2月の仮想通貨関連ハッキング被害は急減したが、攻撃者はフィッシングキャンペーンや悪意のあるウォレット承認を通じてユーザーを標的にする傾向を強めている。このシフトは、攻撃の焦点がスマートコントラクトの不備から、人間の行動の隙を突く方向へ移っていることを示唆している。
ノミニス(Nominis)の月次レポートによると、2月に仮想通貨関連の不正流出で失われた資産は約4900万ドルだった。
被害の大部分を占めたのは、ソラナ(Solana)ブロックチェーン上に構築されたポートフォリオ管理・分析プラットフォーム「ステップ・ファイナンス(Step Finance)」に関わる単一の侵害事例で、攻撃者によって約3000万ドルが引き出された。
2月の被害額は、1月の3億8500万ドルから激減した。1カ月分のデータだけで持続的なトレンドとは断定できないものの、この期間は大規模なプロトコル攻撃の発生が少なかったことを示している。
ノミニスは、ソーシャルエンジニアリング攻撃による累計被害額が、伝統的なスマートコントラクトへの攻撃を上回ったと指摘。特にフィッシングキャンペーンが当月中に急増したという。これらの攻撃は通常、ユーザーを騙して悪意のあるリンクを踏ませたり、不正な取引に署名させたりする手口だ。
中央集権型取引所や分散型金融(DeFi)プロトコルよりも、個人が最も一般的な被害者となっている。最も蔓延している攻撃手法は「承認権限の乱用」で、被害者が知らぬ間にウォレットの権限を付与してしまい、攻撃者がアカウントから資金を移動できるようにしてしまうものだ。
これらの数字は、ブロックチェーンセキュリティ企業ペックシールド(PeckShield)の報告とも概ね一致している。同社は2月の不正流出額を計2650万ドル(確定分)と推定しており、これは2025年3月以来の低水準だという。ペックシールドは、この減少の一因として、業界全体でのリスク管理の強化とセキュリティ慣行の改善を挙げている。
セキュリティは向上しているが、大規模攻撃のリスクは継続
ハッキングや詐欺は仮想通貨業界の黎明期から根強い問題となっているが、取引所やセキュリティ企業は、防御策が徐々に向上していると述べている。
仮想通貨取引所バイビット(Bybit)は最近、同社の不正防止システムが昨年第4四半期に3億ドル以上の不正な出金を阻止したと報告した。同社は約350のハイリスクな詐欺アドレスを特定し、約8000人のユーザーが潜在的な詐欺被害に遭うのを防いだとしている。
検知システムの改善にもかかわらず、大規模な攻撃は依然として業界にとって大きなリスクだ。チェイナリシス(Chainalysis)によると、昨年の仮想通貨ハッキングによる累計損失額は34億ドルに達しており、脅威の規模の大きさを物語っている。
