EVMからSolanaへのフィッシング詐欺を避ける方法は?
最近、Solanaでフィッシング詐欺に遭い、何百万円もの資産を失ったユーザーが投稿しました。投稿によると、Manekiプロジェクトのツイートの下にあるフィッシンググループが投稿したリンクを誤ってクリックしてしまい、詐欺サイトに誘導されてしまったとのことです。
彼を困惑させたのは、対話中にウェブサイトがトークンの認証操作を必要としないように見え、ハッカーが資産を直接盗むことに成功したことでした。ウェブサイトに問題がある可能性があると気づき、盗難を避けるためにウォレットからトークンを送信しようと試みたとき、複数回の送信が失敗し、資産を引き出すことができなくなったことに気づきました。
提供された詳細が限られているため、事件現場を完全に再現することはできません。ただし、ユーザーが招き猫トークンアカウントの制御を失ったことは明らかであり、そのためウォレットから資産を移動しようとする試みが失敗したのです。EVMに慣れ親しんでいるユーザーは、アカウント制御とは何を意味するのか混乱するかもしれません。
これは、SolanaがEVMチェーンとは異なる実装を使用しているためです。EVMの習慣を使ってSolanaとやり取りし続けることは、古い剣を使って現代の戦いに挑むようなものであり、必然的に大きなリスクを引き起こします。
Solanaでのプレイを楽しむためには、Solanaの特性や詐欺手法を理解することが重要です。そのため、EVMとは異なるSolana上の攻撃手法をいくつかまとめて、Solanaに馴染みのないユーザーが落とし穴を避けるのを助けることを願っています。
1.巣の中のカッコウ:トークン口座所有権の移転
私たちのオープニングケースの主人公は、このタイプの攻撃に遭遇しました。Solanaウォレットでは、各トークンには独立したアカウント(トークンアカウント)があります。これは、銀行口座がRMBやUSDなどの異なる通貨のために独立したアカウントを持つのと似ていますが、それぞれが独立しています。また、各トークンアカウントには所有権の属性もあります。
デフォルトでは、トークンアカウントの所有者は現在のウォレットとして指定されます。ただし、これはハードコードされていません。createsetauthorityinstruction操作を呼び出すことで、トークンアカウントの所有権を変更することができます。ハッカーは、この操作を使用して、トークンアカウントの所有権を自分のウォレットからユーザーのウォレットに移すようにユーザーを騙します。
一度成功すると、トークンはまだウォレットにありますが、ユーザーはそれらを転送することができず、実質的にはトークンが盗まれたのと同じです。
この操作の高いリスクのため、ファントムと@Backpack_CNウォレットは、取引のリスクをインターセプトし、ユーザーに警告し、取引に対する第二の確認を要求します。ユーザーが承認を強く要求しない限り、取引は許可されません。
2. ソラナ上の取引には事前承認が必要ありません
EVM上では、フィッシング契約は、ユーザーがトークン契約で契約を認証する必要があります。その後、ユーザーのウォレットからトークンを転送することができます。フィッシング契約は、認証を受け取った後にユーザーの資産を転送する取引を開始することができます。
しかし、Solanaでは、「承認」とは認可を意味するのではなく、むしろ取引の承認を意味します。ユーザーが誤ってこれを認可のステップとして扱い、承認すると、フィッシング取引が送信され、回復の余地はほとんどありません。
もっと危険な状況は、ユーザーがEVM上でトークンの認可をだまされた場合で、認可されたトークンのみが影響を受け、他の認可されていないトークンは安全です。Solanaでは、認可が不要でトークンの転送にはユーザーの承認のみが必要であり、次に議論する第三のポイントと組み合わせると、ユーザーに重大な損失をもたらす可能性があります。
3. 複数のトークンを転送するように誘導されないように注意してください
Solanaの取引設計では、複数のサブ取引を1つの取引に含めることができ、それぞれのサブ取引が特定のトークンを転送するなどの相互作用を完了します。EVMでは、各トークンの転送には別々の取引が必要ですが、Solanaのこの機能はいくつかの利便性を提供しています。
例えば、あなたのウォレットには、1ドル未満の非常に低い価値のトークンが含まれているかもしれません。Sol-Incineratorは、この機能を利用して、ユーザーがウォレットから小額のトークンを一括送信し、複数の変換を必要とせずにSolに変換することができるようにし、多くのガスを消費することなく操作時間を節約します。
この機能は便利さを提供する一方で、ハッキング活動を大いに容易にします。ハッカーがユーザーを騙してトランザクションを確認させることに成功すれば、ユーザーのウォレットからトークン、NFT、さらにはSolまでを抜き取ることができます。したがって、多くのトークンを転送するトランザクションを見た場合は注意が必要です。これはハッカーがこの機能を利用してウォレットを空にしようとしている可能性があるからです。
4. 盗難トランザクション署名
EVMエコシステムでは、許可署名はフィッシンググループによって好まれています。これは、その潜在性と、承認者のウォレットに表示されないという事実によるものです。現在、フィッシング攻撃の半数以上がこの方法を使用しています。ソラナの世界では、類似した方法があります:耐久性のあるナンス。
耐久性のあるNonceは、許可と同様に機能します。ユーザーが知らずにトランザクションに署名した場合、すぐに資産を失ったり、ウォレットでこのトランザクションを見たりすることはありません。代わりに、署名されたトランザクション情報はフィッシンググループに送信され、それからトランザクションがブロックチェーンに送信されます。このオフライントランザクションの特性は、許可と同じくらい危険です。
Solanaはトランザクションの結果をシミュレートできるため、耐久性のあるnonceは許可よりも読みやすく、ユーザーが識別しやすくなります。しかし、フィッシンググループは耐久性のあるnonceを契約アップグレードと組み合わせて、トランザクションシミュレーション警告を回避しながらより効果的に資産を窃取しています。
フィッシングウェブサイトは最初に悪意のある取引を行わずに通常の契約を使用してユーザーとやり取りします。ウォレットの取引シミュレーション機能では、この段階では問題がないと表示されます。ユーザーが取引を承認すると、フィッシンググループはそれをすぐにブロックチェーンにブロードキャストしません。代わりに、彼らは待ってから取引を行う前に悪意のあるコードを含むバージョンに契約をアップグレードします。その後、ユーザーは突然、取引に署名してから数日後に資産がなくなっていることに気付くことがあります。
このアップグレードされた攻撃方法は非常に潜在的で有害です。現在の取引シミュレーション機能ではこのリスクを表示できません。したがって、高い警戒を維持し、ウォレットソフトウェアの警告にあまり依存せず、取引シミュレーション結果を盲目的に信頼することは重要です。
結論
これらの機能の元々の設計目的は、ユーザーの障壁を低くし、より便利さを提供することでした。しかし、新しい技術は二重の刃のように、フィッシンググループに攻撃方法の幅広い範囲を提供しています。
この記事を書く直前に、Solanaは2つの新機能、ActionとBlinkをリリースしました。これらの機能に対する期待は大きい一方で、フィッシンググループがこれらを悪用する可能性についても警告する声もあります。
Solanaでのフィッシングは、ワンクリック操作と高いステルス性が特徴です。RPCの不安定さやその他の理由により、トランザクションのシミュレーション機能が常に動作しない可能性があるため、完全に信頼することはできません。
ユーザーが手段を持っている場合、Keystoneハードウェアウォレットを使用することをお勧めします。これにより、衝動や誤クリックによる迅速な確認トランザクションが防止され、追加の確認レイヤーが追加されます。
さらに、キーストーンはハードウェアエンドでトランザクションを解析します。ソフトウェアウォレットのトランザクションシミュレーションが失敗した場合でも、ハードウェアはトランザクションの内容を解析し、最後の防衛ラインを提供することができます。
ブロックチェーン技術は絶えず進化し、変化しています。新しい技術に伴うリスクを心配する一方で、進歩を止めることはできません。フィッシンググループは、誰もが排除したい害虫のようであり、ハードウェアウォレットメーカーやセキュリティ企業などの専門家は、新たな脅威に対抗するための解決策を継続的に開発しています。
一般のユーザーとして、“無料の贈り物”に魅了されず、取引の詳細を注意深く吟味することが重要です。このようなセキュリティ意識を持つことで、フィッシング試みが成功する可能性はずっと低くなります。
免責事項:
関連記事
Piコインの真実:次のビットコインになる可能性がありますか?
Gitcoinパスポート:分散ネットワークへのゲートウェイ
秘密鍵とシードフレーズ:主な違い
ガバナンス攻撃の理解:Compoundの事例研究
ビットコインのバビロンプロトコルの理解:ハンギングガーデン
