ウォレットの流出とは何ですか?ハッカーはどのようにして資金を盗むのでしょうか?

ウォレットの排出メカニズム

1. ウォレットドレインとは、所有者の同意や知識なしに、暗号通貨ウォレットからデジタル資産を不正に転送することを指します。

2. 攻撃者は通常、アクティブなウォレット インターフェイスに関連付けられた秘密キー、シード フレーズ、またはセッション トークンへのアクセスを取得することでドレインを開始します。

3. アクセスが確立されると、悪意のある攻撃者は複数のアドレスにわたって迅速かつ低料金のトランザクションを実行して、痕跡を隠し、オンチェーン検出システムを回避します。

4. ドレインは、ウォレットプロバイダーのバックエンド監視ツールに組み込まれたボリュームベースのアラートのトリガーを避けるために、バーストで発生することが多く、小規模な転送が数分間にわたって繰り返されます。

5. 一部のドレイン操作は、クリップボードの内容を監視するマルウェアによって自動化され、手動転送中にコピーされたウォレット アドレスを攻撃者が制御するアドレスに置き換えます。

共通のエントリベクトル

1. 正規のウォレット統合を装った悪意のあるブラウザ拡張機能が、dApp インタラクションにスクリプト ペイロードを挿入し、ユーザーの確認プロンプトに到達する前に署名リクエストをキャプチャすることが観察されています。

2. 偽のウォレット回復ページは、MetaMask、Trust Wallet、または Phantom の公式インターフェイスを模倣し、「アクセスの復元」を装って入力されたシード フレーズを収集します。

3. フロントエンド dApp 開発で使用される侵害された npm パッケージは、ウォレットのセットアップまたはトランザクション署名中にキーストロークを記録できるステルス キーロガーを配布しました。

4. なりすましのブロックチェーン エクスプローラーへのリンクを含むフィッシングメールは、ユーザーをだましてウォレットを悪意のあるフロントエンドに接続させ、任意のコントラクト呼び出しに対する署名の許可を与えます。

5. Discord または Telegram グループを介したソーシャル エンジニアリングにより、被害者は偽りのふりをしてリモート デスクトップ ソフトウェアをインストールします。その後、攻撃者は被害者のマシンを直接操作してハードウェア ウォレットのロックを解除したり、キーストア ファイルを抽出したりします。

排水のオンチェーンインジケーター

1. 以前はアクティビティが低かったウォレットからの送信トランザクションが突然急増した場合、特にすべての宛先が同様のアドレス パターンを共有している場合は、強力な危険信号です。

2. 異なるブロックチェーン間でほぼ同一のタイムスタンプで複数の転送が発生していることは、ブリッジング プロトコルを通じて調整されたクロスチェーン ドレインを示唆しています。

3. 未知のコントラクトを展開するトランザクション、または新しく作成されたトークン コントラクトと対話するトランザクションは、多くの場合、大規模な資産抽出の前に行われます。

4. フラッシュ ローンによる資金調達によるスワップや分散型取引所を介したマルチホップ ルーティングなどの難読化技術を使用すると、資金移動の追跡が大幅に困難になります。

5. 馴染みのないトークン契約、特に Etherscan または Solscan で検証済みのソース コードが欠如しているトークン契約に対して繰り返し承認が与えられる場合は、署名権限が侵害されていることを示します。

ハードウェアウォレットの脆弱性

1. 物理的な改ざんは依然としてまれですが、デバイスが非公式再販業者から供給されている場合は可能性があります。事前にフラッシュされたファームウェアは、初期化中に秘密鍵マテリアルを傍受して中継する可能性があります。

2. ハードウェア ウォレットとホスト マシン間の USB 通信をターゲットとしたサイドチャネル攻撃は、タイミング分析を通じて暗号秘密を抽出することで、ラボ環境での実行可能性を実証しました。

3. 2.52 より前の一部の Ledger ファームウェア バージョンには、物理​​的なアクセスを持つ攻撃者が最初のロック解除後の PIN 再入力要件を回避できるロジック上の欠陥が含まれていました。

4. 悪意のある QR コード スキャナーにさらされたコールド カード デバイスは、エンコードされた取引データを誤って解釈し、視覚的に確認すると意図しない資金移動につながることが示されています。

5. Trezor Model T ファームウェア v2.4.3 以前では、Web UI フレームワーク内で任意の JavaScript の実行が許可され、特定の悪用条件下で権限昇格が可能でした。

よくある質問

Q: インターネットに接続したことがない場合でも、ウォレットを空にすることはできますか? A: はい。シード フレーズが書き留められたり、写真に撮られたり、侵害されたデバイスにデジタル的に保存されたりした場合、オフライン ウォレットはリカバリ マテリアルの物理的またはデジタル的な盗難に対して脆弱なままです。

Q: マルチシグウォレットは流出を完全に防ぎますか? A: いいえ。マルチシグ設定によりリスクは軽減されますが、排除されるわけではありません。しきい値署名デバイスまたは共同署名者のエンドポイントが侵害された場合でも、攻撃者は盗んだ署名を使用して承認されたドレインを調整することができます。

Q: パブリック ブロックチェーン エクスプローラーでウォレット残高を表示しても安全ですか? A: はい。残高の表示には読み取り専用のクエリのみが含まれます。ただし、Web サイトに秘密キーやシード フレーズを入力すると、たとえ「ウォレット検査」を主張する探索者であっても、即時侵害となります。

Q: 流出した資金が集中為替預金アドレスにほとんど表示されないのはなぜですか? A: 攻撃者は、ミキサー サービス、Monero のようなプライバシー重視のチェーン、引き出しによってコンプライアンス チェックが開始される KYC にリンクされた保管ポイントを回避するためのブリッジ経由のチェーン ホッピングなどの分散型ロンダリング手法を好みます。