Web3におけるドレイナー関連ハッキング事案の包括的分析
近年、ドレイナー(Drainer)ツールキットを使用してWeb3フィッシングサイトを立ち上げる詐欺師が増加しています。具体的には、これらのフィッシングサイトはユーザーにウォレット接続を自動的に促し、資産価値の高いトークンをスキャンしてフィッシングトランザクションを生成します。当初、詐欺師たちはこれらのフィッシングサイトをソーシャルメディア上で直接宣伝していました。しかし、Web3ユーザーの警戒心が高まったことで、この手法で利益を得ることは難しくなりました。現在、ドレイナーは戦術を転換し、人気プロジェクトやDiscordサーバー、Twitterアカウント、メールデータベース、公式ウェブサイト、ソフトウェアサプライチェーンのハッキングに手を染めています。彼らはこれらのプラットフォームが持つトラフィックと信頼を悪用し、フィッシングサイトを大規模に宣伝しています。その結果、これらのハッキング事案はユーザーに多大な損失をもたらしました。以下の表は、いくつかのハッキング事案と関連するウォレットドレイナーをまとめたものです。本ブログでは、ハッカーが使用する手法の概要を説明し、これらの戦術に対するユーザーの意識向上を図ります。
様々なプラットフォームおよびデータベースを標的としたハッキング事案と関連攻撃者
| ハッキング標的 | 関連ドレイナー | 例 |
|---|---|---|
| Discordサーバー | Pink Drainer | Pika Protocol Evmos Orbiter Finance Cherry Network |
| Twitterアカウント | Pink Drainer | DJ Steve Aoki OpenAI CTO Slingshot UniSat |
| 公式ウェブサイト | Angel Drainer | Galxe Balancer Frax Finance |
| ソフトウェアサプライチェーン | Angel Drainer | Ledger Connect Kit |
| メールデータベース | Pink Drainer | MailerLiteデータベース |
セクション1:Discordサーバーハッキング事案
2023年5月31日、Pika ProtocolのDiscordがハッキングされました。Pink Drainerによって展開されたフィッシングウェブサイトが、公式Discordグループ内で拡散されました。その後の分析により、Discordサーバーの管理者が悪意のあるJavaScriptスニペットを含む偽サイトを訪問するよう誘導されていたことが判明しました。管理者はその後、ボタンをクリックしたりブックマークを追加したりするなどの操作を通じて、スクリプトを実行するよう仕向けられました。その結果、Discordトークンが盗まれました。同時期には、他のいくつかの人気Web3プロジェクトでも同様のハッキング事案が発生しています。
セクション2:Twitterアカウントハッキング事案
2023年5月26日、Steve AokiのTwitterアカウントが乗っ取られ、フィッシングサイトへのリンクを含む投稿が行われました。これにより、暗号資産投資家は17万ドルの損失を被りました。被害者アカウントのトランザクションは、Pink Drainerとの関連を示していました。フィッシングアカウントのトランザクションをさらに精査した結果、このTwitterアカウントの侵害はSIMスワップ攻撃によるものであることが判明しました。SIMスワップ攻撃では、詐欺師がソーシャルエンジニアリングの手法を駆使し、被害者の個人情報を悪用して電話会社を説得し、被害者の電話番号を詐欺師のSIMカードに移転させます。これが成功すると、詐欺師は被害者のTwitterアカウントを乗っ取ることができます。OpenAIのCTO、Slingshot、Vitalik ButerinのTwitterアカウントでも同様のハッキング事案が発生しており、すべてPink Drainerに関連しています。
セクション3:公式ウェブサイトハッキング事案
2023年10月6日、Galxeの公式ウェブサイトがフィッシングサイトへリダイレクトされる事案が発生し、被害者には27万ドルの経済的損失が生じました。公式発表によると、身元不明の人物がGalxeの正当な担当者になりすましてドメインサービスプロバイダーに連絡し、ログイン情報の再設定を要求しました。具体的には、このなりすまし犯が偽の書類を提出してプロバイダーのセキュリティ手順を回避し、ドメインアカウントへの不正アクセスに成功しました。被害を受けたアカウントのトランザクションからは、この事案がAngel Drainerによって引き起こされたことも判明しました。さらに、BalancerやFrax Financeも、Angel Drainerが用いる同様のハッキング手法の犠牲となりました。
セクション4:ソフトウェアサプライチェーンハッキング事案
2023年12月14日、Webサイトとウォレットの接続を容易にするためのJavaScriptライブラリであるLedger Connect Kitにおいて、Ledger社によってエクスプロイトが検出されました。このエクスプロイトは、元従業員がフィッシング攻撃の標的となったことで発生し、攻撃者がLedgerのNPMJSリポジトリに悪意のあるファイルをアップロードすることが可能となりました。侵害されたライブラリにより、ハッカーはこれらのポピュラーな暗号資産ウェブサイトに悪意のあるスクリプトを注入できるようになりました。その結果、ユーザーはフィッシングアカウントを用いてフィッシングトランザクションに署名するよう促される可能性がありました。SushiSwapやRevoke.cashを含む様々な暗号資産プラットフォームのユーザーから、60万ドル以上が盗み出されました。また、フィッシングアカウントのトランザクション記録から、この事案もAngel Drainerによって実行されたことが示されています。
セクション5:メールデータベースハッキング事案
2024年1月23日、WalletConnect、Token Terminal、De.Fiの公式アカウントから多数のメールが送信されました。各メールには、Pink Drainerが提供するウォレットドレイナーへ誘導する悪意のあるリンクが含まれていました。これは、彼らのメール管理サービスであるMailerLiteがソーシャルエンジニアリング攻撃を受け、侵害されたことに起因します。具体的には、チームメンバーの一人が誤って偽のGoogleサインインページにリンクされた画像をクリックし、攻撃者にMailerLiteの内部管理パネルへのアクセス権を与えてしまいました。その後、ハッカーは管理パネルを通じて特定のユーザーのパスワードをリセットし、制御権をエスカレートさせ、メールデータベースの漏洩およびフィッシングメールの拡散へとつなげました。
Web3におけるドレイナー関連ハッキングに対するユーザーの意識と防御力の強化
ウォレットドレイナーの開発者たちは、著名なプロジェクトにハッキングし、そのトラフィックを通じてフィッシングサイトを拡散させるための新しい手法を絶えず考案しています。私たちは警戒を怠らず、フィッシングアカウントやそれに関連するトランザクションを継続的に監視していきます。ユーザーの皆様には警戒を強め、何らかの操作を行う前にトランザクションの詳細を慎重に精査することを強く推奨します。本ブログの目的は、プロジェクトをハッキングするために使用される手法をユーザーが理解し、ドレイナーに関連するフィッシングトランザクションから自身を守るための一助となることです。
BlockSecについて
BlockSecは、世界的に著名なセキュリティ専門家グループによって2021年に設立された、先駆的なブロックチェーンセキュリティ企業です。当社は、Web3の普及を促進するために、発展途上にあるWeb3世界のセキュリティとユーザビリティの向上に尽力しています。その一環として、BlockSecはスマートコントラクトおよびEVMチェーンのセキュリティ監査サービス、セキュリティ開発および脅威の事前遮断を行うPhalcon Securityプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、そしてWeb3ビルダーがクリプトの世界で効率的に活動するためのMetaSuites拡張機能を提供しています。
現在までに、当社はMetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなど300社以上の著名なクライアントにサービスを提供しており、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalを含む主要投資家から2回の資金調達ラウンドで数千万米ドルの出資を受けています。
公式ウェブサイト:https://blocksec.com
公式Twitterアカウント:https://twitter.com/BlockSecTeam
