見出し画像

30万円($2100USDC)を盗まれた話

毎日瀕死マン

仮想通貨5年生毎日瀕死マンです。
今日は3時間ほど前にお金を盗まれた話です。
厳密に計算すると$2150は32万円ぐらいですが気にしないでおきましょう。
詐欺の情報を扱いますのでアクセスしないようにご注意ください


USDCを盗まれた!

偽サイトへのアクセス

明け方5時ごろ、いつものように調べ物をしていました。
DYDXの事例調査のために過去のエアドロの記事を探そうとしてググると…それっぽいMediumがGoogle最上位に表示されています。

アクセスしないようにお願いします

Googleの1ページ目最上部ですが

この2つともスキャム(詐欺)です

これ以外にもある可能性があるので検索しないようにお願いします。
(Googleには報告済)

誘導サイト(Medium)

まず見落としなのですが、怪しいアイコンの記事であることを見落としていました

  • Google上位であること

  • 拍手数が多かった

この2点で公式サイトの投稿かと誤認していました。
雰囲気で信任していることが第一の失敗でした

怪しいアドレスのサイトにつながる

公式サイトにつなげてみると怪しいサイトに繋がりました、
アドレスがDYDXではなく末尾になんかついてます。
ここも認識していました。
エアドロなのでそれ用のページの可能性もあるのかなぐらいに思っていました。
ちょっとポジティブシンキングですね。
公式のMediumから入っているという誤認が非常に悪かったです。
怪しすぎてやんわり公式のMediumが書き換えられてるのではないか?とすら思ってました。

警戒レベルは上げていたもののウォレットの接続までは大丈夫だろうと接続。
1回署名をしてしまいました。

メインネットとArbitrumを行き来させられておかしいな?とは思っていました。
利用していたウォレットはメタマスクです。

ETHの転送の承認可否がでてきて問題に気づく

ETHの送金の確認がでてきて問題が大きそうなことに気づきました。
その時点でサイトを切断し、Revokeにうつります。
署名被害の典型であるOpenseaのSeaportを利用する署名だと思ったため高価なNFTのRevokeの確認をはじめました
(所有している物は普段からRevokeしていたため、ここは被害がありませんでした)。

Mediumを再度確認して公式サイトですらないことに気づきました

誰やねん暗号エアドロップ!!!
(ちなみにMediumは2時間後にはアクセスできなくなっており、短期で作っては消してる?)

Debankでトランザクション確認すれば早いのでは?
と確認開始
Arbitrum経由でUSDCの送金をしていること確認。

原因は Permit Phishing

プロの説明はこちらにございます
https://slowmist.medium.com/examining-permit-signatures-is-phishing-of-tokens-possible-via-off-chain-signatures-bfb5723a5e9
(監査会社のSlowmistのページです)

やらかしのトランザクション

僕はおそらく署名ではなく、Approveをしていたのか?という前提で見てたのですがApproveはしていなそうでした。

僕の方のトランザクションはRevokeからスタートしてます。
盗まれたトランザクションをおってみると

Permit関数から始まってます。
中身を見てみると

ハッカーのアドレスが僕のアドレスのUSDCを操作する権限を要求していて
無期限に無限に操作させろの要求を
署名で承認してしまったようです。

もう終わりだよ僕のUSDC

送金のトランザクションも
ハッカーから僕のアドレスに命令してハッカーがガスを払ってます。

署名から盗まれることあるんだあ!!!!!!!

対策として行ったこと

①Revoke
https://revoke.cash/ja/
該当のコントラクトの承認を取り消しました。
(わからなければ日付で絞り込んで消すか、全部Revokeでいいと思います)
同時に高価なNFTへの承認がないか、無事かを確認しました。
被害が出てからでないと気づきにくいため他のチェーンも承認がないことを確認しました。
(自分の署名した回数と署名されているものがあっているか不安だったので)
もう、ブロックチェーンはチェーン多すぎでしょ、何個あるの。
これで大丈夫な認識なのですがUSDCをおいてみて様子を観察してます。
おとり捜査です。

②PCのキャッシュのクリア
ブラウザの情報をクリアしました。

③署名内容をよく見る
反省点ですがちゃんと見ていればわかるような内容だったと思います。
そのため署名の危険性を認識して署名をよく見る、
正直いつもよく見れるとは限らないのでMetamaskを捨ててRabby等セキュリティがついているものにかえる
が必要かと感じました。

④古い情報は場合によってはアクセスしない
僕の中ではGoogleで得られる情報の信認が下がったように思います。
特に古い情報は、過去に優位だった情報よりもスキャムが優先されて表示されてる可能性もあるかなと思いました。
対策として日本語情報だけにアクセスするのもいいかもしれません。

まとめ

ちゃんとよく見ないと署名でも盗まれるんだなと思いました
自分が明確に食らったと感じたのは3回目です。
①NFTが始まったばかりの時、謎NFTのミントで送金トランザクションだった
②MONOXのハッキング
③今回の
つらい!!!!

去年の段階でPermit Phishingは指摘されていて
今年の5月の段階でSlowmistも記事化していました。
署名で被害にあうケースがあるというのは記憶してたんですが
被害にあってみて動きを把握して初めて危険性がわかりますね。
ですのでご覧になっている方は合わないように気を付けてください…。

僕は毎日注意深く行動できる自信がないのでウォレットを変えるで対応したいなと思いました!
冗談みたいな話なんですが

1日前に$4000USDCをUSDTに変換して出してたんですよね。
USDCで持ってたらこちらも被害を受けてた可能性が高く危なかったやつでした。ギリギリ致命傷で助かったぜ!

書いた人:ネオエクスデス瀕死(@viwashi_)

この記事が気に入ったらサポートをしてみませんか?