ブロックチェーンセキュリティプラットフォームScam SnifferのX(旧Twitter)の12月21日の報告によると、攻撃者が「MSドレイナー」と呼ばれるウォレット流出サービスを使って、過去9ヶ月間に被害者から約5900万ドル(約84億円)の仮想通貨を吸い上げた。攻撃者はグーグルの広告を使い、Zapper、Lido、Stargate、DefiLlama、Orbiter Finance、Radientなどの人気のある仮想通貨サイトの偽バージョンで被害者をターゲットにしたという。
1/ Alert: A 'Wallet Drainer' has been linked to phishing campaigns on Google search and X ads, draining approximately $58M from over 63K victims in 9 months. pic.twitter.com/ye3ob2uTtz
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) December 21, 2023
ウォレットドレイナーとは、攻撃者が被害者の同意なしに仮想通貨を攻撃者に送金することを可能にするブロックチェーン・プロトコルのことで、通常はトークンの承認プロセスを悪用する。
Scam Snifferが最初にMSドレイナーに気づいたのは3月だ。当時、セキュリティ・プラットフォームSlowMistのチームが調査に協力した。6月、オンチェーン調査を手掛けるZachXBTはさらなる証拠を提供し、ドレイナーに関連する「Ordinal Bubbles」と呼ばれるフィッシング詐欺を発見した。調査では、グーグル上の9つの異なるフィッシング広告を発見し、そのうちの60%が悪意のあるプログラムを使用していた。
通常であれば、グーグルは監査システムを使ってフィッシング詐欺の広告が掲載されないようにしている。しかし、Scam Snifferは、詐欺師たちが「広告監査を回避するために、地域ターゲティングとページ切り替えの手口を使い、審査プロセスを複雑化」させ、広告がグーグルの品質管理システムを通過できるようにしていることを発見した。
詐欺師たちはまた、グーグルのユーザーを騙して、リンクが公式サイトにつながると思わせるために、ウェブリダイレクトを使用していた。例えば、詐欺サイト「cbridge.ceiler.network」は「Celer」という単語のスペルを間違えており、正しいURLである「cbridge.celer.network」に偽装されていた。正しいスペルが広告に表示されているにもかかわらず、リンクはユーザーを間違ったスペルの詐欺サイトにリダイレクトした。
Scam Snifferの報告によると、MSドレイナーを使用した偽サイトが10,072件見つかった。このドレイナーの活動は11月にピークを迎え、それ以降はほぼゼロになっている。この活動を追跡するために設置されたDune Analyticsのダッシュボードによると、活動期間中、6万3000人以上の被害者から5898万ドル相当の仮想通貨を流出させたという。
さらに調査を進めると、MSドレイナーの開発者は一風変わったマーケティング戦略を採用していることが判明した。ほとんどのウォレットドレイナー開発者は詐欺師の利益の一部を請求するが、このウォレットドレイナーはフォーラムで一律1499.99ドルで販売されていた。詐欺師がより多くの機能を欲した場合、開発者は699.99ドル、999.99ドル、または同様の金額で追加の「モジュール」を提供した。
Web3のエコシステムにおいて、ウォレットドレイナーが大きな問題となっている。11月26日、Infernoドレイナーの開発者は、このソフトウェアの有効期間中に被害者から8000万ドル以上を盗むことに成功した後、引退すると主張した。3月には、それまでに推定1300万ドルの窃盗に成功していたMonkeyドレイナーの開発者によって、同様の引退発表が出ている。
翻訳・編集 コインテレグラフジャパン