フィッシング攻撃により、マルチシグウォレットからUSDC 300万ドルが盗まれる

• 投資家がフィッシング攻撃で300万ドルを失う
• 攻撃者は偽装され、認証済みの悪意あるコントラクトを利用
• Request Financeが偽バージョンのコントラクト使用を確認

ある暗号資産投資家が、高度に巧妙なフィッシング攻撃の被害に遭い、マルチシグウォレットを悪用されて300万ドル以上のステーブルコインを失いました。この事件は9月11日にオンチェーンリサーチャーのZachXBTによって明らかにされ、被害者のウォレットから3,047,000 USDCが流出したと指摘されています。

攻撃者は資金を即座にEthereumに変換し、資金の流れを隠すためによく使われるプライバシープロトコルTornado Cashに送金しました。

SlowMistの創設者であるYu Xianによると、侵害されたアドレスは2-of-4 Safeマルチシグでした。攻撃は、被害者が正規のアドレスを模倣した詐欺アドレスに対して2回連続でトランザクションを承認した後に発生しました。詐欺の効果を高めるため、ハッカーはアドレスの最初と最後の文字が正しいものと一致する悪意あるコントラクトを開発し、詐欺の発見を困難にしました。

Xianは、この詐欺がSafe Multi Send機能を利用し、悪意ある承認を一見通常の認証に偽装していたと説明しました。「この異常な承認は標準的な承認ではなかったため、発見が難しかった」と述べています。

@zachxbtが投稿したこの盗難事件を見てみたが、なかなか興味深い。被害アドレスは2/4 Safeマルチシグアドレス：
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

盗まれた3047700 USDCはこの2件で、連続している：
3M USD
47700 USDC

これは承認が盗まれたもので、被害者のUSDC… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) September 12, 2025

Scam Snifferの調査によると、偽コントラクトは攻撃の約2週間前にデプロイされており、すでにEtherscanで認証され、「バッチ支払い」機能を備えて正規のものに見せかけていました。攻撃当日、Request Financeインターフェースを通じて承認が実行され、攻撃者が資金にアクセスできるようになりました。

これに対し、Request Financeは悪意ある攻撃者が自社の支払いコントラクトの偽バージョンをデプロイしたことを確認しました。同社は、影響を受けたのは1人の顧客のみであり、脆弱性はすでに修正されたと強調しています。

🚨 昨日、被害者がSafeウォレット上の偽のRequest Financeコントラクトを利用した巧妙な攻撃で3,047,000 USDCを失いました。

主な発見：
• 被害者の2/4 SafeマルチシグウォレットがRequest Financeアプリインターフェース経由でバッチトランザクションを実行
• その中に悪意ある承認が隠されていた… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) September 12, 2025

それでもなお、Scam Snifferは、同様のフィッシング攻撃はマルウェア、侵害されたブラウザ拡張機能、アプリケーションフロントエンドの欠陥、さらにはDNSハイジャックなど、さまざまな経路で仕掛けられる可能性があると警告しています。一見認証済みのコントラクトやほぼ同一のアドレスを使用することで、攻撃者が暗号資産ユーザーの注意をかいくぐるために手口を洗練させていることが浮き彫りになっています。