
フィッシング攻撃を阻止:OKX Web3ウォレットの4大リスク取引ブロック機能を完全解説
TechFlow厳選深潮セレクト

フィッシング攻撃を阻止:OKX Web3ウォレットの4大リスク取引ブロック機能を完全解説
本稿は、OKX Web3ウォレットの最新アップデートで追加された4つのリスク取引ブロック機能が適用されるシーンを明確にすることを目的としています。同時に、一部の盗難事例の動作原理についても解説します。
Scam Snifferが発表した2024年中間報告によると、2024年前半だけでEVMチェーン上で26万人の被害者が発生し、合計3.14億ドルを失った。そのうち20人は一人あたり100万ドル以上を損失している。特に一人のユーザーは1100万ドルを失っており、史上2番目の大規模な盗難被害となっている。
同報告書によると、現在のERC20トークン盗難の多くは「フィッシング署名」によるもので、代表的な例としてPermit、IncreaseAllowance、Uniswap Permit2などが挙げられる。また、大規模な盗難事件の多くはStaking、Restaking、Aaveでの担保提供、Pendleトークンに関連している。多くの被害者は偽のTwitterアカウントによるフィッシングコメントを通じて悪意あるサイトへ誘導されている。
フィッシング攻撃は依然として、ブロックチェーン上のセキュリティ問題における最大のリスクである。
ユーザーの基本的な取引ニーズに対応するエントリーレベル製品として、OKX Web3ウォレットはセキュリティ対策の強化とユーザー教育に注力している。製品面では、最近頻繁に発生するフィッシングシナリオに焦点を当て、リスク取引の遮断機能をアップグレードした。今後も継続的に新たなリスクシナリオの識別を強化し、ユーザーへの警告を拡充していく予定だ。
本稿では、OKX Web3ウォレットが最新でアップデートした4つのリスク取引遮断機能が適用される具体的なシーンを解説するとともに、一部の盗難事例の仕組みについても紹介し、読者の皆様の参考になれば幸いである。
1. 悪意あるEOAアカウントへの承認
6月26日、あるユーザーが偽Blastフィッシングサイトで複数の悪意ある署名を行い、21.7万ドルを失った。7月3日、ZachXBTはアドレス0xD7b2がFake_Phishing 187019のフィッシング攻撃を受け、約100万ドル相当の6体のBAYC NFTおよび40枚のBeansを失ったことを報告。さらに7月24日には、あるPendleユーザーが複数のPermit署名により、約469万ドル相当のPENDLEPT再ステーキングトークンを1時間以内に盗まれた。
ここ2か月間で、さまざまな署名フィッシングによって引き起こされた損失事件およびその金額は決して少なくなく、これはすでにセキュリティ事故が多発する主要なシナリオとなっている。ほとんどのケースでは、攻撃者がユーザーを誘導して自身のEOAアカウントに承認させることにある。
悪意あるEOAアカウントへの承認とは、一般的にハッカーが各種特典キャンペーンなどを装い、ユーザーに特定のEOAアドレスに対して承認署名を行うよう誘導することを指す。
EOA(Externally Owned Account)は「外部所有アカウント」とも訳され、主にイーサリアムベースのブロックチェーンネットワーク上に存在するアカウントタイプの一つである。もう一方のアカウントタイプであるコントラクトアカウント(Contract Account)とは異なり、EOAはユーザーが直接所有し、スマートコントラクトによって制御されていない。通常、ユーザーがチェーン上で取引を行う際は、プロジェクト側のスマートコントラクトアカウントに権限を与えるべきであり、個人が所有するEOAアカウントに権限を与えるべきではない。
現在、主な承認方法は3種類ある。
Approve:ERC-20トークン標準に存在する一般的な承認方式。第三者(例:スマートコントラクト)がトークン保有者の名義で一定量のトークンを使用できるように許可する。ユーザーはあらかじめ特定のスマートコントラクトに一定数量のトークンを承認しておく必要があり、その後そのコントラクトは任意のタイミングでtransferFrom関数を呼び出してこれらのトークンを移転できる。もし誤って悪意あるコントラクトに承認を行ってしまうと、その承認されたトークンは即座に移転される可能性がある。なお、被害者のウォレットアドレスではApproveの承認履歴を確認できる。
Permit:ERC-20標準に基づく拡張型承認方式。スマートコントラクトの直接呼び出しではなく、メッセージ署名によって第三者にトークン使用を許可する。つまり、ユーザーは署名によって他人が自分のTokenを移転することを承認できる。攻撃者はこの方法を利用して攻撃を行うことができ、例えばログインボタンをPermitに置き換えたフィッシングサイトを作成することで、簡単にユーザーの署名を取得できる。
Permit2:これはERC-20の標準機能ではなく、Uniswapがユーザー利便性のために導入した仕組み。これにより、Uniswapのユーザーは一度だけGas手数料を支払えば済むようになる。ただし注意が必要なのは、Uniswapを利用しており、かつ無限額の承認を行っている場合、Permit2フィッシング攻撃の標的となる可能性があるということだ。
PermitおよびPermit2はオフライン署名方式であり、被害者のウォレットアドレスはGasを支払う必要がない。攻撃者側のウォレットアドレスが承認のオンチェーン処理を行うため、これらの署名の痕跡は攻撃者側のウォレットアドレスでのみ確認できる。現在、PermitおよびPermit2署名フィッシングはWeb3資産セキュリティ分野において最も深刻な問題の一つとなっている。
このシナリオにおいて、OKX Web3ウォレットの遮断機能はどのように作用するのか?
OKX Web3ウォレットは、署名待ちのトランザクションを事前に解析し、それが承認行為であり、かつ承認先アドレスがEOAアドレスである場合、ユーザーに警告を表示してフィッシング攻撃による資産損失を防ぐ。

2. 悪意あるアカウントOwnerの変更
悪意あるアカウントOwnerの変更は、TRONやSolanaなど、アカウントOwnerの概念を持つブロックチェーンでよく発生する。ユーザーが一度署名してしまうと、アカウントの管理権を完全に失ってしまう。
例としてTRONウォレットの場合、TRONのマルチシグネチャ権限システムには3種類の異なる権限がある:Owner、Witness、Active。それぞれ特定の機能を持っている。
Owner権限:すべてのコントラクトおよび操作を実行できる最高権限。この権限を持つ者だけが他の権限を変更でき、署名者を追加または削除できる。新規アカウント作成後、デフォルトでアカウント自体がこの権限を持つ。
Witness権限:主にスーパーレプレゼンテイティブ(Super Representatives)に関連。この権限を持つアカウントはスーパーレプレゼンテイティブの選挙・投票に参加でき、関連操作を管理できる。
Active権限:日常的な操作(例:送金、スマートコントラクト呼び出し)に使用される。Owner権限によって設定・変更可能で、特定タスクを実行するアカウントに割り当てられることが多い。これはいくつかの承認操作(例:TRX送金、資産ステーキング)の集合体である。
一例として、ハッカーがユーザーの秘密鍵またはリカバリーフレーズを入手した場合、マルチシグを設定していない(つまりアカウントが単一ユーザーのみで制御されている)なら、ハッカーはOwner/Active権限を自身のアドレスに割り当てたり、ユーザーのOwner/Active権限を自分に移管したりできる。この操作は一般的に「悪意あるマルチシグ」と呼ばれる。
ユーザーのOwner/Active権限が削除されていない場合でも、ハッカーはマルチシグ機構を使ってユーザーと共同でアカウントを制御できる。このときユーザーは秘密鍵/リカバリーフレーズを保持し、Owner/Active権限も持っているが、資産の移転はできない。ユーザーが資産の送金要求を出した場合、ユーザーとハッカー両方の署名が必要になる。
もう一つのケースは、ハッカーがTRONの権限管理設計を悪用し、ユーザーのOwner/Active権限を直接ハッカーのアドレスに移管する場合。これにより、ユーザーはOwner/Active権限を失う。
いずれのケースも同じ結果となる。ユーザーがOwner/Active権限を保持しているかどうかに関わらず、アカウントの実質的な制御権を失い、ハッカーのアドレスが最高権限を得て、アカウント権限の変更や資産の移転などの操作が可能になる。
このシナリオにおいて、OKX Web3ウォレットの遮断機能はどのように作用するのか?
OKX Web3ウォレットは、署名待ちのトランザクションを事前に解析し、その中にアカウント権限の変更が含まれている場合、ユーザーのトランザクションを即座に遮断し、根本的にさらなる署名による資産損失を防止する。
このリスクは非常に高いため、現時点でOKX Web3ウォレットは該当取引を完全にブロックし、ユーザーがそれ以上の取引を行うことを許可しない。

3. 悪意ある送金先アドレスの変更
悪意ある送金先アドレス変更のリスクは、DAppコントラクトの設計不備に起因する。
3月5日、@CyversAlertsはアドレス0xae7abから始まるアドレスがEigenLayerから4枚のstETH(約14,199.57米ドル相当)を受け取り、フィッシング攻撃の被害に遭った可能性があると監視。同時に、「queueWithdrawal」に関するフィッシング取引に複数の被害者が署名していることを指摘した。
Angel Drainerはイーサリアムステーキングの性質を狙い、通常のERC20「Approve」とは異なる方法で、EigenLayer Strategy ManagerコントラクトのqueueWithdrawal (0xf123991e) 関数を悪用した。攻撃の核心は、「queueWithdrawal」取引に署名したユーザーが、悪意ある「ドレイナー」に自身のウォレットのステーキング報酬をEigenLayerプロトコルから攻撃者が指定したアドレスへ引き出すことを承認してしまう点にある。つまり、フィッシングページ上で取引を承認すると、EigenLayerでのステーキング報酬は攻撃者のものになってしまう。
この悪意ある攻撃を検出しづらくするために、攻撃者は「CREATE2」メカニズムを使用し、引き出し先を空のアドレスに設定している。これは新しい承認方式のため、多くのセキュリティツールや内部システムではこれを解析・検証できず、多くの場合「良性取引」と判断されてしまう。
このケースだけでなく、今年に入り、いくつかの主流パブリックチェーンのエコシステム内で、設計不備のあるコントラクトが原因でユーザーの送金先アドレスが悪意あるものに変更され、資金を失った事例が相次いでいる。
このシナリオにおいて、OKX Web3ウォレットの遮断機能はどのように作用するのか?
EigenLayerのフィッシング攻撃シナリオに対応して、OKX Web3ウォレットは「queueWithdrawal」関連の取引を解析し、ユーザーが公式サイト以外で取引を行い、かつ引き出し先がユーザー自身のアドレスでない場合、警告を表示し、ユーザーに再度確認を求める。これによりフィッシング攻撃を防止する。

4. 類似アドレスへの送金
類似アドレス送金攻撃は、被害者の実際のアドレスと非常に似た偽アドレスを使用して資金を攻撃者のアカウントに送らせることで成立する。このような攻撃は複雑な難読化や隠蔽技術を伴い、攻撃者は複数のウォレットやクロスチェーン移転などを活用して追跡を困難にする。
5月3日、ある巨鯨(ホエール)が先頭・末尾の数字が一致するアドレスによるフィッシング攻撃を受け、1155枚のWBTC(約7000万ドル相当)を盗まれた。
この攻撃の仕組みは、ハッカーが事前に多数のフィッシングアドレスを大量生成し、分散配置したプログラムによって、チェーン上のユーザー動向に応じて標的の送金先アドレスに対して先頭・末尾が一致するアドレスで攻撃を行うことにある。今回の事件では、ハッカーは0xを除いた先頭4桁と末尾6桁が被害者の送金先アドレスと一致するアドレスを使用した。ユーザーが送金後、ハッカーは直ちに(約3分後に)そのフィッシングアドレスからユーザーのアドレスへ0 ETHを送る取引を実行。これにより、フィッシングアドレスがユーザーの取引履歴に表示される。
ユーザーは過去の取引履歴から最近の送金情報をコピーする習慣があるため、この追尾取引を見て、コピーしたアドレスが正しいかどうかを確認せずに、結果として1155 WBTCをフィッシングアドレスに誤送金してしまった。
このシナリオにおいて、OKX Web3ウォレットの遮断機能はどのように作用するのか?
OKX Web3ウォレットはチェーン上の取引を継続的に監視しており、大きな取引の直後に、ユーザーが発信していない疑わしい取引がすぐに発生し、その相手先アドレスが大きな取引の相手先と極めて類似している場合、その相手先アドレスを「類似アドレス」と判定する。
その後、ユーザーがその類似アドレスとやり取りしようとすると、OKX Web3は遮断と警告を行う。また、取引履歴ページでは、類似アドレスに関連する取引を直接マーク付けし、ユーザーが誤って貼り付けて資産を失わないようにする。(現在8つのチェーンに対応)

おわりに
まとめると、2024年前半もエアドロ関連のフィッシングメールやプロジェクト公式アカウントの乗っ取りといったセキュリティ事故が頻発している。ユーザーはこうしたエアドロやイベントの恩恵を享受する一方で、かつてないほどのセキュリティリスクにも直面している。ハッカーは公式機関を装ったフィッシングメールや偽アドレスなどを使って、ユーザーの秘密鍵漏洩や悪意ある送金を誘導している。また、一部のプロジェクト公式アカウントもハッキングされ、ユーザーの資金が失われている。一般ユーザーにとって、このような環境下では何よりも警戒心を高め、セキュリティ知識を深く学ぶことが重要である。また、可能な限り信頼できるリスク管理体制を持つプラットフォームを選ぶことも推奨される。
リスクに関する注意喚起および免責事項
本記事は参考情報提供を目的としています。本文は著者の見解を示すものであり、OKXの立場を反映するものではありません。本記事は以下の目的を含むものではありません。(i) 投資助言または投資勧告;(ii) デジタル資産の購入、売却または保有に関する要請または勧誘;(iii) 財務、会計、法務または税務に関する助言。当社は情報の正確性、完全性または有用性について保証いたしません。デジタル資産(安定通貨およびNFTを含む)の保有には高いリスクが伴い、価格が大きく変動する可能性があります。取引またはデジタル資産の保有がご自身の財務状況に適しているかを慎重に検討してください。個別の状況については、専門の法律/税務/投資アドバイザーにご相談ください。また、現地の適用法および規制を理解し遵守いただく責任はユーザー自身にあります。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














