Web3フィッシングの最前線：「Drainer as a Service」と悪意ある署名要求

今日のWeb3セキュリティにおいて、最も急速に進化している脅威は、ユーザーのウォレットを標的とした高度なフィッシング詐欺です。特に注目すべきは、サイバー犯罪者が提供する「Drainer as a Service (DaaS)」の台頭です。

DaaSとは？

DaaSは、技術的な知識が乏しい攻撃者でも、洗練されたウォレットドレインキットをレンタルできるビジネスモデルです。これらのキットは、本物そっくりのNFTミントサイト、エアドロップページ、あるいは偽のDappsを構築するために使用されます。

攻撃手法：悪意ある署名要求

従来の詐欺がシードフレーズの窃取を目的としていたのに対し、DaaSを活用した攻撃は、ユーザーに悪意のあるスマートコントラクトの署名（トランザクション）を承認させることに焦点を当てています。具体的には、以下の高リスクな要求が使われます：

• setApprovalForAll: NFTコレクション全体に対する無制限の制御を攻撃者に許可します。
• 悪意のあるpermit関数: トークンの送金を許可するメッセージに署名させ、ガス代なしで資産を盗み出します。

ユーザーがこれらの署名に同意すると、バックエンドで動作するドレイナーソフトウェアが自動的にウォレット内のETH、トークン、NFTを掃き出してしまいます。このプロセスは非常に迅速であり、ユーザーが詐欺だと気づいた時には手遅れとなるケースがほとんどです。

防御策

Web3ユーザーは、ウォレットが求めるすべての署名要求を、それが単なる「メッセージの署名」に見えても、その内容を徹底的に確認する必要があります。見慣れないサイトや急いでいる状況で署名を求められた場合は、常に拒否してください。また、主要な資産を保護するために、常にハードウェアウォレットを使用することが必須です。