Back to Blog

不正な資金フローのケーススタディ:5500万ドルのDAIフィッシング事件

November 8, 2024

イベントの背景

2024年8月20日、イーサ上のフィッシング取引により5400万安定コインDAI以上の利益がもたらされた。 資金流出したアドレスはvaultアドレス0xf2b8によって2020年に作成され、Geminiによって所有されていた。apac/hong-kong)が所有する資金援助であった。フィッシャーは被害者(保管庫の元の所有者)を騙し、保管庫の所有者を以下のアドレスに変更するフィッシング取引に署名させ、送信させた。フィッシング取引]()に署名させ、送信させる。その後、フィッシャーは保管庫の所有権をフィッシャーの管理下にあるアドレスに変更し、保管庫から資金を送金するトランザクションを実行する。を実行する。

  • フィッシングアドレス(フィッシャーは被害者を騙してこのアドレスに保管庫の所有権を変更させる): 0x0000db5c8b030ae20308ac975898e09741e700000x0000db5c8b030ae20308ac975898e09741e70000)
  • 退避した保管庫のアドレス(保管庫の資金が流れる先): 0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d40x5d4b2a02c59197eb2cae95a6df9fe27af60459d4)
  • 保管庫の所有者を変更するトランザクション: 0x2805, 0xb721
  • 保管庫トランザクションのパンプアウト: 0xf700

メタスルースによるマネーフロー分析

2024 年 8 月 20 日、被害保管庫の元の所有者は、保管庫の所有権をフィッシャーの管理するan address.その約5時間後、フィッシャーはさらに新しいアドレスに所有権を変更する別の取引を開始した。新しいアドレスが保管庫の完全な支配権を獲得してから約20分後、そのアドレスは保管庫の5500万DAIを次のアドレスに移転するための取引に署名した。5,500万DAIを引き出すために、このアドレスは取引に署名した。

その後2時間以内に、不正に取得されたすべてのDAIトークンはフィッシャーが管理するダウンストリームアドレスに転送され、不正資金が最初に引き出されたアドレス0x5D4bもはや資金は残っていない。合計6つのダウンストリームアドレスがアドレス0x5D4bに直接接続されている(つまり、その最初のアドレスから1ホップ離れている)。このうち、DAIトークンの大部分(約4400万)はより深いダウンストリームアドレスに直接送金され、別の1000万DAIはネイティブトークン(3880)ETHにスワップされ、アドレス0x8cc5に送金された。0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc).スワップの分散型トランザクションプロトコルはCoW Protocol: GPv2Settlementであり、対応するトランザクションは0x7c63.

以下は最初のアドレスから第 1 層のダウンストリームアドレスへの資金移動のグラフであり、DAI の直接的なフローと ETH の swap へのフローの両方が含まれている: !(https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/54_M1_662d664e5c.png)

第1層のダウンストリームアドレスに違法な資金を送金した後、フィッシャーはさらに深いマネーロンダリングアドレスに資金を一括して送金し始める。不正資金が最初のアドレスから4ホップ離れたダウンストリームアドレスに到着すると、盗まれたDAIはすべて様々なAMMを通じてETHに完全に交換されており、その後の資金の流れはすべてETHの送金という形で示される。最終的に、これらの違法な資金はETHの形で中央集権的な取引所に流れ込んだ(eXchKuCoin)、クロスチェーンブリッジ(THORChain, Hop Protocol)(名前をクリックすると、これらの引き出しアドレスが表示されます)。以下は、eXch に違法な収益が入金された取引の例である。0x2e42, 0xa982, 0x1e1e, [0xb7a9] (https://etherscan.io/tx/0xb7a94448befb8f3ced5164c27395f071b2ad23d32847990d7b70323601ed4398).以下はTHORChainに不正な収益を送金したトランザクションの例である:0x5c060xf824, 0x391e

次の図は、レイヤ 2 のマネー・ロンダリング・アドレス(最初の攻撃アドレスから 2 ホップ)からレイヤ 5 のマネー・ロンダリング・アドレス(最初の攻撃アドレスから 5 ホップ)への資金の移動経路の一部を示している:

不正な収益がディープダウンストリームアドレスに転送される最長の転送経路は12ホップに達し、約80,000ドルの資金が取引所に転送されるKuCoin 170x45300136662dd4e58fc0df61e6290dffd992b785).以下の資金の流れ図に示すように、2024年8月21日から22日にかけて、攻撃者は12ホップの経路を経由して、38ETHをこの中央集権的な取引所に徐々に送金しました。

フィッシャーは資金を送金する際にある特徴を示します。つまり、多額の送金によって注目を集めすぎることを避けるため、通常は大金を複数のアドレスに分割し、より少額の送金によってより深いアドレスに資産を送金します。以下は、あるフィッシャーが165万DAIを36の小さな取引に分割した例で、分割は第1階層に位置するアドレス0x860cで処理される:

!(https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/54_M4_da01506b3b.png)

マネーロンダリングに関連するアドレスと取引

| 住所|取引|違法な資金の流れ | :----------------------------------------: | :----------------------------------------------------------: | :----------------------: | | 0x860cf33bdc076f42edbc66c6fec30aa9ee99f073|0xa11e0xa11ebe4db723c16b275efd2cbb2d07f53c3d1931f3220d0cb8835ef869aa9ee0), 0x9ef1 | 1,650,000 DAI | 0xdd6397104461d83882c6acf4d8b710af00287ff4d079cafa913a62aac55982c) | 0xdd6397104d57533e507bd571ac88c4b24852bce9|0x7af20x7af275b3242b57a50a2ece06b9114ab4497e08b927cce50c51417c7f702e9abb), 0x1d45 | 36,733,858 DAI | | 0x8cc568f533c0639c0f93a9cbf95a8a86e51d9f172c7fa911e83e88f9ab8078 | 0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc| 0x7e100x7e101dc35d6acf5068551bef00b08ff666773af3b14b46a85e4d41602718d05b), 0x5d08 | 3879 ETH + 1,825,000 DAI |. | 0xca6061c6e5a7c3657297f9cc45ce110dc4d14470 | 0xee0d | 875 ETH || 0x77b9f7e5a7c3657297f9cc45ce110dc4d14470 | 0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e| 0xf97a0xf97a281f71a89503f031ffab006456dbd880932bfa8e20ba39784e1f98ffa17a), 0xbc5c | 2164 ETH |)

Use Metasleuthを使用して、詳細な送金フロー図を作成してください:

Metasleuthで不正な資金の流れ全体を詳細に調べる: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595

Sign up for the latest updates
Tracing $1.6B in TRON USDT: Inside the VerilyHK Ponzi Infrastructure
Case Studies

Tracing $1.6B in TRON USDT: Inside the VerilyHK Ponzi Infrastructure

An on-chain investigation into VerilyHK, a fraudulent platform that moved $1.6B in TRON USDT through a multi-layered fund-routing infrastructure of rotating wallets, paired payout channels, and exchange exit funnels, with traced connections to the FinCEN-sanctioned Huione Group.

Weekly Web3 Security Incident Roundup | Mar 30 – Apr 5, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 30 – Apr 5, 2026

This BlockSec weekly security report covers nine DeFi attack incidents detected between March 30 and April 5, 2026, across Solana, BNB Chain, Arbitrum, and Polygon, with total estimated losses of approximately $287M. The week was dominated by the $285.3M Drift Protocol exploit on Solana, where attackers combined multisig signer social engineering with Solana's durable nonce mechanism to bypass a zero-timelock 2-of-5 Security Council, alongside notable incidents including a $950K flash loan TWAP manipulation against the LML staking protocol, a $359K Silo Finance vault inflation via an external `wstUSR` market donation exploiting a depegged-asset oracle and `totalAssets()` accounting flaw, and an EIP-7702 delegated-code access control failure. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident, covering flawed business logic, access control, price manipulation, phishing, and misconfiguration attack types.

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation
Security Insights

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation

On April 1, 2026 (UTC), Drift Protocol on Solana suffered a $285.3M loss after an attacker exploited Solana's durable nonce mechanism to delay the execution of phished multisig approvals, ultimately transferring administrative control of the protocol's 2-of-5 Squads governance with zero timelock. With full admin privileges, the attacker created a malicious collateral market (CVT), inflated its oracle price, relaxed withdrawal protections, and drained USDC, JLP, SOL, cbBTC, and other assets through 31 rapid withdrawals in approximately 12 minutes. This incident highlights how durable nonce-based delayed execution can decouple signer intent from on-chain execution, bypassing the temporal assumptions that multisig security implicitly relies on.