Check Point、Uniswapへのフィッシング攻撃で800万ドル被害

Uniswapへのフィッシング攻撃で800万ドル被害

---

Check Point（チェック・ポイント）はレポートに、「Uniswap（ユニスワップ）」へのフィッシング攻撃で800万ドル相当の被害が出ていることを明らかにした。

 

「Uniswap（ユニスワップ）」は暗号資産(仮想通貨)の分散型取引所の大手であり、分散型ネットワークプロトコルを用いたイーサリアムのブロックチェーン技術を使用して運営されている。

 

スマートコントラクトを利用することにより、イーサリアムブロックチェーン上での各種仮想通貨トークンの自動取引を容易にしている。

 

先日、仮想通貨取引所Binance（バイナンス）のCEOはツイッターで、 「Uniswap（ユニスワップ）」が悪用された可能性があると警告を発している。

One of the few tokens we listed without requiring direct contact info of the project team. This is where it would have been useful.

— CZ 🔶 Binance (@cz_binance) July 11, 2022

▲「当社の脅威インテリジェンスは、イーサリアム（ETH）ブロックチェーン上のUniswap V3に潜在的な悪用を検出しました。ハッカーはこれまでに4295ETHを盗み、それらをトルネードキャッシュ経由で洗浄しています。@Uniswapに通知できる方はいませんか？私たちが力になれます。」

 

イーサスキャン（etherscan.io）のようなブロックチェーンエクスプローラーは、一般的に取引のアーカイブとして利用され、投資決定前のユーザにトークンに関する情報を提供する。

 

多くのハッカーはこうしたブロックチェーンエクスプローラーを利用してユーザを欺き、偽の情報を与えてそのトークンや契約が正当なものであると信じ込ませる。

 

 

今回のケースでは、攻撃者はシンプルなERC20トークンを作成し、UNIトークンを保有するユーザに対しエアドロップ（無償で配布）した。

 

エアドロップを通じて詐欺サイトへ誘導

---

このエアドロップの目的は、被害者を攻撃者の詐欺サイトへ誘導することでした。以下のスクリーンショットから分かるように、このフィッシングキャンペーンは、被害者がイーサスキャン上でエアドロップによって取得したトークンを正当なものと見せかけることに成功している。

この画像が示すとおり、トークンを送信したのはUniswap V3で間違いないように見える。しかし被害者がこれらのトークンをクリックすると、接続先は「UniswapLP.com」というフィッシングサイトだった（現在、このサイトは閉鎖されている）。

このサイトでは被害者に対し、配布によって受け取ったUniswapLPトークンをUNIトークンに交換することができると説明してた。

被害者は、画面中の「Click here to claim（ここをクリックして請求）」と書かれたボタンを押すことにより、攻撃者による自分のアカウントへのフルアクセスを許可することになる。これにより攻撃者は、被害者のすべてのテザー（USDT）へもアクセス可能になる。

続いて、次のような振替が行われた。

以下のスクリーンショットが示すとおり、この新手のフィッシング詐欺により攻撃者は800万ドル相当のETH（イーサ）を窃取した。

イーサスキャン上でアドレスを偽る手口

前述のとおり、攻撃者は送信元をUniswapと偽っていた。それが可能となった原因は、イーサスキャンのようなブロックチェーンエクスプローラーが、コントラクト発行機能から単なるトランザクションの記録としてデータを取り出せることにある。

 

トランザクションの記録はブロックチェーン上に保存され、アクセス可能です。しかしこの発行機能は、必ずしも実在のアドレスを設定せずに使用できる。このような動作を行うコードとして、例えば次のようなシミュレーションが可能となる。

画像が示すように、ブロックチェーンエクスプローラーに表示されるアドレスには「‘0x0000000000000000000000000000000000000000’」を設定している。

するとエクスプローラーは、「‘0x0000000000000000000000000000000000000000’」というアドレスでトランザクションが行われたと認識する。

このシミュレーションにより、アドレスはUniswapやその他どのような設定でも可能であると証明された。