暗号資産業界における不正流出額は2月に90%超減少し、デジタル資産の窃盗犯が全体で流出させた資金は3570万ドルのみという記録的な低水準となった。
この急減は、2025年3月以来の穏やかな月となり、毎回100億円規模のハッキングが続出してきた同業界に、一時的な安堵をもたらした。
暗号資産窃盗は激減もフィッシングとオラクル攻撃続く
ブロックチェーンセキュリティ企業CertiKがまとめたデータによると、 1月の驚異的な損失額から、月次で大幅な減少が明らかとなった。
同時に、前年比でも大幅な縮小を示した。昨年2月は、異例となるBybit取引所での15億ドル規模の流出事件が発生し、年間のセキュリティ統計を大きく歪めていた。
全体的な不正行為は減少したものの、標的型の攻撃により分散型金融(DeFi)プロトコルから依然として数百万ドル規模の資金が流出した。
最大規模の暗号資産流出事件は、2月22日にStellarネットワーク上で発生した。
Quill Auditsによると、攻撃者はコミュニティ管理型のYieldBlox Blendプールを悪用し、流動性の薄いオラクルを標的とした典型的な攻撃手法で1000万ドル超を盗み出した。
流動性が極端に薄いUSTRY/USDC市場で通常とは異なる取引を1回成立させ、攻撃者はトークン価格を人工的に100倍まで引き上げた。
この操作でプロトコルの価値評価システムを欺き、大規模な担保不足の借り入れを可能にした。
その前日の2月21日には、IoTブロックチェーンプロジェクトIoTeXが秘密鍵流出による大規模侵害を受けた。
CertiKは損失額を約900万ドルと推定したが、IoTeXチームは被害額が200万ドル程度であると主張した。
セキュリティ研究者によると、攻撃者は流出した秘密鍵でトークンセーフへアクセスし、盗んだ資産をすぐにイーサリアムへ交換後、クロスチェーンブリッジを使いビットコインへルーティングした。
さらに、3大事件のひとつとしてFoom.Cashというプライバシープロトコルにおける220万ドル規模の流出が発生した。
この事件では、ハッカーが暗号技術上の脆弱性を突き、zkSNARK証明を偽造したと伝えられている。これにより偽のデジタル認証情報をプロトコルに受け入れさせ、大量のトークン引き出しを実現した。
暗号資産のフィッシング詐欺が依然として懸念
スマートコントラクトの脆弱性にとどまらず、フィッシングは依然として深刻な脅威であり、2月の損失総額のうち850万ドルがこの手法によるものだった。
最近は、プロ化した「drainer-as-a-service」業者の台頭により、暗号資産フィッシング分野が拡大している。代表例にAngel DrainerやInferno Drainerがある。
こうしたプラットフォームは、技術力がほとんどない詐欺師でも大規模な攻撃を実行できる環境を提供する。模倣サイトや偽のSNSアカウント、スマートコントラクト自動化スクリプトなど、詐欺実行のための一式を備える。
運営者はこうした違法インフラを提供する代わりに、盗まれた資金の一部を手数料として受け取る。
