Blockaidは6月24日、DeFiイールドアグリゲーター「Yield Yak」のウェブサイトで悪意のあるウォレットドレイナースクリプトを検出した。これはギットコイン(Gitcoin)に対する同様の攻撃から数日後、2件目のフロントエンド侵害となる。
戻る
イールド・ヤック、ギットコインに続きウォレットドレイナー攻撃を被る
Blockaidは6月24日、DeFiイールドアグリゲーター「Yield Yak」のウェブサイトで悪意のあるウォレットドレイナースクリプトを検出した。これはギットコイン(Gitcoin)に対する同様の攻撃から数日後、2件目のフロントエンド侵害となる。
「サブドメイン vote.yieldyak.com が Eleven drainer のコードによって侵害されました。これは、ユーザーを騙して資産の署名権限を譲り渡させるウォレットドレイニングツールキットです」とBlockaidはX(旧Twitter)への投稿で述べた。「これは昨日発生したGitcoinのインシデントと同様の手法で行われました。」
この攻撃は、Avalanche上のコアアプリケーションインターフェースではなく、Yield Yakの投票用サブドメインを標的とした。同プロトコルはイールドファーミング報酬を自動で複利運用し、分散型取引所アグリゲーターを運営している(Alchemyの掲載情報による)。BlockaidおよびYield Yakのいずれも、今回の被害に遭ったウォレット数や総損失額を本稿執筆時点で公表していない。
本インシデントは、今年に入って増加しているフロントエンド攻撃の流れに新たな一件を加えるものとなった。Blockaidによると4月には、20件以上のインシデントで総額6億2900万ドル以上が流出し、仮想通貨盗難史上最悪の月となった。6月初旬には、攻撃者がサードパーティモジュールの脆弱性を悪用し、86のSafeウォレットから約320万ドルを盗んだ。また、流動性プロバイダー「TrustedVolumes」に対する別の不正アクセスでは590万ドルの損失が発生した。
Yield YakおよびGitcoinのハッキングは、攻撃者がコアアプリケーションインターフェースではなくサブドメインを侵害するという手口の一例である。2月には、OpenEden、Curvance、Maple Financeがわずか1週間のうちに、AngelFernoという別のドレイナーツールキットを用いたフロントエンド攻撃をそれぞれ被った。Blockaidによると、4月にDrift ProtocolやKelpDAOで高悪名度の不正流出が発生した後、ドレイナー運営者は数時間以内に偽装ドメインを作成し、トークン承認を取り消そうとするパニック状態のユーザーを誘い込んだという。
vote.yieldyak.com にアクセスしてウォレットを接続したユーザーは、知らぬ間に悪意あるトランザクションを承認してしまった可能性がある。Blockaidによれば、Yield Yakのメインプラットフォーム上の基盤となるスマートコントラクトには影響は及んでいない。被害に遭った可能性があるユーザーは、当該セッション中に付与したトークン承認を取り消し、ウォレットで不正な送金が行われていないか監視すべきである。サブドメインの度重なる侵害は、DeFiプロトコルがウェブインフラを管理する上での脆弱性を浮き彫りにしており、攻撃者はコアプラットフォームよりもセキュリティ監視が手薄になりがちな副次的なエントリーポイントを標的にするケースが増えている。
本記事は情報提供のみを目的としており、投資助言を構成するものではありません。
