$10M 盗まれたETHがTornado Cashに消える：2024年3月のハッキングからわかるスマートコントラクトのリスク

2023年9月の$24 百万規模のフィッシング災害を覚えていますか？しかし、物語はまだ終わっていません。2023年3月21日、CertiKはハッカーがついに3700 ETH（(現在の価格で$10M ）をTornado Cashに送金しているのを発見しました。Tornado Cashは取引の追跡を隠すためのミキシングサービスです。これは偶然の動きではありません。盗まれた暗号資産が最終的にマネーロンダリングされる典型的な例です。

攻撃の手口

何が起きたのか？暗号資産の大口投資家（ホエール）が、「許容量増加」の取引を承認しました。普通のことに見えますよね？違います。この一つの承認により、ハッカーは悪意のあるスマートコントラクトを使ってウォレットからERC-20トークンを直接引き出す権限を得ました。2段階にわたり、攻撃者はRocket Poolのステーキングサービスから9,579 stETHと4,851 rETHを吸い出しました。

PeckShieldのデータによると、その後ハッカーはこれらの資金を13,785 ETHと164万 DAIに変換し、複数のウォレットや取引所に分散させました。典型的なマネーロンダリングの手口です。

トークン承認は暗号資産の弱点

怖いのは、これが単発の事件ではないことです。Scam Snifferのレポートによると、2023年2月だけで**)フィッシング被害が発生し、78%がEthereum上で起きています**。なぜか？ほとんどのユーザーは、契約に署名する際に何を承認しているのか理解していないからです。

このハッキングの数日後、Dolomite取引所も古い契約を通じて攻撃され、ユーザーが数か月前に許可を与えたことを忘れていたために、180万ドルが流出しました。教訓：トークンの承認はすべて潜在的な裏口です。

明るい兆し

すべてのハックが完全な損失に終わるわけではありません。Layerswapのチームは、数時間以内に侵害されたウェブサイトを発見し、被害を50人のユーザーに限定しました。彼らは被害者に返金も行っており、これは暗号セキュリティの中では稀な成功例です。

これがあなたにとって意味すること

繰り返されるパターンは明白です：ハッカーは常にコードを破るのではなく、ユーザーの行動を悪用しています。契約に承認を出す前に、自問してください：これが実際に何をするのか知っていますか？後から取り消せますか？さらに良いのは、怪しい契約に署名する前にアドレスの許容量チェッカーを使うことです。ちょっとした30秒の確認が、災害とギリギリの差になるかもしれません。