おら!ニナ(@_ninahaus_)🦆です。
DeFiユーザーであれば『詐欺(スキャム)コントラクトをApproveしてはならぬ』という鉄則を耳にタコができるほど聞いていると思いますが、最近すこし経路の違う詐欺が起こっているようです。私も被害にあうところだったので、注意喚起の為まとめました。
🚨TLTR;
2021年(特に前半)にBSCでLaunchZone(BSCEX)のAMMアグリゲーター、SwapXを利用したことのある方は必ずApproveの状況を確認、当該コントラクトをRevokeしましょう!
使ったかどうかよく覚えていない、と言う方も念のため確認してください。
- LaunchZoneの悪用されたSwapXコントラクト
- 本件の被害が大きいわけ
- コントラクトApprove状態の確認とRevoke方法
- 本エクスプロイトに関するLaunchZone対応記録
- 2023年2月27日午前10時:公式テレグラムにて$LZトークンのハックに関する第一報
- 2023年2月27日午後7時:Twitterにてユーザーから苦言
- 2023年2月28日午前10時32分:Twitterにて公式から本件に関する初アナウンス
- 2023年2月28日午後7時:さらなる被害が明らかに
- 2023年2月28日午後10時29分:詳細追加
- 2023年3月2日午前8時20分:突然の爆弾投下、LZ.finance解散
- 2023年3月2日10時38分:残りのチームからのフォローアップメッセージ、そして新トークン発表
- 2023年3月3日午後3時13分:緊急告知、Revokeの制限時間は72時間!
- 2023年3月7日午前10時57分:補償スケジュール発表
- 2023年3月7日6時6分:補償されるケースの説明
- 怒れるユーザーたち
- 2023年3月14日午後12時54分:ユーザーを怒らせる追記
- 本件で被害を受けた方へ
- 終わりに
LaunchZoneの悪用されたSwapXコントラクト
LaunchZoneはBSCではそこそこ老舗の、DEXアグリゲーターやLaunch Padを持つプロジェクトです。過去には「BSCEX」という名前でしたが、2021年3月に「LaunchZone」にリブランディングしました。
BSCEX名義で運営していたDEXアグリゲーター「SwapX」のコントラクトがアタッカーによってトークンを盗む手段として悪用されています。
被害が報告されているのは主に次の2つのコントラクトです。
※LaunchZoneは「LaunchZoneの全コントラクト」のApprove取り消しを推奨しています。
- BSCScan上での名前はまだない
https://bscscan.com/address/0x6d8981847eb3cc2234179d0f0e72f6b6b2421a01
22060ウォレットが本コントラクトをApprove済 (参考) - Fake_Phishing708
https://bscscan.com/address/0x26585626e4a8d4fc409146b47a61790d9008967c
32282ウォレットが本コントラクトをApprove済 (参考)
そもそもコントラクトApproveって?
一般的にDEXコントラクトをApproveするということは、そのコントラクトがウォレット内の特定トークンへのアクセスを許可するということです。例えば、DEXで初めてUSDCを他トークンにスワップするとき、Approveが必要ですよね。あれは「このDEXが私のウォレット内のUSDCにアクセスすることを認めます」という認証をしています。
つまりそのコントラクトが悪人の手に渡ってしまった場合、その人はあなたのウォレットにあるUSDCを盗む(ドレイン)することができます。これが『スキャムコントラクトをApproveしてはならぬ』の意味するところです。
本件の被害が大きいわけ
1.SwapXはスキャムではなかった
SwapXは普通に稼働しているDEXアグリゲーターでした。
複数AMMをうまく組み合わせてベストレートを提供してくれるため、PancakeSwapのみを利用するよりレートが良い場合もありました。
また、BSCEXは2021年1月にPancakeSwapのシロッププールに登場しました。そのころと言えばBSCのDeFiブームが始まるころで、まさに旬です。BSCプロジェクトの登竜門とも噂されたPancakeSwapのシロッププールに来たプロジェクトならハズレはない。うさぎを通してBSCEXを知り、良レートを求めて度々SwapXを利用した人もいるはず。
#PancakeSwap Welcomes @bscexofficial to Syrup Pool!
Stake $CAKE, Earn $BSCX!https://t.co/kvTqkcAoSZ
— PancakeSwap 🥞 #Multichain (@PancakeSwap) January 7, 2021
2.SwapXのコントラクトは古く、現役ではなかった
LaunchZoneはSwapX後継となる新機能、LZ Swapを2021年7月にリリースしました。よって、BSCEX製のSwapXコントラクトはこのあたりで役目を終えたと見て良いでしょう。
まともに動いていたコントラクトが役目を終えたとき、わざわざRevokeしない人は多いのではないでしょうか。
3.現在は仮想通貨界隈の熱がやや冷めているので、こまめに各プロジェクト情報を追っていない人が多い
プロジェクトを追っていないと、当然最新情報のキャッチアップが遅れます。インフルエンサーが流してくれることもありますが、LaunchZoneはインフルエンサーに今も愛されているプロジェクトとは言いづらいです。
またSwapX現役時代当時に比べるとプロジェクト数もチェーン数も増えました。2年以上前にApproveしたBSCプロジェクトの存在を忘れている人もいると思います。
したがってプロジェクトが「ハックされました。Revokeして!」と言ってもユーザーに声が届かないのです。
まとめると、今回の件は
PancakeSwapシロッププールに登場したプロジェクトの、きちんと稼働していたコントラクトが、引退後2年を経て忘れ去られたころに悪用され、ユーザーの資産を盗んでいる。
これは結構やっかいなケースです。
当時はまともなコントラクトでしたから、本件の被害者には「スキャムコントラクトをApproveした」認識はありません。そしてSwapXコントラクトをApproveしたのは2年以上前で、これまで特に被害なく、最近になって突然ウォレットから資産が盗まれたのですから原因が思い当たらなくて当然です。
ともかく、お持ちのウォレットが該当コントラクトをApproveしているか確認してください。
コントラクトApprove状態の確認とRevoke方法
Revokeサイトで簡単に確認できます。
私は最初に教えてもらったのがunrekt.netだったので、ここを使っています。
Venus Protocolは次の3つを紹介していました。
どのサイトも使い方はほぼ同じで、
- ウォレットをつなぐ
- Revokeしたいコントラクトやトークンを検索
- 見つけたらRevoke!
少しだけガスや手数料を支払います
私の場合はFake_Phishing708に対し$BSCXトークンの利用を許可していました。もしウォレットに$BSCXが入った場合、ドレインされていたことになります。$BSCXは旧BSCEXのもうミントされていないトークンであり、私自身も保持していないことが幸いして被害はありませんでした。
当該コントラクトを見つけた場合はRevokeボタンを押しましょう。
本エクスプロイトに関するLaunchZone対応記録
2023年2月27日午前10時:公式テレグラムにて$LZトークンのハックに関する第一報
https://bscscan.com/tx/0xaee8ef10ac816834cd7026ec34f35bdde568191fe2fa67724fcf2739e48c3cae
$LZトークンは暴落しました。
2023年2月27日午後7時:Twitterにてユーザーから苦言
現在この問題に取り組んでいます、まもなくアナウンスします。
2023年2月28日午前10時32分:Twitterにて公式から本件に関する初アナウンス
1. LZの流動性をArbitrumに移動させます。流動性の量は変わりません。
2.攻撃後に$LZを購入し、今も売却していない方に返金します。
4. LZpadにロックされた現在の$LZをユーザーが後で請求できるようにします。
今後、順次対応していく予定です。今後ともよろしくお願いいたします。
この時点ではあくまでも「トークン$LZがハックされた」という認識でした。しかし事態は悪化します。
2023年2月28日午後7時:さらなる被害が明らかに
残りのトークンをすべて新しいウォレットに移動し、悪用されたウォレットを使った取引を停止して下さい。このリンクを使ってRevokeしてください。
Launchzoneはこの損失に対して責任を持ち、すべての投資家の皆さまに対して補償プランを用意します。この発表から24時間後にウォレットの相互作用によって生じた損失は、補償されません。
問題の原因追及に協力してくれた@Verichainsと@KyberNetwork、ありがとう。
早急な対応に最善を尽くします。このような困難を乗り越えてLaunchZoneを利用してくださる皆さまに感謝いたします。
※その後、Cointelegraphなど複数のクリプトニュースメディアで被害総額は70万ドルにのぼると報道されました。本エクスプロイトの性質上、被害額は今後も増えると考えられます。
2023年2月28日午後10時29分:詳細追加
前回の発表に補足します。RevokeすべきSwapXのコントラクトアドレスはこちらです。0x6d8981847eb3cc2234179d0f0e72f6b6b2421a01
krystalを使用してRevokeしてください。Krystalが使えない方はrevoke.cashをご利用ください。
2023年3月2日午前8時20分:突然の爆弾投下、LZ.finance解散
LaunchZoneエコシステム(LZ Finance)は、BSCEX、ZD、Zseed、Barmyの4つのプロジェクトを統合して作成されました。BSCEXは今回の重大な件の要因となりました
reDaoのお知らせは近日公開予定です。
よろしくお願いします。
ドラマとは
プロジェクト内またはプロジェクト間で発生した人間関係の摩擦が周囲を巻き込み、大ごとになること。内々で揉み消される処理されることも多いが、人の口に戸は立てられない。
仮想通貨業界では寿司ドラマなどが有名。
2023年3月2日10時38分:残りのチームからのフォローアップメッセージ、そして新トークン発表
私たちはどこにも行かず、今もここで本件に対処していますのでご安心ください。
事件はすでに起きてしまったことであり、変えることはできません。Thanh DaoとLogan、そして残ったチームが責任を持って対処します。
誰が何と言おうと、私たちはユーザーである皆さんを見捨てません。ご理解していただけることを願うばかりです。詳細な計画については、準備が整い次第、発表します。
2023年3月3日午後3時13分:緊急告知、Revokeの制限時間は72時間!
Revokeは、この発表から72時間以内に行う必要があります。
このアナウンスから72時間以降に、http://LZ.finance に対する本アタックに起因してユーザーのウォレットがハッキングされた場合、ReDaoはいかなる損害賠償の責任も負わないものとします。
2023年3月7日午前10時57分:補償スケジュール発表
2023年3月20日~4月10日:ユーザーの皆さまのリクエストを確認し、最終的な補償額を算出します。不明点がある場合、我々はLZ HelpDeskのメール(help@lz.finance)を通じて直接ご連絡します。
2023年4月10日以降:ウォレットと補償金をreDaoのシステムに取り込み、補償手続きを開始します。
詳細な計画は、$RD(reDaoのガバナンストークン)のトークノミクスで公開される予定です。$iRDを請求できるウォレットは、被害を受けたウォレット(ただしArbitrumチェーン上)です。
次回のアナウンスに従い、期限内に補償リクエストをお送りくださいますようお願いします。3月20日以降にリクエストをお送りいただいた場合、リクエストの取り扱いは保証されません。
2023年3月7日6時6分:補償されるケースの説明
1. 2023年3月1日20:29:00 UTC+7(ブロック26088343)までのSwapXとのやり取りにより、USDT/BUSDまたはその他のトークンをハッキングされたケース。
2. 攻撃ブロック(26024420)後に$LZトークンを購入し、まだ$LZを売却していないケース。この場合は、$LZを購入するために使用したトークンの値で計算されます。
C. アタック前に$LZまたはLZ-LPまたはLZパッドにロックされた$LZのホルダーはフォームを提出する必要はありません。$LZと1:1の比率で$RDに交換します。$RDは全額支給で、べスティング期間はありません。
D.例外:MEXCのユーザーについては、今後の対応についてMEXCと連携しています。近日中にアナウンスする予定です。
怒れるユーザーたち
また、議論中にコミュニティを黙らせるというのは、コミュニティに対する方法として不適切です。私は何度も質問をしても、無視か、汎用的な返答が返されただけでした。メッセージを無効にすることは、ユーザーの不満を聞こうとしない姿勢であり、妥協する意志がないことを示しています。
2023年3月14日午後12時54分:ユーザーを怒らせる追記
利用規約に一切の責任は負わないことを書いてある。
だからプロジェクト側に補償義務はない。
でも私たちはコミュニティに対して責任を持っているから、補償します。(15か月のべスティング付きの新トークンで)
これは被害者を怒らせる悪手だと思うのですが…。なぜリリースしたのかは謎です。
しかもツイッタートップにピンどめまでされています。
私が確認したところ、この「責任感溢れる運営に補償サポートしていただくためのGoogleフォーム」、リンクが死んでいました。
キレ散らかしてテレグラムに乗り込んだところ、同じ回答を時間差で2回貰いました。
新しいGoogleフォームはこれだそうです。
こんな重要なフォームをリンク切れにしてしまって大丈夫か運営。
本件で被害を受けた方へ
残念ながら、DeFiで失った資産は戻ってこないことが多いです。
が、できることはいくつかあります。
補償を期待する
この運営チームの対応や物言いを見ていると本当に補償されるかどうかはマユツバものですが、何もしないよりはフォーム記入を試してみると良いと思います。リンクはさらに変更されるかもしれないので、公式テレグラムチャンネルに参加して最新情報を入手するようにしてください。
犯人があなたから盗んだ資産を監視する
犯人がCEX(中央集権型取引所)に送金した場合、CEXに被害報告を出せば、犯人のアカウントを凍結して返金対応してくれる場合があります。中央集権の良いところですね。
あなたが本当に盗まれた資産の元の持ち主であることを証明しなければなりませんし、警察への被害届提出を依頼されたりする場合もありかなり骨が折れますが、被害額が大きい場合は試す価値ありです。※ただし犯人もこれは承知の上なので、CEXに送金する可能性はかなり低いです。
詐欺師に関する情報を発信する
BSCScanなどのExplorerでは、セキュリティ会社や一般からの通報が多数あったコントラクトやウォレットにフラグを付けます。
今回悪用されたコントラクトのひとつ、0x26585626e4a8d4fc409146b47a61790d9008967c には「Fake_Phishing708」というタグが付けられ、その上に「警告!このアドレスがエクスプロイトに使用されたとの報告があります。このアドレスとやり取りする際は、ご注意ください。@AnciliaIncによって報告されました」とあります。
コントラクト情報をExplorer上で確認する人にとってとても有用なフラグです。
通報の仕方
BSCScanの場合だと、右上のほうにある3点ドットからReport(通報)できます。
終わりに
今回のようなケースはなかなかレアですが、DeFi界隈ではしばしば起きています。資産を守るためにも、
こまめなRevokeを癖づけましょう!
また、資産を失って困っている際は特にヘルプデスクを騙る詐欺に注意してください。詐欺師は焦りにつけ込んできます。
寄付をいただけると大変励みになります💓🦆
0x00831282F4f0F8C575993A8F2E8997BE3d77e857
(対応チェーン:ETH, BSC,Polygon, Arbitrum, Zk, Fantomなど)
