Web3におけるドレイナー関連ハッキングインシデントの包括的分析
近年、ますます多くの詐欺師がドレイナーツールキットを使用してWeb3フィッシングウェブサイトを立ち上げています。具体的には、これらのフィッシングウェブサイトは、ユーザーにウォレットの接続、貴重なトークンのスキャン、フィッシングトランザクションの生成を自動的に促します。当初、詐欺師はソーシャルメディアプラットフォームでこれらのフィッシングサイトを直接宣伝していました。しかし、Web3ユーザーの警戒心が高まるにつれて、この方法で利益を上げることは困難になっています。現在、ドレイナーは戦術を転換し、人気のあるプロジェクト、Discordサーバー、Twitterアカウント、メールデータベース、公式ウェブサイト、ソフトウェアサプライチェーンをハッキングするようになりました。彼らはこれらのプラットフォームに関連するトラフィックと信頼を悪用して、大規模にフィッシングウェブサイトを宣伝しています。その結果、これらのハッキングインシデントはユーザーに甚大な損失をもたらしています。以下の表は、いくつかのハッキングインシデントと関連するウォレットドレイナーをまとめたものです。このブログでは、ハッカーが使用する手法を概説し、ユーザーのこれらの戦術に対する意識を高めることを目指します。
様々なプラットフォームとデータベースを標的としたハッキングインシデントと関連攻撃者
| ハッキング標的 | 関連ドレイナー | 例 |
|---|---|---|
| Discordサーバー | Pink Drainer | Pika Protocol Evmos Orbiter Finance Cherry Network |
| Twitterアカウント | Pink Drainer | DJ Steve Aoki OpenAI CTO Slingshot UniSat |
| 公式ウェブサイト | Angel Drainer | Galxe Balancer Frax Finance |
| ソフトウェアサプライチェーン | Angel Drainer | Ledger Connect Kit |
| メールデータベース | Pink Drainer | MailerLite Database |
セクション1:Discordサーバーハッキングインシデント
2023年5月31日、Pika ProtocolのDiscordがハッキングされました。Pink Drainerによって展開されたフィッシングウェブサイトが、公式Discordグループ内で拡散されました。その後の分析により、Discordサーバー管理者は、悪意のあるJavaScriptスニペットを含む欺瞞的なウェブサイトを訪問するように指示されたことが明らかになりました。管理者は、ボタンをクリックしたりブックマークを追加したりするなどの操作を通じて、それを実行するように誘導されました。その後、discordトークンが盗まれました。この期間中、いくつかの人気のあるWeb3プロジェクトも同様のハッキングインシデントを経験しました。
セクション2:Twitterアカウントハッキングインシデント
2023年5月26日、Steve AokiのTwitterアカウントが侵害され、フィッシングウェブサイトを含むメッセージが投稿されました。これにより、暗号通貨投資家は170,000ドルを失いました。被害者アカウントのトランザクションは、Pink Drainerとの関連性を示していました。フィッシングアカウントのトランザクションをさらに精査した結果、Twitterアカウントの侵害はSIMスワップ攻撃の結果であることが判明しました。SIMスワップ攻撃では、詐欺師はソーシャルエンジニアリング手法を使用し、しばしば被害者の個人情報を用いて、通信会社を説得して被害者の電話番号を詐欺師のSIMカードに転送させます。成功すると、詐欺師は被害者のTwitterアカウントを制御できるようになります。OpenAI CTO、Slingshot、Vitalik ButerinのTwitterアカウントでも同様のハッキングインシデントが発生しており、これらはすべてPink Drainerに関連していました。
セクション3:公式ウェブサイトハッキングインシデント
2023年10月6日、Galxeの公式ウェブサイトがフィッシングウェブサイトにリダイレクトされ、被害者は270,000ドルの損失を被りました。公式説明によると、身元不明の人物が許可されたGalxeの代表者を装い、ドメインサービスプロバイダーに連絡し、ログイン資格情報の再設定を要求しました。具体的には、偽装者はドメインサービスプロバイダーに偽の書類を提出し、セキュリティ手順を回避してドメインアカウントへの不正アクセスを取得しました。被害者アカウントのトランザクションからも、このインシデントはAngel Drainerによって開始されたことが明らかになりました。さらに、BalancerとFrax Financeも、Angel Drainerによって採用された同様のハッキング手法の犠牲となりました。
セクション4:ソフトウェアサプライチェーンハッキングインシデント
2023年12月14日、Ledgerは、ウェブサイトとウォレット間の接続を容易にするために設計されたJavaScriptライブラリであるLedger Connect Kitの悪用を検出しました。この悪用は、元従業員がフィッシング攻撃の標的になったことに起因しており、悪意のあるアクターがLedgerのNPMJSリポジトリに悪意のあるファイルをアップロードできるようになりました。侵害されたライブラリにより、ハッカーはこれらの人気のある暗号通貨ウェブサイトに悪意のあるスクリプトを注入できるようになりました。その結果、ユーザーはフィッシングアカウントでフィッシングトランザクションに署名するように促される可能性があります。SushiSwapやRevoke.cashを含む様々な暗号通貨プラットフォームから、600,000ドル以上がユーザーから盗まれました。さらに、フィッシングアカウントのトランザクション記録は、このインシデントがAngel Drainerによって開始されたことを示していました。
セクション5:メールデータベースハッキングインシデント
2024年1月23日、WalletConnect、Token Terminal、De.Fiの公式アカウントから多数のメールが送信され、それぞれにPink Drainerによって提供されたウォレットドレイナーを搭載した悪意のあるリンクが含まれていました。これは、彼らのメールマネージャーであるMailerLiteがソーシャルエンジニアリング攻撃によって侵害されたためでした。具体的には、チームメンバーが誤って詐欺的なGoogleサインインページにリンクされた画像をクリックし、攻撃者がMailerLiteの内部管理パネルにアクセスできるようになりました。その後、ハッカーは管理パネルを介して特定ユーザーのパスワードをリセットすることで制御をエスカレートさせ、メールデータベースの漏洩とフィッシングメールの拡散につながりました。
ドレイナー関連ハッキングに対するユーザーの意識向上と防御策
ウォレットドレイナーの開発者は、著名なプロジェクトにハッキングし、そのトラフィックを介してフィッシングウェブサイトを拡散するための新しい方法を継続的に開発しています。私たちは警戒を怠らず、フィッシングアカウントとその関連トランザクションを継続的に監視していきます。ユーザーの皆様には、注意を払い、いかなる操作を行う前にもトランザクションの詳細を慎重に確認することを推奨します。このブログは、ユーザーがプロジェクトをハッキングするために使用される手法を理解し、ドレイナー関連のフィッシングトランザクションから自身を保護するのに役立つことを目指しています。
BlockSecについて
BlockSecは、2021年に世界的に著名なセキュリティ専門家グループによって設立された、先駆的なブロックチェーンセキュリティ企業です。同社は、Web3という新興の世界のセキュリティとユーザビリティを向上させ、その大規模な普及を促進することに尽力しています。そのために、BlockSecはスマートコントラクトとEVMチェーンのセキュリティ監査サービス、セキュリティ開発と脅威のプロアクティブなブロックのためのPhalconプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、そしてWeb3ビルダーが暗号通貨の世界を効率的にサーフィンするためのMetaSuites拡張機能を提供しています。
これまでに、MetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなど300以上の著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalなどの著名な投資家から2回の資金調達で数千万米ドルを受け取っています。
公式ウェブサイト:https://blocksec.com/ 公式Twitterアカウント:https://twitter.com/BlockSecTeam
