AIの顔交換、プラグインの罠、2件のセキュリティ事故でユーザーの損失は1,000万を超える

著者：陀螺财经

安全事件は、伝統的な金融でも少なくなく、暗い森のような匿名通貨の世界では、さらに一般的な存在です。

データによると、わずか先月の5月、暗号圏では37件の典型的な安全事件が発生し、ハッカー攻撃、フィッシング詐欺、Rug Pullによる総損失額は1.54億ドルに達し、4月に比べて約52.5%増加しました。

6月3日、再び2件の安全事件が発生しました。他の事件とは少し異なり、2件の事件はどちらも大手取引所に関連しており、過程も非常に奇妙でした。ただし、物語の最後には、喜ぶ人もいれば、悲しむ人もいました。

6月3日、NakamaoというユーザーがXプラットフォームに投稿した長文が話題になりました。その中で彼は「自分が暗号通貨の犠牲者になり、バイナンスのアカウントにあった100万ドルが消えた」と述べました。彼の自述の中で、次々と続くハッカーによる盗難が幕を開けました。

5月24日、Nakamaoは仕事中で、すべての通信機器を手放していなかったとされていますが、そのような万全の状況下でも、ハッカーはバイナンスのアカウントのパスワードや二次認証指令（2FA）を取得することなく、対敲取引を利用して彼のアカウント内のすべての資金を盗みました。

対敲取引とは、簡単に言えば、流動性が不足している取引ペアで大口取引を行い、取引相手がハッカーのアカウントの売りを受け入れるために大量に買い入れることです。最終的に、相手は特定の山寨通貨で実際の資金またはステーブルコインを得て、買い手は売り手の手元にある山寨通貨を引き受けます。このような盗難手法は取引所では珍しくなく、22年にはFTXが3commas API KEYの漏洩により600万ドルの対敲盗難が発生しました。当時のSBFは現金でこの問題を解決しました。その後、バイナンスでも大規模な対敲取引が相次いで発生しました。しかし、このモデルの悪質な点は、リスク管理が不十分な取引所にとっては、単なる通常の取引行為であり、異常な盗難とは見なされないことです。

この事件では、QTUM/BTC、DASH/BTC、PYR/BTC、ENA/USDC、NEO/USDCが選ばれ、ユーザーの大口資金を利用して20%以上の上昇を実現しました。しかし、ハッカーのすべての操作はユーザーには気づかれず、1時間以上経ってからアカウント情報を確認して異常に気づきました。

セキュリティ会社の回答によると、ハッカーはウェブページのCookiesをハイジャックする方法でユーザーアカウントを操作しました。簡単に言えば、ウェブ端末に保存されたデータを利用したのです。典型的な例を挙げると、インターネットで特定のインターフェースに入る際、アカウントのパスワードを再度入力する必要がなく、以前の訪問履歴とデフォルトの記録が残っているためです。

ここまでのことは、ユーザー自身の不注意によるものかもしれませんが、その後の展開はさらに奇妙になりました。盗まれた後、Nakamaoはすぐに顧客およびバイナンスの共同創設者である何一に連絡を取り、UIDをセキュリティチームに渡し、短時間でハッカーの資金を凍結することを期待しました。しかし、バイナンスのスタッフはKucoinとGateに通知するのに1日もかかり、驚くことに、ハッカーの資金はすでに消えてしまっていました。ハッカーは1つのアカウントしか使用せず、資金を分散させることなく、バイナンスからすべての資金を無事に引き出しました。プロセス全体で、ユーザーは何のセキュリティ警告も受けず、さらに皮肉なことに、大口取引の買い入れのため、翌日、バイナンスから現物マーケットメイカーの招待メールが送られてきました。

事後の振り返りの中で、平凡なChromeプラグインAggrがNakamaoの視界に入ってきました。このプラグインは市場データサイトを閲覧するために使用され、被害者の説明によれば、数ヶ月にわたり複数の海外KOLがプロモーションを行っていたため、自身の必要からダウンロードしました。

ここで簡単に説明すると、プラグインは実際に多くの操作を行うことができ、理論的には、悪意のある拡張機能を通じて取引アカウントにログインし、ユーザーのアカウント情報を取得して取引を行い、資金を引き出したりアカウント設定を変更したりすることができます。その核心的な理由は、プラグイン自体が広範な権限を持ち、ネットワークリクエストを操作し、ブラウザストレージにアクセスし、クリップボードを操作するなどの多くの機能を持っているからです。

プラグインに問題があることに気づいた後、NakamaoはすぐにKOLに問い合わせ、ユーザーにこのプラグインの使用を中止するよう通知するように告げましたが、予想外にも、その瞬間、バイナンスにブーメランが返ってきました。Nakamaoの最初の自述によれば、バイナンスは以前からこのプラグインの問題を把握しており、今年の3月に類似の事件が発生していたため、バイナンスはその後ハッカーを追跡しました。おそらく、草を驚かせないために、製品を一時的に停止することを通知せず、KOLにハッカーとの連絡を続けさせました。この段階で、Nakamaoは次の犠牲者となったのです。

Cookiesだけで取引にログインできるということは、バイナンスのメカニズムにも一定の問題があるに違いありませんが、事件自体はユーザー自身の不注意から引き起こされたため、責任を追及することは難しいです。

案の定、その後バイナンスの対応は市場で大きな波紋を呼びました。公式アカウントは本件の原因をハッカー攻撃とし、AGGRプラグインに関する情報に注意を払わなかったと述べました。また、あるWeChatグループ内で何一もこの事件についてコメントし、「この件はユーザーのコンピュータがハッキングされたもので、神様でも救えない。バイナンスはユーザーのデバイスが感染したことに対して賠償することはできない。」と述べました。

バイナンスの対応に対し、Nakamaoは明らかに受け入れられず、バイナンスがリスク管理を怠っていると考え、KOLが明確にこのプラグインについてバイナンスチームに言及したことから、バイナンスにも知っていて報告しなかった疑いがあると主張しました。世論が高まる中、バイナンスは再度、ユーザーが悪意のあるプラグインを報告したことに対する報酬を申請すると発表しました。

この件がここで一段落すると思われましたが、興味深いことに、6月5日、事件は再び反転しました。Nakamaoは再度Xプラットフォームでバイナンスに公開謝罪し、情報の差異と個人的な主観的推測があったと述べ、実際にはバイナンスはプラグインに関する情報を知らなかったとしました。バイナンスがaggr.tradeのURLを初めて知ったのは5月12日であり、以前に言及された3月ではありませんでした。また、KOLはバイナンスのスパイではなく、KOLはアカウントの問題についてバイナンスとコミュニケーションを取っていたのです。

この発言が真実かどうかはともかく、態度が180度変わり、失望から公開謝罪に至ったことから、バイナンスが何らかの賠償を行うことは明らかであり、具体的な賠償額は不明です。

一方、偶然にも6月3日、バイナンスの他にOKXも影響を受けました。OKXのユーザーがコミュニティで、アカウントがAIによる顔の入れ替えで盗まれ、アカウント内の200万ドルが移動されたと述べました。この事件は5月初旬に発生し、ユーザーによれば、アカウントが盗まれた理由は個人の漏洩とは無関係で、ハッカーがメールアドレスでパスワードを忘れたをクリックし、偽の身分証明書とAIによる顔の入れ替え動画を構築してファイアウォールを回避し、その後、電話番号、メールアドレス、Googleの認証器を変更し、24時間以内にアカウントのすべての資産を盗みました。

動画は見ていませんが、ユーザーの表現から、AI合成動画が非常に拙劣であることは大いに推測できますが、それでもOKXのリスク管理システムを突破しました。そのため、ユーザーはOKXにも責任があると考え、OKXが全額賠償することを望んでいます。しかし、実際には、詳細に分析すれば、犯人はそのユーザーをよく知っており、ユーザーの習慣やアカウントの金額を理解している人であると判断できます。ユーザー自身も手紙の中で、友人が常に自分と一緒にいることを言及していました。一般的には、OKXもこれに対して賠償を行うことはないでしょう。現在、このユーザーは警察に通報し、追及を計画しています。

この2件の事件について、暗号コミュニティでも広く議論されています。もちろん、安全の観点から言えば、多くの人がウォレットの自己管理こそが資産の絶対的なコントロール権を持つと強調していますが、取引所は個人の管理に比べて、やはりより安全であることは否定できません。核心は、コミュニケーションの相手が増えることです。取引所は少なくとも直接的な第三者と接続し、連絡を取ることができ、結果がどうであれ、少なくとも調査に介入することができます。そして、コミュニケーションが適切であれば、上記の被害者のように賠償を受けることも可能ですが、自己管理のウォレットが盗まれた場合、ほとんど何の保証もない機関が存在しません。

しかし、現在の取引所の安全改善は急務です。大手取引プラットフォームは大多数のユーザーの資産を掌握しており、暗号資産は追及が難しいため、安全性はさらに重視されるべきです。伝統的な金融の使用において、ほぼ毎回ログアウトする際には再度パスワードを入力する必要があり、アカウントが制御されるのを防ぐために、送金時には通常、追加の認証方法が必要です。したがって、コミュニティは取引プラットフォームにパスワードロック機能を追加し、取引前に2FA認証を追加し、IPが変更された後も再度認証を入力するか、または多段階の安全MPC認証を採用し、パスワードを分散化し、ユーザー体験を犠牲にして安全性を向上させることを提案しています。しかし、一部のユーザーは、高頻度取引において繰り返しの認証が煩雑すぎて実行可能性がないと考えています。

何一もこれに対して返信し、「現在、突発的な価格変動に対しては大データの警報と人工の二重確認を重ねており、ユーザーに通知を増やす予定です。また、プラグインの実行やCookieの承認において、認証頻度を増やす予定です。このシーンでは取引パスワードは適用されませんが、バイナンスはユーザーの差異に応じて安全認証のプロセスを増やします。」と述べました。

出発点に戻ると、2件の事件から、ユーザーは高度な注意を払い、自身の安全意識を高め、資産を分散して保管する前提のもと、できるだけ完全に独立したデバイスを使用して操作することを推奨します。分散認証を使用し、利便性を重視せず、パスワードなしや生体認証の設定を避け、プラグインの使用には慎重を期し、大口資産についてはハードウェアウォレットでの保管を行うべきです。

結局、暗号資産は実体資産とは異なり、実体資産は追跡可能ですが、暗号資産の盗難は規制の制約により、ほとんど後続の賠償を得ることが難しく、さらには立件すら困難です。

このようなケースは少なくありません。最近の1818黄金眼の報道では、典型的な例が見られました。被害者の朱さんは、知乎で「程七七」という名の、暗号通貨の取引で千万の収入を得たと主張する大物を見つけ、彼に従って暗号通貨を取引してお金を稼ごうとしました。二人は協議の後、契約を締結し、利益の70%を程七七に、30%を朱さんが保持することを明確にし、損失が出た場合は二人で50%ずつ負担することにしました。取引の過程で、朱さんは単にフォローするだけで、すべてのアカウントの権利は自身が持っていました。

このような高額な利益分配は、一見信頼できる契約のように見えましたが、信頼できる結果をもたらしませんでした。最初は小さな利益を得た後、被害者は資金を増やし、程七七が保証した「ロスカット全額補償」のスローガンのもと、借りた60万の元本を使い、100倍のレバレッジでETHをショートしましたが、ETHの上昇により、被害者は全ての元本を失いました。

このような状況は明らかに立件が難しく、すべての操作は個人のものであり、詐欺や強制的な行為は存在しないため、最終的に警察や記者も無力感を抱きながら、我国の法律規則に基づき、仮想通貨取引は保護されず、高いリスクが存在するため、警戒を高めるように強調することしかできませんでした。

最終的に朱さんは、心が砕けた無実の表情で、滑稽な結末を演じました。

いずれにせよ、ここで再度取引に参加する観客に警告します。どの金融分野においても、暗号圏であっても、元々は安全性の一部を犠牲にして高い利益と自由度を得るセクターであり、安全性は効率や利益よりもはるかに重要です。これが、去中心化を謳う暗号世界が中心化から離れられない理由の一つかもしれません。

結局、人間の性質はこういうものです。誰もが誰かに保証してほしいと思っており、たとえどれだけお金を稼いでも、他人のために衣装を作ることは望まないのです。