Web3セキュリティの現状:ドレイナーサービスの進化
現在、Web3セキュリティにおいて最も深刻な脅威の一つが「ウォレットドレイナー」(Wallet Drainer)です。これは、ユーザーがウォレットに接続し、悪意のある署名(Signature)または承認(Approval)トランザクションに署名することで、瞬時にウォレット内の全資産(トークン、NFT)を抜き取ってしまう詐欺ツールキットです。
標的となるメカニズム:承認から署名へ
初期の詐欺は、ユーザーを騙して無限のトークン承認(approve(address(0xFFF...), type(uint256).max))を行わせるものが主流でした。しかし、最近の高度なドレイナーは、より巧妙な手法を採用しています。特に危険なのが、EIP-712などの構造化された署名要求を利用する手法です。
- EIP-712悪用:ウォレットに表示される署名要求は、単なるテキスト署名に見えるため、ユーザーはセキュリティリスクを認識しにくいです。しかし、この署名が悪意のあるコントラクトの実行権限をドレイナーに与え、ユーザーの残高すべてを操作できるようになります。
- ゼロ知識承認の悪用:ユーザーが「これは承認ではない、単なる署名だ」と誤解することで、Revokeツールで確認できない形式での資産盗難が可能になっています。
具体的な攻撃ベクトル
これらのドレイナーは、主に以下のソーシャルエンジニアリングの手法を通じて配布されます。
- 偽のエアドロップやトークン請求:「あなたのウォレットに報酬があります」と謳い、請求に必要な署名を要求する。
- 偽のガバナンス投票:DAOのメンバーを装い、投票のために悪質なサイトへ誘導する。
- NFTミント詐欺:限定ミントのふりをして、ユーザーに承認/署名を行わせる。
推奨されるセキュリティ対策
- 署名要求の徹底確認:ウォレットで署名要求が表示された際、内容(特に「Permit」「Sign Message」「Approve」などの単語)を細心の注意を払って確認してください。内容が理解できない場合、絶対に署名しないでください。
- ハードウェアウォレットの利用:主要な資産は、物理的な確認が必要なハードウェアウォレット(Ledger, Trezor)に保管してください。
- 承認の定期的な取り消し:Revoke.cashなどのツールを定期的に利用し、過去に与えた不要なトークン承認を取り消してください。
コメント