ハッカーが金曜日遅くに分散型ゼロ知識証明(ZK)ネットワークZerobaseのフロントエンドインターフェースを制御下に置き、270人以上のユーザーに損失をもたらし、24万ドル以上相当のUSDTが流出しました。
オンチェーン調査機関Lookonchainによると、昨日14:30(UTC)頃、複数のユーザーが公式Zerobaseインターフェースと思われるものとの対話後、不正な資金移動を報告しました。
攻撃者は基盤となるブロックチェーンインフラストラクチャーを侵害したわけではなく、ウェブインターフェースから直接アクセスできるプラットフォームのフロントエンドを悪用しました。彼らはBNB Chain上にフィッシングスマートコントラクトを展開してZerobaseを偽装し、ユーザーをだましてウォレットを接続させ、USDT支出許可を承認させました。
承認が与えられると、攻撃者はユーザーとのさらなる対話なしに資金を抜き取ることができ、Lookonchainによると、影響を受けた1人のユーザーだけで123,597 USDTを失ったと報告されています。
Zerobaseインターフェースへのフロントエンド攻撃で24万ドルの損失
ブロックチェーンサイバーセキュリティプラットフォームHashDitによると、この事件に関連する悪意のあるコントラクトアドレスは0x0dd28fd7d343401e46c1af33031b27aed2152396と特定されました。このコントラクトは、ウォレット接続を乗っ取り、承認されたトークンを抽出するために特別に作られたものでした。
Zerobaseのハッキングは通常のスマートコントラクト攻撃とは異なります。フロントエンドの侵害では、侵入者がブロックチェーンのセキュリティを改ざんする必要がないためです。彼らはインターフェースを操作し、悪意のあるコードを追加して、承認が行われると取引を傍受したり資産をリダイレクトしたりすることができます。
これらの攻撃はユーザー対話層で行われるため、技術に詳しくないユーザーにとっては、資金が迂回されている間でも検出が困難です。Lookonchainは影響を受けたユーザーに対し、すぐにウォレットの許可を確認し、revoke.cashなどのサービスを使用して、ウォレットから不審または不要なコントラクト承認を削除するよう訴えました。
ZerobaseはXへの投稿で問題を認め、悪意のあるコントラクトと対話したユーザーに警告し、影響を受けたウォレットに自動セーフガードを実装したと付け加えました。
「ZEROBASE Stakingにアクセスする際、あなたのウォレットがこのコントラクトと対話したことが検出された場合、フィッシングコントラクトへの承認が取り消されるまで、システムは自動的に入出金を停止します」と同社は書いています。
バイナンスウォレットチームも、悪意のある活動をホストしていると疑われるウェブサイトドメインをブロックしたことを確認しました。また、関連するコントラクトをブラックリストに登録して、さらなる認証リスクを防止し、影響を受けたユーザーに30分以内に自動的にアラートを送信して、承認を確認するよう勧告するとしています。
「私たちは状況を監視し続け、ユーザーのセキュリティを確保するために必要な措置を講じます。さらなる更新情報は可能な限り早く共有します」とバイナンスチームは述べました。
Upbitハック発見後、バイナンスは回答すべき質問を抱える
Zerobaseの事件は、11月下旬に発生したUpbit取引所ハックへのバイナンスの対応に対する精査を背景に起こりました。Cryptopolitanは、韓国の規制当局が取引量で世界最大の取引所であるバイナンスがUpbitからの凍結要請に部分的にしか応じなかったと非難したと報告しました。
11月27日、ハッカーは取引所から大量のデジタル資産を盗み、その後1000以上のウォレットを通じて資金を洗浄しました。同日、韓国警察とUpbitは正式にバイナンスに対し、そのプラットフォームに追跡された約4億7000万ウォン相当の盗まれたソラナトークンを凍結するよう要請しました。
バイナンスは、行動を起こす前に「事実確認」の必要性を理由に、要請された金額のわずか約8000万ウォン、つまり約17%のみを凍結しました。韓国当局は、凍結が11月27日の深夜、最初の要請が提出されてから15時間後に完了したと通知されました。
Upbitはその後、犯人がソラナベースのホットウォレットの脆弱性を悪用し、1時間以内に24のソラナエコシステムトークンから資金を抜き取ったことを明らかにしました。この攻撃による損失は445億ウォン、当時のレートで約3300万ドルと推定されています。
取引所はその後、すべての顧客の損失が内部準備金を使用してカバーされることを確認し、プラットフォームのセキュリティに対する懸念が高まる中、ユーザーを安心させようとしました。
別の関連するブロックチェーンセキュリティイベントでは、ブロックチェーンセキュリティ企業CertiKが金曜日に0G Labsからの異常な出金に関連する不審なTornado Cash入金を検出しました。
身元不明の当事者が、特権的なemergencyWithdraw機能を使用して、約52万0G トークン(約51万6000ドル相当)の出金を行いました。資金はまずアドレス0x617E8e3C07bEF319F26C1682270A19e89Ea2bf75に転送されました。
今すぐBybitにサインアップして、暗号資産取引のための50ドルを無料で獲得しましょう
Source: https://www.cryptopolitan.com/zerobase-front-end-hacked/
