# Web3セキュリティ事件分析:ある取引プラットフォームのコールドウォレットが重大な攻撃を受ける2025年2月21日、ある有名な取引プラットフォームのイーサリアムコールドウォレットが攻撃を受け、約401,346 ETH、15,000 cmETH、8,000 mETH、90,375 stETH、そして90 USDTが不明なアドレスに転送され、総価値は約14.6億ドルに達しました。攻撃者はフィッシング手段を使ってそのプラットフォームのマルチシグウォレットの署名者に悪意のある取引に署名させる。攻撃の手順は以下の通り:1. 攻撃者は資金移動のバックドアを含む悪意のある契約を事前に展開します。2. 改ざんされたセキュリティ管理インターフェースにより、署名者が見る取引情報と実際にハードウェイレットに送信されるデータが一致しない。3. 偽造インターフェースを通じて3つの有効な署名を取得し、マルチシグウォレットの実装コントラクトを悪意のあるバージョンに置き換え、その結果、コールドウォレットを制御し、資金を移動させる。受託して取証調査を行っているセキュリティ会社が現在発見したのは:- セキュリティ管理プラットフォームのクラウドストレージに、リソースに悪意のあるJavaScriptコードが注入されました。- コード分析は、その主な目的が署名プロセス中に取引内容を操作することであることを示しています。- 悪意のあるコードは、特定の契約アドレスでのみトリガーされるアクティベーション条件を設定します。- 悪意のある取引が実行された後、更新されたバージョンのJavaScriptリソースがアップロードされ、悪意のあるコードが削除されました。- 初期の判断では、攻撃はセキュリティ管理プラットフォームのクラウドインフラストラクチャに由来しています。- 現在のところ、この取引プラットフォーム自体のインフラが侵害された兆候は見つかっていません。! [Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか? ](https://img-cdn.gateio.im/social/moments-8d65b2a4d75fc8afaac61f7d9d272cad)既存の情報を見ると、フロントエンドは主要な問題ではなく、重要なのはクラウドストレージサービスが侵入されてJavaScriptが改ざんされたことです。しかし、セキュリティ管理プラットフォームのフロントエンドが基本的な完全性検証を実施していれば、JavaScriptが変更されてもこれほど深刻な結果を引き起こすことはなかったでしょう。もちろん、取引プラットフォームもその責任を免れることはできません。ハードウェアウォレットが具体的な取引情報を表示しない状態で確認を行ったため、セキュリティ管理プラットフォームのフロントエンドへの信頼自体にリスクが存在します。ハードウェアウォレットは複雑な取引を処理する際に限界があり、マルチシグウォレットの詳細な取引データを完全に解析・表示できないため、署名者が取引内容を完全に確認せずに「ブラインドサイン」を行うことになります。! [Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか? ](https://img-cdn.gateio.im/social/moments-2361c684ee13a28384521318c2a41aea)ハッカーは、UIハイジャック、詐欺署名、ブラインド署名の利用、Permit署名の濫用、TransferFromゼロ転送フィッシング、末尾が同じエアドロップ詐欺、NFTフィッシングなど、インタラクションプロセスの設計欠陥を利用してユーザーの資産を騙し取ることに長けています。Web3技術の発展に伴い、フロントエンドのセキュリティとブロックチェーンのセキュリティの境界がますます曖昧になっています。従来のフロントエンドの脆弱性はWeb3のシーンで新しい攻撃の次元を与えられ、スマートコントラクトの脆弱性やプライベートキーの管理欠陥などの問題がリスクをさらに拡大させています。! [Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか? ](https://img-cdn.gateio.im/social/moments-6dc2dd1212c515b2b9a441f96056d74a)## 取引パラメータの改ざん:インターフェースは送金を表示しますが、実際には承認を実行しますユーザーはウォレットポップアップで「0xUserに1 ETHを転送する」と表示されますが、実際のチェーン上で実行されるのは「approve(attacker, unlimited)」であり、資産はいつでも移動される可能性があります。ソリューション:EIP-712構造化署名検証1. フロントエンドで検証可能なデータを生成2. スマートコントラクトの署名検証このように、フロントエンドのパラメータの改ざんはすべて署名の不一致を引き起こし、取引は自動的にロールバックされます。! [Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか? ](https://img-cdn.gateio.im/social/moments-7459ae123ad754ab26d265aa5c612554)## ブラインドサインハイジャック: ハードウェアウォレットが攻撃された理由攻撃者はフロントエンドのコードをハイジャックし、ハードウェアウォレットに偽のcalldataを送信する可能性があります。ハードウェアウォレットの画面には正常な取引情報が表示されますが、実際に実行されるのは"approve(attacker, unlimited)"です。ソリューション: ハードウェアウォレットの意味解析 + チェーン上の二次検証1. ハードウェアウォレットのファームウェアをEIP-712に対応させる2. チェーン上の強制セマンティックマッチング! [Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか? ](https://img-cdn.gateio.im/social/moments-c2097f94873e8dd960c76f6a66677f53)## まとめフロントエンドのセキュリティとWeb3のセキュリティの統合は、挑戦であると同時に機会でもあります。この事件は、暗号通貨業界におけるセキュリティ管理と技術アーキテクチャの深刻な問題を露呈しました。業界は、デバイスのセキュリティ、取引の検証、リスク管理メカニズムなど、さまざまな面から防御能力を全面的に向上させる必要があります。これにより、ますます複雑化する脅威に対応することができます。フロントエンド開発は、DAppへのアクセス、ウォレットの接続、メッセージ署名、取引署名、取引後の処理などの各段階で繰り返し検証を行い、「受動的修正」から「能動的免疫」への飛躍を実現する必要があります。このようにして初めて、Web3のオープンな世界の中で、すべての取引の価値と信頼を守ることができます。! [Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか? ](https://img-cdn.gateio.im/social/moments-740aeb7db597b7e46d23b958f7ad918c)もちろん、オンチェーン契約のセキュリティ監査はすべてのDappにとって不可欠です。AI支援のセキュリティスキャンツールは、形式検証と人工知能によるセキュリティ規範の支援を通じてコードの正確性を確保し、大量のデプロイされた契約のコード類似性と知的財産リスク分析を提供し、24時間体制で監視し、プロジェクトに影響を与える可能性のあるゼロデイ脆弱性やセキュリティイベントを即座に通知します。一部のツールは、大規模な脆弱性データベースを最適化したAIモデルを備えており、スマートコントラクトのさまざまな実際の脆弱性を検出するために使用されます。! [Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか? ](https://img-cdn.gateio.im/social/moments-10f36747a8c10ec675545d45b3dfd8dc)
Web3プラットフォームが14.6億ドルのコールドウォレット攻撃を受け、フロントエンドの安全性が焦点となる
Web3セキュリティ事件分析:ある取引プラットフォームのコールドウォレットが重大な攻撃を受ける
2025年2月21日、ある有名な取引プラットフォームのイーサリアムコールドウォレットが攻撃を受け、約401,346 ETH、15,000 cmETH、8,000 mETH、90,375 stETH、そして90 USDTが不明なアドレスに転送され、総価値は約14.6億ドルに達しました。
攻撃者はフィッシング手段を使ってそのプラットフォームのマルチシグウォレットの署名者に悪意のある取引に署名させる。攻撃の手順は以下の通り:
受託して取証調査を行っているセキュリティ会社が現在発見したのは:
! Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか?
既存の情報を見ると、フロントエンドは主要な問題ではなく、重要なのはクラウドストレージサービスが侵入されてJavaScriptが改ざんされたことです。しかし、セキュリティ管理プラットフォームのフロントエンドが基本的な完全性検証を実施していれば、JavaScriptが変更されてもこれほど深刻な結果を引き起こすことはなかったでしょう。もちろん、取引プラットフォームもその責任を免れることはできません。ハードウェアウォレットが具体的な取引情報を表示しない状態で確認を行ったため、セキュリティ管理プラットフォームのフロントエンドへの信頼自体にリスクが存在します。
ハードウェアウォレットは複雑な取引を処理する際に限界があり、マルチシグウォレットの詳細な取引データを完全に解析・表示できないため、署名者が取引内容を完全に確認せずに「ブラインドサイン」を行うことになります。
! Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか?
ハッカーは、UIハイジャック、詐欺署名、ブラインド署名の利用、Permit署名の濫用、TransferFromゼロ転送フィッシング、末尾が同じエアドロップ詐欺、NFTフィッシングなど、インタラクションプロセスの設計欠陥を利用してユーザーの資産を騙し取ることに長けています。
Web3技術の発展に伴い、フロントエンドのセキュリティとブロックチェーンのセキュリティの境界がますます曖昧になっています。従来のフロントエンドの脆弱性はWeb3のシーンで新しい攻撃の次元を与えられ、スマートコントラクトの脆弱性やプライベートキーの管理欠陥などの問題がリスクをさらに拡大させています。
! Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか?
取引パラメータの改ざん:インターフェースは送金を表示しますが、実際には承認を実行します
ユーザーはウォレットポップアップで「0xUserに1 ETHを転送する」と表示されますが、実際のチェーン上で実行されるのは「approve(attacker, unlimited)」であり、資産はいつでも移動される可能性があります。
ソリューション:EIP-712構造化署名検証
このように、フロントエンドのパラメータの改ざんはすべて署名の不一致を引き起こし、取引は自動的にロールバックされます。
! Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか?
ブラインドサインハイジャック: ハードウェアウォレットが攻撃された理由
攻撃者はフロントエンドのコードをハイジャックし、ハードウェアウォレットに偽のcalldataを送信する可能性があります。ハードウェアウォレットの画面には正常な取引情報が表示されますが、実際に実行されるのは"approve(attacker, unlimited)"です。
ソリューション: ハードウェアウォレットの意味解析 + チェーン上の二次検証
! Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか?
まとめ
フロントエンドのセキュリティとWeb3のセキュリティの統合は、挑戦であると同時に機会でもあります。この事件は、暗号通貨業界におけるセキュリティ管理と技術アーキテクチャの深刻な問題を露呈しました。業界は、デバイスのセキュリティ、取引の検証、リスク管理メカニズムなど、さまざまな面から防御能力を全面的に向上させる必要があります。これにより、ますます複雑化する脅威に対応することができます。フロントエンド開発は、DAppへのアクセス、ウォレットの接続、メッセージ署名、取引署名、取引後の処理などの各段階で繰り返し検証を行い、「受動的修正」から「能動的免疫」への飛躍を実現する必要があります。このようにして初めて、Web3のオープンな世界の中で、すべての取引の価値と信頼を守ることができます。
! Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか?
もちろん、オンチェーン契約のセキュリティ監査はすべてのDappにとって不可欠です。AI支援のセキュリティスキャンツールは、形式検証と人工知能によるセキュリティ規範の支援を通じてコードの正確性を確保し、大量のデプロイされた契約のコード類似性と知的財産リスク分析を提供し、24時間体制で監視し、プロジェクトに影響を与える可能性のあるゼロデイ脆弱性やセキュリティイベントを即座に通知します。一部のツールは、大規模な脆弱性データベースを最適化したAIモデルを備えており、スマートコントラクトのさまざまな実際の脆弱性を検出するために使用されます。
! Web3史上最大のハッキング窃盗はフロントエンド開発の鍋ですか?