の刃となることもあります。 伝統的には、承認と資金の移動の両方において、ユーザーによるオンチェーンのアクションが関与しています。 しかし、Permit2では、ユーザーのやりとりがオフチェーンの署名に削減され、Permit2契約やそれに統合されたプロジェクトなどの中間業者がオンチェーンの操作を処理します。 この変化により、ユーザーのオンチェーンでの摩擦が軽減されるという利点がありますが、それは同時にリスクも伴います。 オフチェーンの署名がユーザーが通常防御を低下させる場所です。 たとえば、特定のdAppsにウォレットを接続する際、ユーザーは何かを署名するよう促されますが、ほとんどの場合、署名の内容を注意深く調査または理解しません（これはよくコードの羅列のように見えます）。 このような点検の不足は危険を伴うことがあります。

もう一つの主要な懸念は、Permit2がデフォルトでアクセス許可を与え、トークンの残高全体にアクセスできることです。スワップする予定の金額に関係なく、MetaMaskなどのウォレットではカスタムリミットを設定することができますが、ほとんどのユーザーはおそらく「最大」をクリックしたり、デフォルト設定を使用するでしょう。Permit2のデフォルトは無制限の許可ですが、これは特にリスキーです。参考のために、下の画像をご覧ください。

これは基本的に、あなたがUniswapとやり取りし、Permit2契約に許可を与えた場合、このフィッシング詐欺の標的になります。

たとえば、小李さんがUniswapを使用し、Permit2契約に無制限のUSDTを許可しました。後で、通常のウォレット取引中に、小李さんはPermit2に関与するフィッシングトラップに無意識に引っかかりました。ハッカーが小李さんの署名を手に入れたら、Permit2契約で2つの重要な操作、PermitとTransfer From、を実行して小李さんの資産を盗むことができます。

こちらは、このフィッシング攻撃がどのように機能するかです:

フィッシング試行の前に、ユーザーはすでにUniswapを使用し、Uniswap Permit2契約にトークンの許可を与えていました（デフォルトで無制限の許可設定）。

攻撃者は、偽のフィッシングリンクまたはウェブサイトを作成し、ユーザーをトランザクションに署名させるように騙します。署名がキャプチャされると、ハッカーは必要なすべての情報を入手します（この手順はパーミットフィッシングに似ています）。

これにより、攻撃者はPermit2コントラクトのPermit関数を呼び出し、認可を完了します。

最後に、攻撃者は Permit2 コントラクト内の Transfer From 関数を呼び出して、被害者の資産を移転し、フィッシング攻撃を完了します。

通常、これらの攻撃は複数の受信アドレスを対象としています。一部はフィッシング操作専用に使用され、被害者のアドレスに似せて作成されることもあります。他のアドレスは組織化されたフィッシングリング（たとえばDaaSプロバイダー）に属しています。暗号ウォレットを標的とするフィッシング業界は、完全な地下市場に発展しているようです。以下の画像を参照してください。

PermitおよびPermit2のフィッシング攻撃からどのように自分自身を保護できますか？

ブラウザのセキュリティプラグイン（私はGoogle Chromeでこれを使用しています）のようなScamsnifferを使用してフィッシングリンクをブロックすることも1つのオプションです。さらに、Revoke Cashのようなツールを使用して、定期的に不要または疑わしい権限や署名をチェックおよび取り消すこともできます。以下の画像はその例です。

Uniswap Permit2に特化したScamsnifferの専用認可管理ツールを使用して、定期的に認可を確認することもできます。何か異常な点がある場合は、即座に権限を取り消すことが重要です。以下の画像を参照してください。

それは言うまでもなく、最も重要な点は強力なセキュリティ意識を維持することです。未知のウェブサイトやリンクを訪れないようにし、dAppsとのやり取りの際には常に承認している内容をダブルチェックしてください。

（画像クレジット：bocaibocai@wzxznl)

クイックチップ：ウォレットの署名が許可または許可2のためのものかどうかをどのように判断できますか？

署名する際には、承認確認ウィンドウに詳細が表示されます。以下の画像に示されているようなキーフィールドを見ることで、署名のタイプを特定することができます。

オーナー（承認を与えるアドレス）; スペンダー（承認を受け取るアドレス）; バリュー（許可された金額）; ノンス（一意のランダムな数値）; 期限（有効期限）.

3. クレームフィッシング攻撃

この種のフィッシングは非常に一般的です。たとえば、X（以前はTwitterと呼ばれていました）を頻繁に閲覧している場合、しばしば「無料のエアドロップ」を提供するメッセージに出くわすことがあります。時には、ランダムなNFTがあなたのウォレットに不思議な形でドロップされることさえあります（ウェブサイトのリンクを含む場合もあります）。

フィッシングサイトをクリックして進行する場合、請求アクションを起こさないと、ハッカーによってすぐに財布の資産が盗まれる可能性があります。

自分自身をどうやって保護できるのか?

まず、あまりにも良すぎるオファーには乗らないでください（不審なリンクをクリックしたり、未知の無料NFTやエアドロップを受け入れたりしないでください）。次に、クレーム操作を行う前に、使用しているウェブサイトが正規の公式サイトであることを常にダブルチェックしてください。

4. 類似したアドレス転送のフィッシング

今年の5月3日、類似したアドレスを使用したフィッシング攻撃に遭い、暗号通貨の大口取引者が被害に遭い、当時約7,000万ドル相当の1,155 WBTCを失いました。

SlowMistは以前、このイベントを詳細に分析しましたので、ここでは具体的な内容の繰り返しは行いません。興味がある場合は、こちらで事件を再訪することができます:

https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg

この種のフィッシングは比較的簡単です:

最初、ハッカーは、被害者の意図したアドレスに非常に似ている欺瞞的な大量のフィッシングアドレスを生成します。これらのアドレスは、しばしば最初の4文字と最後の6文字が一致しています。

次に、彼らは被害者のオンチェーン活動を監視するバッチプログラムを展開し、意図したトランザクションの直前に類似のアドレスを送信してフィッシング攻撃を開始します。

最後に、被害者が送金を行うと、ハッカーは似たようなアドレスを使用してすぐに取引を送信します。これにより、フィッシングアドレスがユーザーの取引履歴に表示されます。下の画像をご覧ください。

多くのユーザーは、ウォレットの履歴から取引の詳細をコピーする習慣があるため、自分の取引に続いているように見えるフィッシング取引を見落とし、間違ったアドレスをコピーしたことに気づかないかもしれません。注意深く確認しないと、1,155 WBTCをフィッシングアドレスに誤って送金してしまう可能性があります。

これをどうやって防げばいいですか？

最初に、ウォレットのアドレス帳によく使うアドレスを保存しておく（またはホワイトリストに登録する）ことで、次回からはリストから正しいアドレスを選択できます。次に、資金を送金する前に、常にフルアドレスを再確認してください。最初や最後の数文字だけに頼らないでください。大きな送金をする際には、すべてが正しいことを確認するために、まず小額のテスト取引を行うのが良いアイデアです。

5. 承認済み署名のフィッシング

先に述べた許可、Uniswap許可2、およびClaimメソッドは、すべて認証フィッシングの範囲に含まれます。実際、ハッカーはApprove（UniswapなどのプラットフォームがUSDTを使用する許可を与える）やIncrease Allowance（支出できる金額の上限を上げる）など、ウォレットの許可を悪用する方法は多数存在します。

フィッシングプロセスは通常、攻撃者が偽のリンクやウェブサイトを設定したり、公式のプロジェクトサイトをハッキングしたりして、マルウェアを埋め込んで、ユーザーがクリックするように誘導し、無意識にウォレットの認証を許可させることが含まれます。

議論されている5つのフィッシング手法は、より一般的なものの一部にすぎません。ハッカーは常に新しい創造的な攻撃手法を考え出しています。ことわざにもあるように、「ハッカーは常に1歩先を行く」ということです。つまり、ウォレットのセキュリティは継続的な課題であり、ユーザーは常に警戒する必要があります。

免責事項：

1. この記事は[から転載されました話李話外] というタイトルで "你的钱包还安全吗?黑客是如何利用Permit、Uniswap Permit2、授权签名进行钓鱼的(Is your wallet safe?How hackers exploit Permit, Uniswap Permit2, and signatures for phishing.(ハッカーがPermit、Uniswap Permit2、および署名をフィッシングに悪用する方法)」、すべての著作権は原作者に帰属します[话李话外]。この転載に異議がある場合は、Gate Learnチームにお任せいただければ、迅速に対応いたします。

2. 免責事項：この記事に表明された見解や意見は、作者個人のものであり、投資アドバイスを構成するものではありません。

3. 記事の翻訳は、Gate Learn チームによって他の言語に翻訳されます。特に記載されていない限り、Gate.io翻訳された記事の複製、配布、盗用は禁止されています。