投資
ローンチパッド
CandyDrop
キャンディーを集めてエアドロップを獲得
Launchpool
クイックステーキング
潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のエアドロップを無料で入手
Launchpad
NEW
次の大きなトークンプロジェクトを一足先に
Alphaポイント
NEW
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
NEW
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
もっと
- 人気の話題もっと見る
51.01K 人気度
9.09K 人気度
6.3K 人気度
2.25K 人気度
2.29K 人気度
- 人気の Gate Funもっと見る
- 時価総額:$3.57K保有者数:10.00%
- 時価総額:$3.57K保有者数:10.00%
- 時価総額:$3.63K保有者数:20.10%
- 時価総額:$3.62K保有者数:20.04%
- 時価総額:$3.55K保有者数:10.00%
- ピン
F2Poolが共同設立した秘密鍵の安全性をテスト!500枚のビットコインがハッキングされ490枚が持ち去られた
12月21日、世界最大のビットコインマイニングプールの一つであるF2Pool(魚池)の共同創設者王純が、X上で500枚のBTCを盗まれた驚くべき経験を暴露しました。これはコミュニティで話題になっている「5000万枚USDTフィッシング攻撃」事件がきっかけで、王純は被害者がハッカーに送ったオンチェーンのメッセージを引用し、自嘲しました。ハッカーは非常に「寛大」で、490枚だけを持ち去り、彼に10枚のビットコインを生活費として残してくれました。
5000 万 USDT フィッシング攻撃の荒唐無稽な操作
! F2Pool共創がハッキングされました
(出典:Wang Chun)
この王純が暴露するきっかけとなった事件は、5000万ドルの価値を持つセキュリティーの災害そのものである。最近、あるクジラ/機関がバイナンスから5000万USDTを引き出す際に、まず「テスト」として計画された受取アドレスに50USDTを送金した。その結果、攻撃者はすぐに先頭と末尾が3桁同じの類似アドレスを生成し、被害者に0.005 USDTのダストトークンを送金した。
被害者は正式な送金時に、最近の取引履歴からアドレスを直接コピーした疑いがあり、その結果、5000万USDTが全て攻撃者の類似アドレスに送金されてしまった。この攻撃手法は「アドレスポイズニング」と呼ばれ、ユーザーが取引履歴からアドレスをコピーする習慣を利用して、類似アドレスを埋め込むことで誤送金を誘導するものである。
攻撃事件発生後、被害者はハッカーにオンチェーンメッセージを送信しました:「私たちは正式に刑事訴訟を提起しました。法執行機関、ネットワークセキュリティ機関、そして複数のブロックチェーンプロトコルの協力のもと、私たちはあなたの活動に関する多くの具体的かつ実質的な情報を収集しました。あなたが管理しているウォレットアドレスは現在24時間体制で監視されています。これはあなたがこの問題を平和的に解決する最後の機会です。あなたは48時間以内に98%の盗まれた資産を返還するよう要求されています。あなたは1,000,000ドルを発見報酬として保持することができます。」
この「先礼後兵」の交渉戦略は暗号界では非常に一般的です。被害者は通常、ハッカーと交渉し、ホワイトハット賞金を提供して資産の返還を試みます。なぜなら、盗まれた暗号通貨を取り戻すことは非常に困難だからです。ハッカーが拒否した場合、法執行機関やブロックチェーン分析会社を通じて追跡しますが、成功率は依然として非常に低いです。
アドレスポイズン攻撃の三段階の手口
第一段階、類似アドレスの生成:攻撃者はツールを使用して、ターゲットアドレスの先頭と末尾のいくつかの桁が同じアドレスを生成し、外観が極めて似ている。
第二段階、ダストトークンの送信:被害者のアドレスにごく少額(例:0.005 USDT)を送信し、取引記録に類似のアドレスを表示させる
第三段階、誘導転送エラー:被害者が取引記録からアドレスをコピーする際、似たようなアドレスを誤ってコピーしてしまい、大額の資金が攻撃者のウォレットに転送される可能性があります。
この攻撃の防御方法は非常に簡単です:毎回送金時に完全なアドレスを注意深く確認し、最初と最後の数桁だけを見るのではありません。しかし、人間の怠惰と習慣がこのような単純なミスを繰り返し引き起こします。送金額が5000万ドルに達する場合、このような不注意の代償は壊滅的です。
ワン・チュンの500BTCテストのばかげたロジック
コミュニティが5000万USDTの被害者を嘆いている中、F2Poolの共同創設者である王純の告白はすべての人々を完全に驚かせました。「昨年、私は自分の秘密鍵が漏洩しているのではないかと疑いました。そのアドレスが本当に安全性を損なっているか確認するために、500枚のビットコインを送金しました。」この操作の荒唐さは、明らかに秘密鍵の漏洩を疑っているのに、普通の人はそのアドレスの使用をすぐに停止し、すべての資産を移動すべきなのに、王純は反対の行動を取り、大金を送金して「テスト」したことです。
この論理は次のように似ています:家の鍵が壊れているのではないかと疑うのなら、急いで鍵を修理するのではなく、大金を家の中に置いておいて盗まれるかどうかを見るということです。もし本当に盗まれたら、鍵が壊れていることが確認されるだけでなく、財産も失われます。王純のテスト方法は、安全専門家にとって全く理解できないものであり、疑念を確実なものに変え、潜在的な損失を実際の損失に変えてしまいます。
驚いたことに、ハッカーは非常に「寛大」で、490枚を持って行くだけで、私に10枚のビットコインを生活費として残してくれました。王純のこの皮肉な口調はさらに驚かされます。490枚のビットコインは当時(2024年2月)約2450万USDの価値があり、10枚は約50万USDです。普通の人にとって、50万USDは運命を変えるには十分ですが、王純の口からはただの「生活費」として語られています。
王純が提供したハッカーのアドレス 14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79 に関して、履歴を追跡したところ、2024年2月12日に関連する送金記録が実際に発生していることが確認されました。これは王純の言葉が虚偽でないことを証明しており、物語を作っているのではなく、実際に発生した大きな損失です。しかし、王純本人はこの件についてさらに説明をしておらず、秘密鍵の漏洩を疑っているかどうかは明らかにせず、また、警察に通報して追跡しているかどうかも述べておらず、なぜそんなに馬鹿げたテスト方法を選んだのかについても説明していません。
金持ちの世界と秘密鍵の安全についての血の涙の教訓
王純雲淡風輕の自己暴露は、コミュニティのすべての人々に「金持ちの世界は本当に普通の人には共感できない」と感嘆させる。F2Poolは世界最大のビットコインマイニングプールの一つであり、その共同創業者の富は確かに常人の想像を超えている。しかし、この「2500万ドルの損失を抱えながらも談笑できる」という態度は、普通の投資家にとっては羨望と警告の両方を意味する。
羨ましいのは財務自由の境地。あなたが持っている財産が生活に必要なものをはるかに超えているとき、2500万ドルの損失は痛みを伴うが致命的ではない。王純がこれほど冷静でいられるのは、彼の総資産が数億ドル以上である可能性を示しており、490枚のBTCの損失は彼の資産のほんの一部に過ぎない。このような財務自由は、彼に一般人が想像できないリスクと損失を耐える能力を与える。
警告はプライベートキーの安全性の厳しさを示しています。「Not your keys, not your coins」(プライベートキーが手元にない場合、通貨はあなたのものではありません)は暗号界の鉄則です。一度プライベートキーが漏洩すると、あなたが億万長者であろうと普通の投資家であろうと、資産は瞬時にゼロになります。さらに恐ろしいことに、暗号通貨の送金は不可逆であり、銀行が凍結することも、裁判所が取り戻すこともできず、ハッカーに持って行かれた後はほぼ取り戻すことが不可能です。
王純のケースは、いくつかの重要な教訓を示しています。第一に、秘密鍵の漏洩が疑われる場合、正しい行動はそのアドレスを即座に無効にし、資産を新しいアドレスに移動させることであり、大金をテストすることではありません。第二に、秘密鍵の管理にはマルチシグ、ハードウェアウォレット、コールド・ホット分離などの安全対策を採用しなければなりません。単一の秘密鍵のリスクは高すぎます。第三に、F2Poolの共同創設者のような業界のトップ専門家でさえも、安全問題において致命的な誤りを犯す可能性があるため、誰も油断してはいけません。
一般の投資家にとって、この話は非常に貴重だが代償の高い教訓を提供しています。もし秘密鍵の漏洩が疑われる場合は、直ちに:そのアドレスの使用を停止し、資産を新しいアドレスに移動する(少額テスト後に大額を移動)、すべての可能な漏洩経路を確認する(コンピュータウイルス、フィッシングサイト、ソーシャルエンジニアリング)、警察に通報を考え、専門のセキュリティ会社に支援を求めることを検討してください。絶対に王純のように、大金を「テスト」するために移動しないでください。なぜなら、彼のように損失を負担できる財力がないかもしれないからです。
ハッカーが「寛大」に10枚のBTCを残した行為も分析する価値があります。これはハッカーの心理戦術かもしれません:完全に空にすることは被害者を怒らせ、無駄に追跡させる可能性がありますが、少し「生活費」を残すことで被害者が認める選択をする可能性があります。数億の資産を持つ王純にとって、490枚の損失は痛みを伴いますが、大量の時間やエネルギーを使って追跡する価値はありません。ハッカーはこの心理を正確に把握し、ほとんどの資産を奪い取りながらも、全力で追跡されるリスクを減らしました。
この事件は5000万USDTのフィッシング攻撃と対照的です。前者は被害者が不注意で誤ったアドレスをコピーしたもので、後者は被害者がリスクを知りながらも自発的に転送したものです。両者の共通点は:人為的なミスが暗号資産の損失の最大の原因であり、取引所のハッキングやスマートコントラクトの脆弱性をはるかに上回っています。技術がどれほど進んでいても、人間の疎忽や幸運を期待する心理には対抗できません。
暗号業界にとって、これらのケースはすべての参加者に警告を発しています:プライベートキーの安全性は生死に関わる基本的な技術です。あなたが0.1 BTCを保有する個人投資家であろうと、500 BTCを保有するクジラであろうと、一旦プライベートキーが漏洩したり、誤ったアドレスに送信された場合、その結果は取り返しのつかないものです。この「コードが法律である」世界では、後悔する薬はありません。唯一の保護は、操作の前に何度も確認し、疑いを持ち、慎重になることです。王純の2500万ドルの授業料は、業界全体にとって高価だが深い安全に関する授業を行いました。