-
bitcoin $87959.907984 USD
1.34% - ethereum
$2920.497338 USD
3.04% - tether
$0.999775 USD
0.00% - xrp
$2.237324 USD
8.12% - bnb
$860.243768 USD
0.90% - solana
$138.089498 USD
5.43% - usd-coin
$0.999807 USD
0.01% - tron
$0.272801 USD
-1.53% - dogecoin
$0.150904 USD
2.96% - cardano
$0.421635 USD
1.97% - hyperliquid
$32.152445 USD
2.23% - bitcoin-cash
$533.301069 USD
-1.94% - chainlink
$12.953417 USD
2.68% - unus-sed-leo
$9.535951 USD
0.73% - zcash
$521.483386 USD
-2.87%
アイスフィッシング攻撃とは何ですか?
Ice phishing tricks users into signing malicious wallet approvals—often via fake dApps or airdrops—granting attackers silent, unlimited access to crypto assets.
2025/12/24 02:00
定義と仕組み
1. アイス フィッシング攻撃は、攻撃者がユーザーを騙して、暗号通貨ウォレットへの不正アクセスを許可する悪意のあるトランザクションに署名させるという欺瞞的な手法です。
2. 認証情報を盗む従来のフィッシングとは異なり、アイスフィッシングはウォレットの署名リクエストを悪用し、被害者が無意識のうちにトークンの割り当てや転送の承認を承認させます。
3. 攻撃者は通常、正規の DeFi プラットフォームや NFT マーケットプレイスを模倣した偽の分散型アプリケーション (dApp) インターフェイスをホストします。
4. ユーザーが自分の Web3 ウォレット (MetaMask など) に接続し、日常的に提示されたトランザクションに署名すると、実際にはアドレスから資産を引き出すためのスマート コントラクトが承認されます。
5. 承認されると、攻撃者はユーザーの追加の操作や確認を必要とせずに、いつでもトークンを排出できます。
共通のベクトルとプラットフォーム
1. Telegram グループ、Discord サーバー、Twitter/X DM を介して配布された悪意のあるリンクは、多くの場合、偽のエアドロップ請求ページにつながります。
2. 侵害された GitHub リポジトリまたは npm パッケージは、開発者が使用するオープンソースのウォレット統合に悪意のあるコードを挿入します。
3. ウォレットコネクタを装った偽のブラウザ拡張機能は、インストール時または最初の使用時に署名権限を要求します。
4. 侵害された広告ネットワークは、仮想通貨ニュース サイトに毒されたバナーを配信し、ユーザーを模倣のステーキング ダッシュボードにリダイレクトします。
5. 検索エンジン最適化操作により、「Uniswap v3 流動性計算ツール」のような意図の高いクエリに対して、不正な dApp が正規の dApp よりも上位に配置されます。
技術的特徴
1. アイスフィッシングに関与する取引に ETH 送金が含まれることはほとんどありません。代わりに、ERC-20 または ERC-721 コントラクトを対象としたapprove()呼び出しを展開します。
2. 攻撃者は、ゼロアドレス許可を頻繁に使用し、「initReward」や「setManager」などの一見無害な関数名を持つ悪意のあるコントラクトに無制限の使用権を付与します。
3. 署名ペイロードは多くの場合、 EIP-712 型付きデータ構造を使用して難読化され、人間が判読できるドメイン区切り文字やマスクされたメッセージ フィールドの背後に真の意図が隠されています。
4. 一部の亜種では、疑惑を軽減するために複数の承認を 1 つのプロンプトにまとめて、バッチ化された署名リクエストを採用しています。
5. これらの攻撃で使用されるコントラクト アドレスは、オンチェーン セキュリティ スキャナによる検出を回避するために、新しく展開された未検証の EVM 互換チェーン上に存在することがよくあります。
現実世界の事件
1. 2023 年 6 月、300 を超えるウォレットが偽の Arbitrum ブリッジ サイト経由で侵害され、ユーザーに「楽観的同期承認」への署名を促しました。これは実際には不正なコントラクトに対するトークン割り当てでした。
2. 2024 年初頭の OpenSea ユーザーをターゲットとしたフィッシング キャンペーンでは、SSL 証明書スプーフィングを使用したクローン ドメインが利用され、被害者は NFT の盗難を可能にする「コレクション検証」トランザクションに署名するように誘導されました。
3. Polygon 上の複数のウォレット接続ゲームは、隠蔽されたsetApprovalForAll()ロジックを含むサードパーティの分析 SDK を統合した後、大量悪用の被害に遭いました。
4. 偽装された Ledger Live 更新ページにより、ユーザーはファームウェア検証リクエストに署名するよう誘導され、BSC 上の BEP-20 トークン転送契約が密かに承認されました。
5. Blur マーケットプレイスの偽バージョンは、ウォレット接続イベントを傍受し、正規の署名ペイロードを攻撃者が制御する署名ペイロードに置き換える悪意のある JavaScript を挿入しました。
よくある質問
Q: ハードウェアウォレットはアイスフィッシングを防ぐことができますか? A: ハードウェア ウォレットには署名前に取引の詳細が表示されますが、ユーザーが表示されたデータを誤解したり、検証手順をスキップしたりすると、危険な許容量を承認する可能性があります。
Q: トークン許可を取り消すと、アイスフィッシング事件後の被害が完全に軽減されますか? A: 失効により将来の出金は停止されますが、すでに盗まれた資産は回復されません。攻撃者が転送を開始する前に実行する必要があります。
Q: モバイル Web3 ブラウザは、デスクトップブラウザよりもアイス フィッシングに対して脆弱ですか? A: モバイル インターフェイスでは、署名プロンプトが詳細度の低いビューに圧縮されることが多く、特に dApp デバッグ ツールが制限されている iOS Safari では、ブラインド承認の可能性が高くなります。
Q: 一部のブロックチェーン エクスプローラーがアイス フィッシング コントラクトに悪意のあるものとしてフラグを立てられないのはなぜですか? A: このような契約の多くには、展開時に明らかに有害なオペコードは含まれていません。その危険性は、特定の署名コンテキストおよび外部呼び出しパターンと組み合わせた場合にのみ現れます。
免責事項:info@kdj.com
提供される情報は取引に関するアドバイスではありません。 kdj.com は、この記事で提供される情報に基づいて行われた投資に対して一切の責任を負いません。暗号通貨は変動性が高いため、十分な調査を行った上で慎重に投資することを強くお勧めします。
このウェブサイトで使用されているコンテンツが著作権を侵害していると思われる場合は、直ちに当社 (info@kdj.com) までご連絡ください。速やかに削除させていただきます。
- ビットコイン、eCash フォーク、Airdrop のダイナミクス: 暗号通貨の最新の論争を深く掘り下げる
- 2026-05-03 12:55:01
- コンセンサス 2026 マイアミ: Web3、ブロックチェーン、暗号通貨、NFT、メタバース、カンファレンス、5 月 5 日 — ウォール街とデジタル フロンティアが出会う場所
- 2026-05-02 12:45:01
- FRBが金利を据え置き、地政学的な緊張の中、ビットコイン価格の下落を引き起こす
- 2026-05-01 06:45:01
- ビットコインマイナーが送電網を電化:オハイオ州のガス工場買収がデジタルゴールドの新時代を加速
- 2026-05-01 00:45:01
- MegaETH の MEGA トークンがビッグアップルに到達: リアルタイム ブロックチェーンの新しいパフォーマンス ベンチマークを設定
- 2026-05-01 00:55:01
- ソラナの滑りやすい坂道: 価格予測は抵抗力の損失とさらなる下落の可能性を示している
- 2026-05-01 06:45:01
関連知識
モジュラーブロックチェーンとは何ですか? (建築の基礎)
2026-04-16 12:39:57
モジュラーブロックチェーンとは何ですか? 1. モジュラーブロックチェーンは、コアブロックチェーン機能を個別の相互運用可能なレイヤーに意図的に分離するアーキテクチャパラダイムです。 2. 実行、コンセンサス、データの可用性、決済がすべて同じチェーン上で行われるモノリシック チェーンとは異なり、モジュ...
偽の仮想通貨ウェブサイトを見分ける方法は? (不正検知)
2026-04-16 13:19:40
ドメイン名分析1. 正規の暗号通貨プラットフォームは、クリーンで覚えやすいドメイン名を使用します。多くの場合、標準的なラテン文字でブランド名やコア サービスが組み込まれています。 2. 偽サイトは、「o」を「0」に、「l」を「1」に、「I」を「|」に置き換えるなど、視覚的に欺瞞的な置換を頻繁に展開し...
ブロックチェーンにおけるオラクルとは何ですか? (外部データ)
2026-04-11 03:59:39
定義とコア機能1. ブロックチェーンにおける Oracle は、スマート コントラクトに外部データを提供する信頼できるサードパーティ サービスです。 2. オンチェーン ロジックと、API、データベース、Web フィード、IoT デバイスなどのオフチェーン情報ソースの間のブリッジとして機能します。 ...
トランザクション ハッシュ (TxID) を解釈するにはどうすればよいですか? (支払証明書)
2026-04-10 23:19:44
トランザクションハッシュとは何ですか? 1. TxID またはトランザクション ID とも呼ばれるトランザクション ハッシュは、ブロックチェーン トランザクションのシリアル化されたデータに暗号化ハッシュ関数を適用することによって生成される一意の英数字の文字列です。 2. 各トランザクションの不変のフ...
ゲームファイとは何ですか? (プレイ・トゥ・アーンの基本)
2026-04-13 11:00:17
定義とコアアーキテクチャ1. GameFi はゲームと金融の融合を表し、完全にパブリック ブロックチェーン インフラストラクチャ上に構築されています。 2. ステーキング、流動性供給、イールドファーミング、ガバナンス投票などの分散型金融プリミティブをインタラクティブなゲームメカニズムに直接埋め込みま...
NFTマーケットプレイスの使い方は? (売買)
2026-04-19 12:40:30
Web3 ウォレットのセットアップ1. 公式ブラウザ拡張機能またはモバイルアプリ経由で MetaMask または Trust Wallet をインストールします。 2. 新しいウォレットを作成し、12 単語のリカバリ フレーズをオフラインで安全に保存します。 3. ガス料金をカバーするために、ネイテ...
モジュラーブロックチェーンとは何ですか? (建築の基礎)
2026-04-16 12:39:57
モジュラーブロックチェーンとは何ですか? 1. モジュラーブロックチェーンは、コアブロックチェーン機能を個別の相互運用可能なレイヤーに意図的に分離するアーキテクチャパラダイムです。 2. 実行、コンセンサス、データの可用性、決済がすべて同じチェーン上で行われるモノリシック チェーンとは異なり、モジュ...
偽の仮想通貨ウェブサイトを見分ける方法は? (不正検知)
2026-04-16 13:19:40
ドメイン名分析1. 正規の暗号通貨プラットフォームは、クリーンで覚えやすいドメイン名を使用します。多くの場合、標準的なラテン文字でブランド名やコア サービスが組み込まれています。 2. 偽サイトは、「o」を「0」に、「l」を「1」に、「I」を「|」に置き換えるなど、視覚的に欺瞞的な置換を頻繁に展開し...
ブロックチェーンにおけるオラクルとは何ですか? (外部データ)
2026-04-11 03:59:39
定義とコア機能1. ブロックチェーンにおける Oracle は、スマート コントラクトに外部データを提供する信頼できるサードパーティ サービスです。 2. オンチェーン ロジックと、API、データベース、Web フィード、IoT デバイスなどのオフチェーン情報ソースの間のブリッジとして機能します。 ...
トランザクション ハッシュ (TxID) を解釈するにはどうすればよいですか? (支払証明書)
2026-04-10 23:19:44
トランザクションハッシュとは何ですか? 1. TxID またはトランザクション ID とも呼ばれるトランザクション ハッシュは、ブロックチェーン トランザクションのシリアル化されたデータに暗号化ハッシュ関数を適用することによって生成される一意の英数字の文字列です。 2. 各トランザクションの不変のフ...
ゲームファイとは何ですか? (プレイ・トゥ・アーンの基本)
2026-04-13 11:00:17
定義とコアアーキテクチャ1. GameFi はゲームと金融の融合を表し、完全にパブリック ブロックチェーン インフラストラクチャ上に構築されています。 2. ステーキング、流動性供給、イールドファーミング、ガバナンス投票などの分散型金融プリミティブをインタラクティブなゲームメカニズムに直接埋め込みま...
NFTマーケットプレイスの使い方は? (売買)
2026-04-19 12:40:30
Web3 ウォレットのセットアップ1. 公式ブラウザ拡張機能またはモバイルアプリ経由で MetaMask または Trust Wallet をインストールします。 2. 新しいウォレットを作成し、12 単語のリカバリ フレーズをオフラインで安全に保存します。 3. ガス料金をカバーするために、ネイテ...
すべての記事を見る
