投資家は偽のUniswapで1百万USDをたった1回のクリックで失いました

フィッシング攻撃により、暗号通貨投資家が約100万USDを失うことになりました。これは、ブロックチェーンセキュリティ会社Scam Snifferの報告によるもので、投資家がUniswap上でスワップに偽装された一連の悪意のある取引に誤って署名した結果です。

8月22日、SlowMistの創設者であるYu Xiangは、Ethereumの新しいEIP-7702メカニズムを通じて盗まれた5種類のトークンに関連する事件について述べました。

彼は次のように説明しました：「攻撃を受けたユーザーの視点から見ると、プロセスは次のように進行します：彼らはフィッシングウェブサイトを開き、ウォレット署名のダイアログが表示され、確認をクリックすると、その一つの行動だけで、ウォレット内のすべての価値ある資産が瞬時に消えてしまいます。」

EIP-7702と新しいリスク

EIP-7702は、Ethereumのユーザーエクスペリエンスを向上させるためにPectraアップグレードで導入されました。この機能は、ウォレットが一時的なスマートコントラクトとして機能することを可能にし、複数の取引を同時に実行できるようにし、ガス料金の資金提供や支出の上限設定を1ステップで行うことを可能にします。

原則として、この権限委譲は取り消すことができ、特定のネットワーク内でのみ適用されます。しかし、実際には、攻撃者はこのメカニズムを悪用する方法を見つけました。

セキュリティコミュニティからの警告

マーケットメイカーのWintermuteは、この基準の展開が広範囲に悪用されていると警告しています。6月の同社の分析によると、EIP-7702に関連する委任の90%以上が悪質な契約に関係しています。多くの契約は単なるコピー＆ペーストのコードであり、自動的にスキャンして攻撃を受けやすいウォレットから資産を引き出します。

Scam SnifferとYu Xiangは、ユーザーがウォレットからの要求に署名する前に注意を払う必要があると推奨しています。防止策には、ドメイン名を慎重に確認すること、急いで確認しないこと、あいまいな署名や範囲が広すぎる署名を拒否することが含まれます。

いくつかの警告サインには、無制限の支出権限の要求、EIP-7702に基づく契約のアップグレード、または期待に反する取引のシミュレーションが含まれます。

タックサン