シンガポールのサイバーセキュリティ規制当局は8日、ワードプレスの暗号資産ウィジェット、特に価格ティッカーやコインリストのプラグインを採用しているウェブサイトが訪問者の機密情報を引き出す可能性があると警告した。
これは、暗号通貨を盗もうとするハッカーがますます巧妙になっていることを改めて示している。
暗号資産ウィジェットの危険性
Sponsoredシンガポールのサイバー・セキュリティ・エージェンシー(CSA)は、ハッカーがSQLインジェクションを使用してWordpress暗号資産ウィジェットの価格ティッカー・プラグインを悪用していると説明した。このテクニックはデータ駆動型のアプリケーションを標的としており、深刻なセキュリティリスクをもたらしている。
WordPressのPrice Ticker & Coins Listプラグインは、バージョン2.0から2.6.5において、ユーザが提供するパラメータのエスケープが不十分で、既存のSQLクエリに十分な準備がないため、’coinslist’パラメータを介してSQLインジェクションの脆弱性があります。
そこから、ユーザーはハッカーから機密情報を抜き取られる対象となり、パスワードや暗号ウォレットなどの機密情報までもが危険にさらされると説明された。
“これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用できる追加のSQLクエリを、すでに存在するクエリに追加することが可能になる。”
関連記事:ラグ・プルとは何か?Web3詐欺の手引き
Sponsored Sponsored最近、ハッキングはますます洗練されてきており、暗号資産産業における急増する資金に後押しされている。
高度化するハッキングのトレンド
BeInCryptoは2023年12月、ハッカーがGoogleやソーシャルメディアでフィッシング・キャンペーンを行い、被害者から数百万もの暗号資産が盗まれたことを報告した。
Sponsored Sponsored“ウォレットドレイナー “がGoogle検索やX広告でのフィッシングキャンペーンに関連しており、9ヶ月間で63K人以上の被害者から約5800万ドルを引き出している。
しかし、Chainalysisは最近の犯罪レポートの中で、暗号資産ハッキングによる収入が2023年には前年比で約54.3%減少したことを強調している。
さらにScam Snifferは、Wallet Drainersが2023年に約32万4,000人の被害者から約2億9,500万ドルを奪ったことを明らかにした。
しかし、ハッキング攻撃は広範囲に影響を及ぼすものの、コミュニティは通常10~50分以内に迅速に対応する。
Sponsored続きを読む注意すべき最も一般的な15の暗号資産詐欺
一方、Scam Snifferは、エアドロップ、オーガニック・トラフィック、有料広告、ハイジャックされたDiscordリンクは、それほど簡単には検出されないと指摘している。
しかし、暗号資産業界の個人は、暗号ウォレットのハッキングだけでなく、ソーシャルメディアアカウントのハッキングに対しても警戒を怠らない必要がある。
ハッカーは、多くのフォロワーに悪意のあるリンクを広めるために、影響力のあるソーシャルメディア・アカウントをターゲットにすることが増えており、彼らにとって潜在的により有利な機会を提供している。
2023年9月、イーサリアムの共同創設者であるヴィタリック・ブテリンは、X(旧ツイッター)のアカウントを侵害された。ハッカーがアカウントを掌握した直後、彼らはConsenSysの詐欺リンクを投稿し、疑うことを知らないフォロワーから約70万ドルをだまし取った。
