Back to Blog

不正な資金フローのケーススタディ:5500万ドルのDAIフィッシング事件

November 8, 2024

イベントの背景

2024年8月20日、イーサ上のフィッシング取引により5400万安定コインDAI以上の利益がもたらされた。 資金流出したアドレスはvaultアドレス0xf2b8によって2020年に作成され、Geminiによって所有されていた。apac/hong-kong)が所有する資金援助であった。フィッシャーは被害者(保管庫の元の所有者)を騙し、保管庫の所有者を以下のアドレスに変更するフィッシング取引に署名させ、送信させた。フィッシング取引]()に署名させ、送信させる。その後、フィッシャーは保管庫の所有権をフィッシャーの管理下にあるアドレスに変更し、保管庫から資金を送金するトランザクションを実行する。を実行する。

  • フィッシングアドレス(フィッシャーは被害者を騙してこのアドレスに保管庫の所有権を変更させる): 0x0000db5c8b030ae20308ac975898e09741e700000x0000db5c8b030ae20308ac975898e09741e70000)
  • 退避した保管庫のアドレス(保管庫の資金が流れる先): 0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d40x5d4b2a02c59197eb2cae95a6df9fe27af60459d4)
  • 保管庫の所有者を変更するトランザクション: 0x2805, 0xb721
  • 保管庫トランザクションのパンプアウト: 0xf700

メタスルースによるマネーフロー分析

2024 年 8 月 20 日、被害保管庫の元の所有者は、保管庫の所有権をフィッシャーの管理するan address.その約5時間後、フィッシャーはさらに新しいアドレスに所有権を変更する別の取引を開始した。新しいアドレスが保管庫の完全な支配権を獲得してから約20分後、そのアドレスは保管庫の5500万DAIを次のアドレスに移転するための取引に署名した。5,500万DAIを引き出すために、このアドレスは取引に署名した。

その後2時間以内に、不正に取得されたすべてのDAIトークンはフィッシャーが管理するダウンストリームアドレスに転送され、不正資金が最初に引き出されたアドレス0x5D4bもはや資金は残っていない。合計6つのダウンストリームアドレスがアドレス0x5D4bに直接接続されている(つまり、その最初のアドレスから1ホップ離れている)。このうち、DAIトークンの大部分(約4400万)はより深いダウンストリームアドレスに直接送金され、別の1000万DAIはネイティブトークン(3880)ETHにスワップされ、アドレス0x8cc5に送金された。0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc).スワップの分散型トランザクションプロトコルはCoW Protocol: GPv2Settlementであり、対応するトランザクションは0x7c63.

以下は最初のアドレスから第 1 層のダウンストリームアドレスへの資金移動のグラフであり、DAI の直接的なフローと ETH の swap へのフローの両方が含まれている: !(https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/54_M1_662d664e5c.png)

第1層のダウンストリームアドレスに違法な資金を送金した後、フィッシャーはさらに深いマネーロンダリングアドレスに資金を一括して送金し始める。不正資金が最初のアドレスから4ホップ離れたダウンストリームアドレスに到着すると、盗まれたDAIはすべて様々なAMMを通じてETHに完全に交換されており、その後の資金の流れはすべてETHの送金という形で示される。最終的に、これらの違法な資金はETHの形で中央集権的な取引所に流れ込んだ(eXchKuCoin)、クロスチェーンブリッジ(THORChain, Hop Protocol)(名前をクリックすると、これらの引き出しアドレスが表示されます)。以下は、eXch に違法な収益が入金された取引の例である。0x2e42, 0xa982, 0x1e1e, [0xb7a9] (https://etherscan.io/tx/0xb7a94448befb8f3ced5164c27395f071b2ad23d32847990d7b70323601ed4398).以下はTHORChainに不正な収益を送金したトランザクションの例である:0x5c060xf824, 0x391e

次の図は、レイヤ 2 のマネー・ロンダリング・アドレス(最初の攻撃アドレスから 2 ホップ)からレイヤ 5 のマネー・ロンダリング・アドレス(最初の攻撃アドレスから 5 ホップ)への資金の移動経路の一部を示している:

不正な収益がディープダウンストリームアドレスに転送される最長の転送経路は12ホップに達し、約80,000ドルの資金が取引所に転送されるKuCoin 170x45300136662dd4e58fc0df61e6290dffd992b785).以下の資金の流れ図に示すように、2024年8月21日から22日にかけて、攻撃者は12ホップの経路を経由して、38ETHをこの中央集権的な取引所に徐々に送金しました。

フィッシャーは資金を送金する際にある特徴を示します。つまり、多額の送金によって注目を集めすぎることを避けるため、通常は大金を複数のアドレスに分割し、より少額の送金によってより深いアドレスに資産を送金します。以下は、あるフィッシャーが165万DAIを36の小さな取引に分割した例で、分割は第1階層に位置するアドレス0x860cで処理される:

!(https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/54_M4_da01506b3b.png)

マネーロンダリングに関連するアドレスと取引

| 住所|取引|違法な資金の流れ | :----------------------------------------: | :----------------------------------------------------------: | :----------------------: | | 0x860cf33bdc076f42edbc66c6fec30aa9ee99f073|0xa11e0xa11ebe4db723c16b275efd2cbb2d07f53c3d1931f3220d0cb8835ef869aa9ee0), 0x9ef1 | 1,650,000 DAI | 0xdd6397104461d83882c6acf4d8b710af00287ff4d079cafa913a62aac55982c) | 0xdd6397104d57533e507bd571ac88c4b24852bce9|0x7af20x7af275b3242b57a50a2ece06b9114ab4497e08b927cce50c51417c7f702e9abb), 0x1d45 | 36,733,858 DAI | | 0x8cc568f533c0639c0f93a9cbf95a8a86e51d9f172c7fa911e83e88f9ab8078 | 0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc| 0x7e100x7e101dc35d6acf5068551bef00b08ff666773af3b14b46a85e4d41602718d05b), 0x5d08 | 3879 ETH + 1,825,000 DAI |. | 0xca6061c6e5a7c3657297f9cc45ce110dc4d14470 | 0xee0d | 875 ETH || 0x77b9f7e5a7c3657297f9cc45ce110dc4d14470 | 0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e| 0xf97a0xf97a281f71a89503f031ffab006456dbd880932bfa8e20ba39784e1f98ffa17a), 0xbc5c | 2164 ETH |)

Use Metasleuthを使用して、詳細な送金フロー図を作成してください:

Metasleuthで不正な資金の流れ全体を詳細に調べる: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595

Sign up for the latest updates
FATF’s New Stablecoin Report Signals a Shift to Secondary-Market Compliance
Knowledge

FATF’s New Stablecoin Report Signals a Shift to Secondary-Market Compliance

BlockSec interprets FATF’s March 2026 report on stablecoins and unhosted wallets, explains why supervision is shifting toward secondary-market P2P activity, breaks down the report’s main recommendations and red flags, and shows how on-chain monitoring, screening, and cross-chain tracing can help issuers and VASPs respond with stronger, more effective compliance controls.

Weekly Web3 Security Incident Roundup | Mar 16 – Mar 22, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 16 – Mar 22, 2026

This BlockSec weekly security report covers seven DeFi attack incidents detected between March 16 and March 22, 2026, across Ethereum, BNB Chain, Polygon, and Polygon zkEVM, with total estimated losses of approximately $82.7M. The most significant event was the Resolv stablecoin protocol's infrastructure-key compromise, which led to over $80M in unauthorized USR minting and cross-protocol contagion across lending markets. Other incidents include a $2.15M donation attack combined with market manipulation on Venus Protocol, a $257K empty-market exploit on dTRINITY (Aave V3 fork), access control vulnerabilities in Fun.xyz and ShiMama, a weak-randomness exploit in BlindBox, and a redemption accounting flaw in Keom.

Weekly Web3 Security Incident Roundup | Mar 9 – Mar 15, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 9 – Mar 15, 2026

This BlockSec weekly security report covers eight DeFi attack incidents detected between March 9 and March 15, 2026, across Ethereum and BNB Chain, with total estimated losses of approximately $1.66M. Incidents include a $1.01M AAVE incorrect liquidation caused by oracle misconfiguration, a $242K exploit on the deflationary token MT due to flawed trading restrictions, a $149K exploit on the burn-to-earn protocol DBXen from `_msgSender()` and `msg.sender` inconsistency, and a $131K attack on AM Token exploiting a flawed delayed-burn mechanism. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.