【詐欺】Fake_Phishing708に注意!!初期BSCユーザーは必ずコントラクトApprove状況を確認しよう【DeFi】
数年前に稼働していたコントラクトがスキャムコントラクトに進化し大きな被害を生んだ話
おら!ニナ(@_ninahaus
_)です。
DeFiユーザーであれば『詐欺(スキャム)コントラクトをApproveしてはならぬ』という鉄則を耳にタコができるほど聞いていると思いますが、最近すこし経路の違う詐欺が起こっているようです。私も被害にあうところだったので、注意喚起の為まとめました。
🚨TLTR;
2021年(特に前半)にBSCでLaunchZone(BSCEX)のAMMアグリゲーター、SwapXを利用したことのある方は必ずApproveの状況を確認、当該コントラクトをRevokeしましょう!
使ったかどうかよく覚えていない、と言う方も念のため確認してください。
LaunchZoneの悪用されたSwapXコントラクト
LaunchZoneはBSCではそこそこ老舗の、DEXアグリゲーターやLaunch Padを持つプロジェクトです。過去には「BSCEX」という名前でしたが、2021年3月に「LaunchZone」にリブランディングしました。
BSCEX名義で運営していたDEXアグリゲーター「SwapX」のコントラクトがアタッカーによってトークンを盗む手段として悪用されています。被害が報告されているのは主に次の2つのコントラクトです。
※LaunchZoneは「LaunchZoneの全コントラクト」のApprove取り消しを推奨しています。
- BSCScan上での名前はまだない
https://bscscan.com/address/0x6d8981847eb3cc2234179d0f0e72f6b6b2421a01
22060ウォレットが本コントラクトをApprove済 参考 - Fake_Phishing708
https://bscscan.com/address/0x26585626e4a8d4fc409146b47a61790d9008967c
32282ウォレットが本コントラクトをApprove済 参考
そもそもコントラクトApproveって?
一般的にDEXコントラクトをApproveするということは、そのコントラクトがウォレット内の特定トークンへのアクセスを許可するということです。例えば、DEXで初めてUSDCを他トークンにスワップするとき、Approveが必要ですよね。あれは「このDEXが私のウォレット内のUSDCにアクセスすることを認めます」という認証をしています。
つまりそのコントラクトが悪人の手に渡ってしまった場合、その人はあなたのウォレットにあるUSDCを盗む(ドレイン)することができます。これが『スキャムコントラクトをApproveしてはならぬ』の意味するところです。
本件の被害が大きいわけ
1.SwapXはスキャムではなかった
SwapXは普通に稼働しているDEXアグリゲーターでした。
複数AMMをうまく組み合わせてベストレートを提供してくれるため、PancakeSwapのみを利用するよりレートが良い時期もありました。
また、BSCEXは2021年1月にPancakeSwapのシロッププールに登場しました。そのころと言えばBSCのDeFiブームが始まるころで、まさに旬です。BSCプロジェクトの登竜門とも噂されたPancakeSwapのシロッププールに来たプロジェクトならハズレはない。うさぎを通してBSCEXを知り、良レートを求めて度々SwapXを利用した人もいるはず。
私がまさにそうでした。
2.SwapXのコントラクトは古く、現役ではなかった
LaunchZoneはSwapX後継となる新機能、LZ Swapを2021年7月にリリースしました。よって、BSCEX製のSwapXコントラクトはこのあたりで役目を終えたと見て良いでしょう。
まともに動いていたコントラクトが役目を終えたとき、わざわざRevokeしない人は多いのではないでしょうか。
3.現在は仮想通貨界隈の熱がやや冷めているので、こまめに各プロジェクト情報を追っていない人が多い
プロジェクトを追っていないと、当然最新情報のキャッチアップが遅れます。インフルエンサーが流してくれることもありますが、LaunchZoneはインフルエンサーに今も愛されているプロジェクトとは言いづらいです。
またSwapX現役時代当時に比べるとプロジェクト数もチェーン数も増えました。2年以上前にApproveしたBSCプロジェクトの存在を忘れている人もいると思います。
したがってプロジェクトが「ハックされました。Revokeして!」と言ってもユーザーに声が届かないのです。
まとめると、今回の件は
PancakeSwapシロッププールに登場したプロジェクトの、きちんと稼働していたコントラクトが、引退後2年を経て忘れ去られたころに悪用され、ユーザーの資産を盗んでいる。
これは結構やっかいなケースです。
当時はまともなコントラクトでしたから、本件の被害者には「スキャムコントラクトをApproveした」認識はありません。そしてSwapXコントラクトをApproveしたのは2年以上前で、これまで特に被害なく、最近になって突然ウォレットから資産が盗まれたのですから原因が思い当たらなくて当然です。
ともかく、お持ちのウォレットが該当コントラクトをApproveしているか確認してください。
コントラクトApprove状態の確認とRevoke方法
Revokeサイトで簡単に確認できます。
ご利用は自己責任でお願いします。
私は最初に教えてもらったのがunrekt.netだったので、ここを使っています。
Venus Protocolは次の3つを紹介していました。
どのサイトも使い方はほぼ同じで、
- ウォレットをつなぐ
- Revokeしたいコントラクトやトークンを検索
- 見つけたらRevoke!
*少しだけガスや手数料を支払います
どれどれ…………。
ア”ッ
私の場合はFake_Phishing708に対し$BSCXトークンの利用を許可していました。もしウォレットに$BSCXが入った場合、ドレインされていたことになります。$BSCXは旧BSCEXのもうミントされていないトークンであり、私自身も保持していないことが幸いして被害はありませんでした。
当該コントラクトを見つけた場合はRevokeボタンを押しましょう。
本エクスプロイトに関するLaunchZone対応記録
普段はツイートリンクを記事に埋め込むのですが、BSCEXはTwitterアカウントを削除した前科があるためツイートはすべて画像添付しています。クリックするとオリジナルツイートに飛びます。
2023年2月27日午前10時:公式テレグラムにて$LZトークンのハックに関する第一報
$LZがDND exploiterにハックされました。チームが対応していますが、今ではトークンを購入しないでください。落ち着いてください、私たちはタイムリーにアップデートしていきます。
2023年2月27日午後7時:Twitterにてユーザーから苦言
https://twitter.com/0xRugrats/status/1630144952339697664?s=20
今日、LaunchZoneがDNDエクスプロイターにやられたけどTwitterではその件に関してアナウンスしてない。どう思うよ?
全ては隠さず公開されています。だから、落ち着いてアナウンスを待ってください。現在この問題に取り組んでいます、まもなくアナウンスします。
2023年2月28日午前10時32分:Twitterにて公式から本件に関する初アナウンス
親愛なるコミュニティの皆さまへ。昨日のアタックを受け、私たちは直ちに次の行動をとります。 1. LZの流動性をArbitrumに移動させます。流動性の量は変わりません。 2.攻撃後に$LZを購入し、今も売却していない方に返金します。
3.$LZに流動性(LP)を提供していた方に返金します。LPの金額はアタック前の値に再計算します。 4. LZpadにロックされた現在の$LZをユーザーが後で請求できるようにします。今後、順次対応していく予定です。今後ともよろしくお願いいたします。
この時点ではあくまでも「トークン$LZがハックされた」という認識でした。しかし事態は悪化します。
2023年2月28日午後7時:さらなる被害が明らかに
調査の結果、SwapX(Launchzoneリブランド前のBSCEXブランド名でのAMM)が攻撃されたと結論付けました。
SwapXに接続したウォレットがハッカーに乗っ取られ、ステーブルコインやトークンが盗まれました。被害総額は32万ドルと見ています。 残りのトークンをすべて新しいウォレットに移動し、悪用されたウォレットを使った取引を停止して下さい。このリンクを使ってRevokeしてください。 Launchzoneはこの損失に対して責任を持ち、すべての投資家の皆さまに対して補償プランを用意します。この発表から24時間後にウォレットの相互作用によって生じた損失は、補償されません。 問題の原因追及に協力してくれた@Verichainsと@KyberNetwork、ありがとう。 早急な対応に最善を尽くします。このような困難を乗り越えてLaunchZoneを利用してくださる皆さまに感謝いたします。
※その後、Cointelegraphなど複数のクリプトニュースメディアで被害総額は70万ドルにのぼると報道されました。本エクスプロイトの性質上、被害額は今後も増えると考えられます。
https://cointelegraph.com/news/700-000-drained-from-bnb-chain-based-defi-protocol-launchzone
2023年2月28日午後10時29分:詳細追加
ユーザーの皆様へ。 前回の発表に補足します。RevokeすべきSwapXのコントラクトアドレスはこちらです。0x6d8981847eb3cc2234179d0f0e72f6b6b2421a01 krystalを使用してRevokeしてください。Krystalが使えない方はrevoke.cashをご利用ください。
2023年3月2日午前8時20分:突然の爆弾投下、LZ.finance解散
Launchzoneコミュニティの皆様へ。 LaunchZoneエコシステム(LZ Finance)は、BSCEX、ZD、Zseed、Barmyの4つのプロジェクトを統合して作成されました。BSCEXは今回の重大な件の要因となりました
旧BSCEXメンバーの一部が責任を取らなかったため、LZ.financeを解散し、残りのチームメンバーが「reDao」の名のもと本件を担当します。 reDaoのお知らせは近日公開予定です。よろしくお願いします。
ドラマってんな~
ドラマとは
プロジェクト内またはプロジェクト間で発生した人間関係の摩擦が周囲を巻き込み、大ごとになること。内々で揉み消される処理されることも多いが、人の口に戸は立てられない。
仮想通貨業界では寿司ドラマなどが有名。
2023年3月2日10時38分:残りのチームからのフォローアップメッセージ、そして新トークン発表
LoganとThanh Daoからのメッセージ: 私たちはどこにも行かず、今もここで本件に対処していますのでご安心ください。
旧チームは解散してしまったため、LZ.financeを保持することは何も解決しません。新チームが近々reDAOを立ち上げ、$LZトークンは$RDトークンと交換される予定です。 事件はすでに起きてしまったことであり、変えることはできません。Thanh DaoとLogan、そして残ったチームが責任を持って対処します。 誰が何と言おうと、私たちはユーザーである皆さんを見捨てません。ご理解していただけることを願うばかりです。詳細な計画については、準備が整い次第、発表します。
また新トークンか
2023年3月3日午後3時13分:緊急告知、Revokeの制限時間は72時間!
緊急告知:将来の潜在リスクを軽減するため、72時間以内に http://LZ.financeの全コントラクトをRevokeしてください。
今後起こりうるリスクを回避するため、LZ Swap、LZ Pad、LZ Pool、LZ Platinum、LZ vesting、LZ Wallet、PoolX、PadX、EzDefiなど、http://LZ.finance に関わるすべてのコントラクトをRevokeするようお願いします。Revokeは、この発表から72時間以内に行う必要があります。 このアナウンスから72時間以降に、http://LZ.finance に対する本アタックに起因してユーザーのウォレットがハッキングされた場合、ReDaoはいかなる損害賠償の責任も負わないものとします。
私のBUSDが盗まれたのは72時間後だよ
http://LZ.finance に関わる全コントラクトってどれ?
3日以内はタイトだなぁ…この発表は金曜午後だし
2023年3月7日午前10時57分:補償スケジュール発表
先の発表に伴い、下記のとおり補償スケジュールを決定しましたのでお知らせします。
2023年3月7日~3月20日:ユーザーは次のフォームに補償リクエストを記入してください。 2023年3月20日~4月10日:ユーザーの皆さまのリクエストを確認し、最終的な補償額を算出します。不明点がある場合、我々はLZ HelpDeskのメール([email protected])を通じて直接ご連絡します。 2023年4月10日以降:ウォレットと補償金をreDaoのシステムに取り込み、補償手続きを開始します。
最終的な補償金額は、攻撃の1ブロック前の$LZ価格に相当する0.1453744ドルのレートで$iRDで支払われます。$iRDは、15か月間のベスティング(権利確定)・スケジュールをもちます(報酬を得られるステーキングメカニズム付き)。 詳細な計画は、$RD(reDaoのガバナンストークン)のトークノミクスで公開される予定です。$iRDを請求できるウォレットは、被害を受けたウォレット(ただしArbitrumチェーン上)です。 次回のアナウンスに従い、期限内に補償リクエストをお送りくださいますようお願いします。3月20日以降にリクエストをお送りいただいた場合、リクエストの取り扱いは保証されません。
2023年3月7日6時6分:補償されるケースの説明
A. 補償が適用されるふたつのケースを要約します。 1. 2023年3月1日20:29:00 UTC+7(ブロック26088343)までのSwapXとのやり取りにより、USDT/BUSDまたはその他のトークンをハッキングされたケース。 2. 攻撃ブロック(26024420)後に$LZトークンを購入し、まだ$LZを売却していないケース。この場合は、$LZを購入するために使用したトークンの値で計算されます。
B. すべての補償案件は$iRDで支払われ、15ヶ月でべスティング(権利確定)完了します。確定した$iRDは$RDにスワップでき、確定していない$iRDは、後ほど$USDCで報酬を得るためにステークすることができます。 C. アタック前に$LZまたはLZ-LPまたはLZパッドにロックされた$LZのホルダーはフォームを提出する必要はありません。$LZと1:1の比率で$RDに交換します。$RDは全額支給で、べスティング期間はありません。 D.例外:MEXCのユーザーについては、今後の対応についてMEXCと連携しています。近日中にアナウンスする予定です。
怒れるユーザーたち
15か月のべスティング?詐欺かよ!
$USDTや$BUSDを失った我々は、$RDトークンと15ヶ月のべスティングには興味がありません。それらはあなた方の最善の利益のためだけで、ユーザーのためではない。我々はただトークンを取り戻したいだけ。同意する人はいいねを押して!
私たちも被害者であり、巨額のハッキングを受けています。現在の能力に基づいて、私たちはユーザーにとって最良の解決策を見出しました。
なら、いくらかの透明性が必要です…オンチェーン情報を元に、あなた方の損失レポートをコミュニティに提供してください。 また、議論中にコミュニティを黙らせるというのは、コミュニティに対する方法として不適切です。私は何度も質問をしても、無視か、汎用的な返答が返されただけでした。メッセージを無効にすることは、ユーザーの不満を聞こうとしない姿勢であり、妥協する意志がないことを示しています。
2023年3月14日午後12時54分:ユーザーを怒らせる追記
私たちのdappsまたはLZ/BSCXドキュメントでポップアップ表示される利用規約には、ハッカー攻撃やウェブサイトの欠陥、エラー、不具合、誤り、不正確さがあった場合に、私たちは一切の責任を負わないことを表記しています。
私たちのdappsを使用する上で、ウェブサイトまたはその一部が利用ができない、またはコンテンツやサービスに欠陥があった場合などにユーザーが被った損害について、私たちは一切の責任を負いません。しかしながら、今回の一件に対する私たちの補償支援プランは私たちからLZコミュニティへの強力なサポートであり、コミュニティに対する責任感、影響を受けた人とLZホルダーのためのreDao開発へのコミットメントを表しています。
被害にあわれた方は、補償サポートを受けるため、2023年3月20日までにこのフォームを通じて申請を提出するように改めてお知らせします。
- 利用規約に一切の責任は負わないことを書いてある。
- だからプロジェクト側に補償義務はない。
- でも私たちはコミュニティに対して責任を持っているから、補償します。(15か月のべスティング付きの新トークンで)
これは被害者を怒らせる悪手だと思うのですが…。なぜリリースしたのかは謎です。
しかもツイッタートップにピンどめまでされています。
私が確認したところ、この「責任感溢れる運営に補償サポートしていただくためのGoogleフォーム」、リンクが死んでいました。
ハ?
キレ散らかしてテレグラムに乗り込んだところ、同じ回答を時間差で2回貰いました。
ハ???
新しいGoogleフォームはこれだそうです。
こんな重要なフォームをリンク切れにしてしまって大丈夫か運営。
本件で被害を受けた方へ
残念ながら、DeFiで失った資産は戻ってこないことが多いです。
が、できることはいくつかあります。
補償を期待する
今回の場合、運営チームの対応や物言いを見ていると本当に補償されるかどうかはマユツバものですが、何もしないよりはフォーム記入を試してみると良いと思います。リンクはさらに変更されるかもしれないので、公式テレグラムチャンネルに参加して最新情報を入手するようにしてください。
犯人があなたから盗んだ資産を監視する
犯人がCEX(中央集権型取引所)に送金した場合、CEXに被害報告を出せば、犯人のアカウントを凍結して返金対応してくれる場合があります。中央集権の良いところですね。
あなたが本当に盗まれた資産の元の持ち主であることを証明しなければなりませんし、警察への被害届提出を依頼されたりする場合もありかなり骨が折れますが、被害額が大きい場合は試す価値ありです。※ただし犯人もこれは承知の上なので、CEXに送金しない可能性は高いです。
詐欺師に関する情報を発信する
BSCScanなどのExplorerでは、セキュリティ会社や一般からの通報が多数あったコントラクトやウォレットにフラグを付けます。
今回悪用されたコントラクトのひとつ、0x26585626e4a8d4fc409146b47a61790d9008967cには「Fake_Phishing708」というタグが付けられ、その上に「警告!このアドレスがエクスプロイトに使用されたとの報告があります。このアドレスとやり取りする際は、ご注意ください。@AnciliaIncによって報告されました」とあります。
コントラクト情報をExplorer上で確認する人にとってとても有用なフラグです。
通報の仕方
BSCScanの場合だと、右上のほうにある3点ドットからReport(通報)できます。
終わりに
今回のようなケースはなかなかレアですが、DeFi界隈ではしばしば起きています。資産を守るためにも、こまめなRevokeを癖づけましょう!
また、資産を失って困っている際は特にヘルプデスクを騙る詐欺に注意してください。詐欺師は焦りにつけ込んできます。