仮想通貨のクジラ(大口投資家)が大規模なフィッシング攻撃に遭い、流動性ステーキングプロバイダー「ロケットプール」でステーキングしていたイーサ(ETH)数百万ドルを失った。

仮想通貨セキュリティ企業PeckShieldの報告によれば、この投資家はLidoステーキングETH(stETH)とロケットプールETH(rETH)のアドレス残高全体を失った。

このハッキングはわずか2回の取引で完了し、9579stETH4851rETHがそれぞれ盗まれた。攻撃時の評価額は、stETHで1550万ドル、rETHで850万ドルであり、合計で2400万ドル(約35億円)にのぼる。

Transactions in the $24 million phishing hack. Source: X

PeckShieldによると、この攻撃者はその後、資産を1万3785ETHと164万DAIにスワップした。

DAIの大部分は、すでに自動仮想通貨取引所FixedFloatに移されていると、PeckShieldは報告している。

仮想通貨追跡チームMistTrackは、残りの盗まれた資金のほとんどが3つのアドレスに移されたと報告した

詐欺防止情報源Scam Snifferによると、被害者は「Increase Allowance(増額許可)」トランザクションに署名することで詐欺師にトークンの承認を許可した。

“Increase Allowance” method on the phisher’s transaction. Source: Etherscan

許可またはアクセス権限は、ERC-20トークンの機能であり、スマートコントラクトを使用して第三者が別の所有者が持つトークンの一部を支出する権利を持つ。一部の仮想通貨ウォッチャーは、ERC-20の許可を承認する際のリスクについて警告しており、匿名の開発者が悪意のあるスマートコントラクトを展開してユーザーを詐欺する可能性があると指摘している

翻訳・編集 コインテレグラフジャパン