$24M 数分で消えた：フィッシング詐欺の巨鯨がどのように資金を奪われたか

暗号資産の巨大ホエル（大口投資家）が痛い目に遭った事例をご紹介します。2023年9月、Rocket Poolのステーキングサービスを狙ったフィッシング攻撃により、彼らは約E0百万を失いました。そして今、そのハッカーはETHをTornado Cashに移動させ、現金化の準備を進めていると見られます。

実際に何が起きたのか

攻撃者は典型的なソーシャルエンジニアリングの手口を使いました。被害者に「許容量増加（Increase Allowance）」のトランザクションを承認させたのです。これは一見無害に見えますが、実はこの許可により、ハッカーはそのウォレットから任意のERC-20トークンを引き出せる「空白の小切手」を手に入れたのです。

攻撃は二段階に分かれて行われ、ハッカーは以下を盗み出しました：

• 9,579 stETH（ステーキングされたEthereum）
• 4,851 rETH（Rocket Poolのレシートトークン）

総被害額はE0百万にのぼります。

資金の流れ

ブロックチェーンの調査チームPeckShieldは、資金が13,785 ETHと1.64百万DAIに交換されているのを追跡しました。ETHのE0百万は3月21日にTornado Cashというミキシングサービスに送られ、資金洗浄のための典型的な手口が使われました。

これは一例に過ぎません。2月だけでも、フィッシング詐欺により暗号資産から約E0百万が盗まれ、その78%がEthereum、86%がERC-20トークンでした。

本当の問題点：トークンの許可設定は危険

多くの人が気づいていないのは、DeFiやNFTの取引時に「このアドレスにトークンを動かす権限を与える」スマートコントラクトに署名していることです。もしそのコントラクトやウェブサイトが乗っ取られたら、あなたの資産は危険にさらされます。

このハッキングの数日後、別の被害者は古いDolomite取引所のコントラクトを通じて、約$1.8百万が流出しました。Dolomiteは急いでユーザーに許可を取り消すよう呼びかけました。

明るい兆し

すべての攻撃が大規模に成功するわけではありません。3月20日にLayerswapのウェブサイトが乗っ取られた際も、DNSプロバイダーが迅速に対応し、流出は約$10万にとどまりました。影響を受けたのは約50人のユーザーで、彼らには補償も行われています。

実際にやるべきこと

1. 無制限のトークン許可を絶対に承認しない—ほとんどのプロトコルはカスタム制限設定が可能です。
2. 不要になった許可を取り消す—Etherscanやrevoke.cashを使って確認・撤回しましょう。
3. URLを接続前に必ず確認—フィッシングサイトは本物と見分けがつきません。
4. 契約書に署名する前に二度考える—特にDiscordのDMや怪しいリンクからのものは要注意。

暗号資産のセキュリティ企業やコミュニティは早期警告システムの改善を求めていますが、正直なところ最も安全な方法は「徹底的な警戒心」です。リンクはすべて偽物と疑い、証明されるまでは信用しないことが肝心です。