コンテンツにスキップするには Enter キーを押してください

攻撃者が暗号資産の基盤を狙う:スマートコントラクト

投稿日 2025年8月8日

青いデジタル背景にスマートコントラクトと盾のグラフィック

出典:ZinetroN(Shutterstock経由)

多くのスマートコントラクトに存在するセキュリティの脆弱性がサイバー攻撃者の恒常的な標的となる一方で、より多くのセキュリティ企業が、詐欺的または難読化されたスマートコントラクトを利用して暗号資産アカウントから資金を抜き取る詐欺に注目しています。

最新の注目すべき攻撃では、ある詐欺師がスマートコントラクト内に送金の詳細を隠し、技術に詳しくないユーザーから見えないようにすることで、アービトラージ取引で利益を得ようとした被害者から90万ドル以上を盗みました。これは、今週サイバーセキュリティ企業SentinelOneが発表した分析によるものです。これらの手口は、通常YouTube動画や他のチュートリアルで宣伝され、ユーザーが自動化ボットを作成して暗号資産価格のわずかな差から最大の利益(MEV)を得られると約束しますが、実際には被害者の暗号資産を他のアカウントに転送し、資金を抜き取ります。

この攻撃の中心となるのは、Solidityプログラミング言語で書かれた悪意のあるスマートコントラクトであり、その機能は難読化されていて、盗まれた資金を隠された外部所有アカウント(EOA)に転送します、とこの分析を執筆したSentinelOneのシニア脅威リサーチャー、Alex Delamotte氏は述べています。

「動画では、このスマートコントラクトをどのようにデプロイできるかを説明しており、動画内のリンク(通常はPastebinや類似サイト)で悪意のあるスマートコントラクトのコードが公開されています」と彼女は言います。「人々はこれらの[チュートリアル]ページを見つけ、この暗号アービトラージボットで毎日多額の利益が得られると信じてしまいます。コントラクトをデプロイした結果、資金を盗まれてしまうのです。」

この詐欺手法は、暗号資産やブロックチェーンを利用する個人や企業が、スマートコントラクトを理解し、精査することの重要性を浮き彫りにしています。2020年以降、悪意のある攻撃者はブロックチェーンの操作や暗号資産詐欺を通じて140億ドル以上を盗み出しており、SolidityScanのデータ(ブロックチェーンおよびWeb3監査企業CredShieldsが運営するデータ収集プロジェクト)によると、その被害額は増加しています。

損失の半分以上(55%)はスマートコントラクトのバグや脆弱性によるものであり、残りの45%にはプライベートキーの漏洩や「ラグプル」(暗号資産企業やスマートコントラクト管理者がコントラクトにロックされた資金を持ち逃げする事件)によるものが大きな割合を占めていると、CredShieldsのCEO兼共同創設者であり、OWASPスマートコントラクトTop-10プロジェクトの共同リーダーでもあるShashank氏は述べています。

「スマートコントラクトは不変かつ自己実行型です(意図的にアップグレード可能に設計されたものを除く)。これは強力なイノベーションであると同時に、企業にとって大きなリスクにもなります」と姓を使わないShashank氏は言います。「Web3は透明性、分散性、不変性を強調しますが、これらの特性はコーディングエラーやセキュリティの欠陥の影響を増幅させる可能性があります。」

スマートコントラクトの複雑さは依然として問題

分散型金融(DeFi)エコシステムは、スマートコントラクトだけでなく、ブロックチェーン、オラクル、鍵管理などの他の技術にも依存しており、取引の実行、ブロックチェーン上のデータ管理、異なる当事者や仲介者間の合意を可能にしています。しかし、その中核的な役割ゆえに、スマートコントラクトは攻撃の標的となり、詐欺の主要な要素にもなっています。

「スマートコントラクトの単一の脆弱性が、資金や資産の取り返しのつかない損失につながることがあります」とShashank氏は言います。「DeFi分野では、些細なミスでも壊滅的な経済的損失を招く可能性があります。しかし、危険は金銭的損失だけにとどまりません。評判の失墜も同様かそれ以上に深刻なダメージとなり得ます。」

フィンテック企業はスマートコントラクトの問題に最も脆弱であり、多くの企業がその脆弱性を突かれて資金を失っています。例えば、WazirXは2億3,000万ドル以上を失いRadiant Capitalは2度のハッキングで合計5,500万ドルの損失を被りました

しかし、金融、サプライチェーン管理、不動産など、インフラにスマートコントラクトを利用するすべての企業は、コントラクトデータや機能への不正アクセスの許可、スマートコントラクトにデータを提供するオラクルの操作、またはスマートコントラクトのロジックの弱点を突く試みなど、最も一般的な欠陥について認識しておくべきです。

ETHドレイナースマートコントラクトのスクリーンショット

資金を抜き取ったスマートコントラクトコードのスクリーンショット。出典:SentinelOne

SentinelOneの調査では、スマートコントラクトが攻撃の難読化手段として使われていました。Delamotte氏は2025年4月、2万8,000ドル相当のイーサリアムウォレットに関連する詐欺を発見し、2回目の攻撃では4.19ETH(約1万5,000ドル)が抜き取られていました。しかし詐欺師にとって最大の成功は、ビデオチュートリアルによって244.9ETH(現在約93万5,000ドル)が送金されたケースでした。

スマートコントラクトを知り、監査せよ

企業は、すべてのスマートコントラクトを詳細かつ最新の記録として管理し、すべてのコントラクトを検証し、定期的な監査を実施するべきです。スマートコントラクトや取引のリアルタイム監視は異常を検知し、潜在的な攻撃への迅速な対応を可能にするとCredShieldsのShashank氏は述べています。

「スマートコントラクト攻撃によるリスクを効果的に最小化するには、企業はセキュリティ最優先の考え方を採用し、安全な設計、積極的な防御、スマートコントラクトのライフサイクル全体にわたる継続的な監視を重視する必要があります」とShashank氏は言います。

企業はまた、人間的側面にも注意を払う必要があると、SentinelOneのDelamotte氏は述べています。

「人間の要素は常に大きなものとなります。つまり、企業がデプロイするコントラクトの種類が正当なソースから来ていること、またコントラクトの性質を監査することが重要です」と彼女は言います。「正当なビジネス用スマートコントラクトに難読化されたコードが含まれているべきではありません。」

翻訳元: https://www.darkreading.com/cyber-risk/attackers-target-crypto-smart-contracts

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です