フィラデルフィアを拠点とするアメリカ人ミュージシャンG. Loveが、Apple App Store上の偽Ledgerウォレットアプリを含む巧妙に作られたフィッシング詐欺の被害に遭い、約42万ドル相当の5.92 BTCを失ったと報じられています。
公開された詳細によると、このアーティストは正規のハードウェアウォレットセットアップアプリと思われる改ざんされたバージョンをダウンロードしました。インストールプロセスの一環として、彼は24語のシードフレーズの入力を求められました。これは、完全なアクセス権を与える暗号資産ウォレットの重要な要素です。
シードフレーズを入力した後、ハッカーはウォレットの乗っ取りを加速させ、即座に資金を流出させました。これは、多くの人が信頼する手段を通じて、経験豊富なユーザーでさえも欺くことができる、ますます現実的なフィッシング攻撃の憂慮すべき傾向を浮き彫りにしています。
G. Loveは、ソーシャルメディア上で自身の体験に関する投稿と画像を共有し、非公式のウォレットアプリケーションに対して他のユーザーに警告しました。
攻撃者がシードフレーズの悪用によりユーザーの資金をリアルタイムで流出
この種の攻撃は、暗号資産セキュリティーにおける重要な原則を痛烈に思い起こさせます。シードフレーズを共有しないこと、特に確立されたハードウェアデバイスに関連付けられていないアプリケーションにシードフレーズを入力しないことです。
この事例では、偽アプリが正規のLedgerウォレットのオンボーディングプロセスを模倣し、偽りの安心感を生み出しました。正規のソフトウェアで使用されるインターフェースと指示を模倣することで、攻撃者はユーザーを騙して潜在的な脅威に関する警告を無視させ、機密情報を抽出することができました。
シードフレーズが侵害されたことは、それ以上の認証が不要であることを意味しました。攻撃者はウォレットへの完全なアクセス権を持ち、わずか数分後に5.92 BTCを移動することができました。
暗号資産取引は従来の銀行送金のように取り消すことができないため、資金が移動されると事実上元に戻すことはできません。この事実により、シードフレーズフィッシングは暗号資産における最も被害の大きい攻撃手法の1つとなっています。
ZachXBTがKuCoinにリンクされたアドレスに資金を追跡
ZachXBTというハンドルネームのオンチェーン調査員が取引の追跡を行い、資金がKuCoinに関連付けられたアドレスを通じて送信されたことを発見しました。
彼の分析によると、攻撃者は資金の移動を隠すために取引所のインフラストラクチャを使用した可能性があり、これは追跡を困難にし、回収の可能性を低くするために頻繁に使用される手法です。
ZachXBTは取引のフローと可能性のあるエンドポイントに関する詳細を提供しました。
より詳細な分析によると、資金は多数の入金アドレスを経由した可能性があり、これらは強力な本人確認なしに迅速な変換と出金を可能にする即時交換サービスに関連している可能性が高いです。
コンプライアンスギャップが多い中、取引所の監視が疑問視される
資金の追跡に加えて、ZachXBTはコンプライアンスと不正活動の監視に関する中央集権型取引所を取り巻く体系的な問題についても疑問を提起しました。
他人の資金を保有しているKuCoinのようなプラットフォームについて、「悪意のある行為者がブローカーアカウントや個人アカウントを使用してマネーロンダリング操作を実行することへの懸念は常にあります」と彼は述べました。そして、彼の声明によれば、これらのアカウントは十分な精査を受けることなく盗まれた資産を移動するための導管として使用されることがあります。
取締まり活動における1つの課題は、多数の入金アドレスがあると資金の追跡が困難になる可能性があることです。攻撃者が隠蔽された資金を分散させ、複数のエントリーポイントを通じてそれらを移動または交換できるためです。
これは特に暗号資産空間におけるより大きな問題を浮き彫りにしています。セキュリティーとユーザープライバシーの間の欲求です。取引所は流動性とアクセスの中心ですが、コンプライアンスの欠如は悪意のある行為者を簡単に可能にする可能性があります。
信頼できる環境における偽アプリの増大するリスク
しかし、Apple App Storeにこのようなものが存在することは、プラットフォームレベルのセキュリティーとアプリレビューレベルの重大な疑問を投げかけます。
多くのユーザーにとって、公式アプリストアは安全な場所と見なされています。しかし、この事件は、厳選されたマーケットプレイスでさえも巧妙な詐欺に対して脆弱であることを示唆しています。攻撃者は、正規のサービスのように見え、感じられるアプリを設計することで、レビュープロセスを回避するスキルをより高めています。
この傾向は、特にソフトウェアをダウンロードする際にアプリストアの信頼シグナルに依存することが多い、新規ユーザーや技術に詳しくないユーザーにとって特に危険です。
Ledgerブランドのハードウェアウォレットセキュリティーの評判を考えると、彼らはしばしばフィッシングキャンペーンの標的となってきました。このような攻撃は、期待される動作と実際のセキュリティー慣行、特にシードフレーズ管理に関するギャップを利用します。
暗号資産ユーザーへの教訓とこれからの方向性
G. Loveの事件は、暗号資産世界におけるサイバー攻撃に対する自己管理の特権使用について深刻な注意喚起を示しています。基盤となるブロックチェーン技術は安全ですが、ユーザーレベルの弱点は弱い環です。
アプリが本物であることを確認する、サードパーティアプリケーションをダウンロードしない、ハードウェアデバイス以外でシードフレーズを入力しないなどのベストプラクティスは不可欠です。ただし、ユーザーはウォレットを設定する際に公式ソースとクロスチェックを行い、検証済みの企業ウェブサイトからの直接リンクも使用する必要があります。
同時に、この状況はエコシステム全体、アプリストア運営者から中央集権型取引所まで、さらなる説明責任を要求しています。改善された審査プロセスと対応メカニズム、およびより良いコンプライアンスフレームワークを通じて、このような攻撃を緩和することができます。
暗号資産の採用が拡大し続けるにつれて、脅威の高度化も進んでいます。業界は、オープンアクセスと、ますます巧妙化する詐欺からの十分な消費者保護との間でバランスを見つけなければなりません。
結局のところ、この事例は教訓的です。それは暗号資産の世界における単純な事実を例証しています。鍵を管理することは資金を管理することを意味し、その管理を失うと(たとえ短期間であっても)、損害は取り返しのつかないものになる可能性があります。
免責事項:これは取引や投資のアドバイスではありません。暗号資産を購入したり、サービスに投資したりする前に、必ずご自身で調査を行ってください。
Twitter @nulltxnews で私たちをフォローして、暗号資産、NFT、AI、サイバーセキュリティー、分散コンピューティング、および メタバースニュースの最新情報を入手してください!
出典: https://nulltx.com/musician-loses-420k-in-bitcoin-after-fake-ledger-app-scam-exposes-wallet-vulnerabilities/
