ある暗号投資家は、過去の最大の社会工学詐欺の一つである事件で、 783 ビットコイン、91億円以上の価値を失ったと報じられました。 8月19日の事件は、オンチェーン調査員ZachXBTにより明らかにされ、 経験豊富なユーザーであっても暗号セキュリティには依然とした人間の脆弱性があることを示しています。
おもに暗号の見出しはスマートコントラクトの脆弱性や取引所の侵害に焦点を当てていますが、 この最新の攻撃は、 詐欺師が信頼を操ることで複雑なシステムを回避する方法の教科書的な例です。
この件では、攻撃者は暗号交換所とハードウェアウォレットの両方のカスタマーサポートを装い、 技術的援助の名目で被害者に機密情報を渡すよう説得したとされています。
攻撃の規模は、これまでで最も大規模な社会工学による暗号盗難の一つとされており、 セキュリティチェーンの最も弱いリンクがコードではなく人間の行動であることを改めて思い知らせます。
91億円の強奪:これまでにわかっていること
事件が明るみに出たのは、匿名のブロックチェーン探偵ZachXBTが 大量のBTCが急に動き出したことを報告したときです。 オンチェーンデータと8月21日のZachXBTのツイートによれば、 盗まれた783 BTCは侵害の直後に移動され、 多くの資金がWasabi Walletに投入されました。 Wasabi Walletは、プライバシーを強化するためのビットコインミキシングサービスです。
「最近、ある被害者が社会工学詐欺で783 BTC(約91億円)を失いました。 資金は今週中にWasabi経由で移動されています」と、 ZachXBTは彼のX(旧Twitter)に書きました。
被害者の身元は明かされていませんが、盗難の規模から 対象は資産家または機関投資家である可能性が高いとされています。 攻撃者のアプローチは、取引所の担当者とハードウェアウォレットの技術者の両方を 装い、信頼と混乱を利用するように慎重に設計されていたようです。
詐欺は多層のなりすましとフィッシング手法を含んでおり、 攻撃者が接触を開始し、徐々に被害者を説得して重要な認証情報を開示させたと 報じられています。おそらくプライベートキーやシードフレーズを含んでいます。
社会工学とは何か - なぜそれが危険なのか
社会工学攻撃はシステムに侵入するのではなく、 人々を操って自らアクセスを提供させることに頼っています。 暗号の世界でこれが取る形は以下のようなものです:
- ユーザーに「アカウントの問題」を抱える技術サポートの偽物が接触
- Discord、Telegram、またはメールでのチームメンバーやウォレットプロバイダーを装う
- 信頼できそうな企業による悪意のあるリンクやダウンロードの送信
- 実際のスタッフを模倣するディープフェイクまたはボイスフィッシング(vishing)
強制侵入型のハックやスマートコントラクトの脆弱性と異なり、 社会エンジニアリングは技術的な侵入を必要とせず、 発見されにくいです。特に暗号の取引は不可逆であるため、 資金が移されると、取り戻すのはほぼ不可能になります。 特にWasabiのようなプライバシーツールやChipMixer、 Tornado Cashといったミキサーを通じて資金が洗浄される場合にはなおさらです。
歴史は繰り返す:2024年のジェネシスハックの響き
今週の91億円の強盗は、前年に起こった 同様の大規模な詐欺事件からほぼ正確に1年後に起こりました。 その事件では、攻撃者はジェネシスの債権者から 社会工学手法を用いて243億円を盗みました。 その際、攻撃者は信頼できる管理者を装い、 ユーザーに悪意のある取引に署名させたり、シードフレーズを渡させたりしました。
一部のセキュリティアナリストの間で、 大規模な詐欺が重要な日付に合わせて戦略的に行われる可能性があるとの 見方が浮上しています。過去の攻撃の記念日や、 主要な市場イベント、プロトコルのアップグレード時に 注意力や認知過負荷が低下することがあります。
暗号業界はコールドストレージ、マルチシグウォレット、 ハードウェアデバイス、バイオメトリックアクセスの分野で 重要な進展を遂げてきましたが、 これらのツールのどれも人間のレイヤーに対して 十分な保護を提供するものではありません。 ChainalysisとCertiKのデータによると、 2024年の主要な暗号損失の25%以上が社会工学に起因しており、 スマートコントラクトのバグに次いで2番目です。
そして被害者は初心者だけではありません。 「私たちは洗練された投資家がこれらの詐欺に引っかかるのを見ています」と サイバーセキュリティ専門家のクリス・ブレックは言います。 「偽者たちはしばしば忍耐強く、情報が豊富で、 心理操作に巧みです。彼らは推測でパスワードを解読しているわけではありません。 彼らは信頼を得ているのです。」
投資家にとっての警戒心と教訓
この最新の事件は、警戒心、懐疑心、検証プロトコルの 必要性についての冷たい教訓となっています。専門家は以下のベストプラクティスを 推奨しています:
- シードフレーズやプライベートキーを共有しない - これを要求する正当なサービスは存在しません。
- サポートの連絡先を独立して確認する - DMやメールで送られたリンクではなく、公式ウェブサイトを使用する。
- すべての送金に対してトランザクションホワイトリストと ハードウェアウォレットプロンプトを有効にする。
- マルチシグセットアップを使用し、1人の当事者だけでは資金を移動できないようにする。
- チームメンバーや家族を教育する - 特に共有または機関ウォレットの管理に関与する場合。
ウォレットプロバイダー、取引所、DeFiプラットフォームも責任を負います。 多くのプラットフォームはサポートなりすまし警告や リアルタイムの詐欺アラートを実装し、 これらの事件を防ぐためのユーザー教育キャンペーンを行っています。 しかし、このケースが示すように、さらなる努力が必要です。
プライバシーツールが回収努力を複雑にする理由
盗まれた暗号を回収する上で最大の課題の一つは、 プライバシーウォレットやミキサーによる難読化です。 このケースでは、盗まれたBTCの多くがWasabi Walletに送られました。 Wasabi Walletでは、CoinJoinというミキシングプロトコルを使用して 複数のユーザーの取引をブレンドし、追跡不能にします。
プライバシーツールは、活動家の資金を保護したり、 監視からユーザーの身元を守るなど、正当な目的に役立ちますが、 不正な資金を洗浄したり、ブロックチェーンの法医学を複雑にするのにも使われ得ます。
その結果、攻撃者がミスを犯したり、 規制された取引所を通じてキャッシュアウトを試みない限り、 法執行機関は盗まれた暗号を追跡または凍結する上で 深刻な制約を抱えています。
ZachXBTの継続的なモニタリングは下流の動きを追跡する助けに なりうるかもしれませんが、 実世界の身元や取引所のKYCの関与がない限り、 回収の可能性は低いままです。
業界の対応:教育、UX、およびAI駆動の詐欺検出
攻撃を受けて、セキュリティ専門家らは再びユーザーオンボーディングの 改善を呼びかけています。フィッシングシミュレーションや インタラクティブなチュートリアル、資金が侵害される前に 疑わしい行動をフラグするAI駆動の詐欺検出システムなどです。
Ledger、Trezor、Coinbase、MetaMaskのような企業は リアルタイムの詐欺アラート、フィッシングブラックリストの統合、 およびインウォレットサポートの検証を組み込み始めています。 ただし、これらのシステムの多くはオプションであり、まだ完全ではありません。
一部は将来のプロトコルに分散型のアイデンティティレイヤーと ウォレット評判を構築することを提案しています。 ユーザーが公式のサポートエージェントを検証するか、 ウォレットアドレスの信頼スコアを確立できるようにするためです。 しかし、これらはまだ初期開発段階にあります。
最終的な考察
社会エンジニアリング攻撃で783 BTCを失ったことは、 暗号のセキュリティが単なる技術的なものではなく、 深く人間的なものであることを示す最大かつ 最も感慨深い思い出の一つです。 Web3の採用が進むにつれて、詐欺の高度化も並行して進化します。
コード監査、マルチシグセットアップ、プライバシーレイヤーは 重要ですが、最も重要な防御策となるのは教育と懐疑心です。 許可不要で不可逆の金融システムでは、一瞬の判断ミスが 一生の貯蓄を消し去る可能性があります。
業界がユーザーを自分自身から守るより良い方法を見つけるまでは、 社会エンジニアリングは暗号の最も持続的な脅威であり続けるでしょう。