「更新」前に確認すべきこと

オンチェーンセキュリティ研究者のZachXBTは、複数のEVMチェーンにわたる数百のウォレットが被害者1人あたり通常2,000ドル未満の少額で流出され、単一の不審なアドレスに集約されていることを指摘しました。

盗難総額は107,000ドルを超え、増加し続けています。根本原因はまだ不明ですが、ユーザーは強制アップグレードを装ったフィッシングメールを受信したと報告しており、パーティーハットをかぶったキツネのロゴと「Happy New Year!」という件名が含まれていました。

この攻撃は、開発者が休暇中で、サポートチャネルが最小限の人員で運営され、ユーザーが新年のプロモーションで溢れた受信トレイをスクロールしているときに到着しました。

攻撃者はその隙を突きます。被害者1人あたりの金額が少ないことは、多くの場合、ドレイナーがシードフレーズの完全な侵害ではなくコントラクトの承認で動作していることを示唆しており、これにより個々の損失は被害者がすぐに警告を発する閾値を下回りますが、攻撃者は数百のウォレットに規模を拡大できます。

業界は、Chrome拡張機能v2.68の悪意のあるコードが秘密鍵を収集し、Trust Walletがv2.69にパッチを適用する前に2,520のウォレットから少なくとも850万ドルを流出させた別のTrust Walletブラウザ拡張機能インシデントをまだ処理しています。

2つの異なる攻撃、同じ教訓:ユーザーエンドポイントが最も弱いリンクであり続けています。

機能するフィッシングメールの解剖

メタマスクをテーマにしたフィッシングメールは、これらの攻撃が成功する理由を示しています。

送信者IDには「MetaLiveChain」と表示されており、これは漠然とDeFiに隣接しているように聞こえますが、メタマスクとは何の関係もありません。

メールヘッダーには「[email protected]」の配信停止リンクが含まれており、攻撃者が正規のマーケティングキャンペーンからテンプレートを持ち出したことが明らかになります。本文には、パーティーハットをかぶったメタマスクのキツネのロゴが掲載されており、季節の喜びと「強制アップグレード」についての作られた緊急性が混ざり合っています。

その組み合わせは、ほとんどのユーザーが明白な詐欺に適用するヒューリスティックを回避します。

フィッシングメールは、パーティーハットをかぶったキツネのロゴでメタマスクになりすまし、アカウントアクセスには「強制」の2026年システムアップグレードが必要であると虚偽の主張をしています。

メタマスクの公式セキュリティドキュメントは明確なルールを確立しています。サポートメールは、[email protected]などの認証済みアドレスからのみ送信され、第三者認証ドメインからは送信されません。

ウォレットプロバイダーは、認証またはアップグレードを要求する一方的なメールを送信しません。

さらに、担当者がシークレットリカバリーフレーズを尋ねることは決してありません。しかし、これらのメールは、ユーザーが知的に知っていることと、公式に見えるメッセージが到着したときに反射的に行うこととの間のギャップを利用するため、機能します。

4つのシグナルが被害が発生する前にフィッシングを暴露します。

第一に、ブランドと送信者の不一致、「MetaLiveChain」からのメタマスクブランディングはテンプレート盗用のシグナルです。第二に、メタマスクが明示的に送信しないと述べている強制アップグレードに関する作られた緊急性。

第三に、主張されたドメインと一致しない宛先URL、クリックする前にホバーすると実際のターゲットが明らかになります。第四に、シードフレーズを求めたり、不透明なオフチェーンメッセージの署名を促したりするなど、コアウォレットルールに違反するリクエスト。

ZachXBTのケースは、署名フィッシングの仕組みを示しています。偽のアップグレードリンクをクリックした被害者は、ドレイナーにトークンを移動する許可を与えるコントラクト承認に署名した可能性があります。

その単一の署名が、複数のチェーンにわたる継続的な盗難への扉を開きました。攻撃者がウォレットごとに少額を選択したのは、コントラクトの承認がデフォルトで無制限の支出上限を持つことが多いためですが、すべてを流出させるとすぐに調査がトリガーされます。

被害者1人あたり2,000ドルで数百人に盗難を分散させることで、個人のレーダーの下を飛びながら6桁の総額を蓄積します。

承認の取り消しと被害範囲の縮小

フィッシングリンクがクリックされるか、悪意のある承認が署名されると、優先順位は封じ込めに移ります。メタマスクは現在、ユーザーがメタマスクポートフォリオ内で直接トークンの許可を表示および取り消すことができます。

Revoke.cashは、ユーザーを簡単なプロセスに導きます:ウォレットを接続し、ネットワークごとに承認を検査し、信頼できないコントラクトの取り消しトランザクションを送信します。

EtherscanのToken Approvalsページは、ERC-20、ERC-721、およびERC-1155承認の手動取り消しのために同じ機能を提供します。これらのツールが重要なのは、迅速に行動する被害者がすべてを失う前にドレイナーのアクセスを遮断できるからです。

承認の侵害とシードフレーズの侵害の区別は、ウォレットを救済できるかどうかを決定します。メタマスクのセキュリティガイドは厳しい線を引いています:シークレットリカバリーフレーズが露出したと疑われる場合は、そのウォレットの使用を直ちに停止してください。

新しいデバイスで新しいウォレットを作成し、残りの資産を振替し、元のシードを永久に焼却されたものとして扱います。承認の取り消しは、攻撃者がコントラクトの許可のみを保持している場合に役立ちます。シードがなくなった場合、ウォレット全体を放棄する必要があります。

Chainalysisは、2025年に少なくとも80,000人に影響を与える約158,000件の個人ウォレット侵害を記録しましたが、盗まれた総額は約7億1,300万ドルに減少しました。

Chainalysisのデータによると、個人ウォレットの損失は、暗号資産盗難全体のシェアとして2022年の約10%から2025年には25%近くまで上昇しました。

攻撃者は、より多くのウォレットをより少ない金額で攻撃します。これはZachXBTが特定したパターンです。実用的な意味:被害範囲を制限するためにウォレットを整理することは、フィッシングを避けることと同じくらい重要です。

単一の侵害されたウォレットは、ポートフォリオ全体の損失を意味すべきではありません。

多層防御の構築

ウォレットプロバイダーは、採用されていればこの攻撃を封じ込めていた機能を提供しています。

メタマスクは現在、デフォルトの「無制限」許可を受け入れるのではなく、トークン承認に支出上限を設定することを奨励しています。Revoke.cashとDe.FiのShieldダッシュボードは、長期保有のためのハードウェアウォレットの使用と並んで、承認レビューを日常的な衛生として扱うことを提唱しています。

メタマスクは、デフォルトでBlockaidからのトランザクションセキュリティアラートを有効にし、署名が実行される前に不審なコントラクトにフラグを立てます。

Trust Wallet拡張機能インシデントは、多層防御の必要性を強化します。その攻撃はユーザーの決定を回避し、公式のChromeリストの悪意のあるコードが自動的にキーを収集しました。

ハードウェアウォレット（コールドストレージ）、ソフトウェアウォレット（ウォームトランザクション）、およびバーナーウォレット（実験的プロトコル）に保有を分離したユーザーは、エクスポージャーを制限しました。

その3層モデルは摩擦を生み出しますが、摩擦こそが要点です。バーナーウォレットを捕らえるフィッシングメールは数百ドルまたは数千ドルの費用がかかります。ポートフォリオ全体を保持する単一のウォレットに対する同じ攻撃は、人生を変えるお金の費用がかかります。

ZachXBTドレイナーが成功したのは、利便性とセキュリティーの間の継ぎ目を標的にしたためです。ほとんどのユーザーは、複数のウォレットを管理することが面倒に感じられるため、すべてを1つのメタマスクインスタンスに保管しています。

攻撃者は、元旦のプロフェッショナルに見えるメールが、収益性のあるボリュームを生み出すために十分な人々を不意を突くことに賭けました。その賭けは報われ、107,000ドル以上になりました。

メタマスクの公式ガイダンスは、3つのフィッシングの危険信号を特定しています:間違った送信者アドレス、一方的な緊急アップグレード要求、およびシークレットリカバリーフレーズまたはパスワードの要求。

何が危機に瀕しているか

このインシデントは、より深い問題を提起します:自己管理の世界におけるエンドポイントセキュリティーの責任は誰が負うのでしょうか?

ウォレットプロバイダーはフィッシング対策ツールを構築し、研究者は脅威レポートを公開し、規制当局は消費者に警告します。しかし、攻撃者は偽のメール、クローンされたロゴ、およびドレイナーコントラクトだけで数百のウォレットを侵害する必要がありました。

自己管理、許可のないトランザクション、仮名アドレス、および不可逆的な振替を可能にするインフラストラクチャも、それを容赦ないものにします。

業界はこれを教育問題として扱います:ユーザーが送信者アドレスを確認し、リンクにホバーし、古い承認を取り消せば、攻撃は失敗するでしょう。

しかし、Chainalysisの158,000件の侵害に関するデータは、教育だけでは規模が拡大しないことを示唆しています。攻撃者はユーザーが学ぶよりも速く適応します。メタマスクのフィッシングメールは、粗雑な「Your wallet is locked!」テンプレートから洗練された季節的キャンペーンに進化しました。

Trust Wallet拡張機能の攻撃は、流通チャネルが侵害された場合、注意深いユーザーでさえ資金を失う可能性があることを証明しました。

機能するもの:重要な保有のためのハードウェアウォレット、容赦ない承認取り消し、リスクプロファイルによるウォレットの分離、およびウォレットプロバイダーからの一方的なメッセージに対する懐疑論。

機能しないもの:ウォレットインターフェースがデフォルトで安全であると仮定すること、承認を一度きりの決定として扱うこと、または利便性のためにすべての資産を単一のホットウォレットに統合すること。ZachXBTドレイナーは、アドレスにフラグが立てられ、取引所が入金を凍結するため、シャットダウンされます。

しかし、別のドレイナーが来週、わずかに異なるテンプレートと新しいコントラクト
アドレスで起動します。

このサイクルは、ユーザーが暗号資産の利便性が最終的に攻撃される攻撃面を作り出すことを内面化するまで続きます。選択肢はセキュリティーと使いやすさの間ではなく、今の摩擦と後の損失の間です。