2024年後半、分散型AIマーケットプレイス「Humanプロトコル」が約3,100万ドル相当の仮想通貨流出被害を受けたとみられ、関連トークン(HMT)の価格が一時90%超急落したと報告されている。今回はこの事案をオンチェーン調査の視点から整理する。
何が起きたのか
報告によれば、プロジェクトの資金管理ウォレットから大量のトークンが短時間で移動し、複数のDEX(分散型取引所)を経由して換金されたとみられる。こうしたパターンは「ラグプル(持ち逃げ)」と「外部ハッキング」の双方で共通して観察されるため、オンチェーンデータだけで攻撃者の意図を断定することは現時点では困難だ。
ハックかラグプルか——着目すべき指標
ChainTrackが注目するのは主に3点だ。①資金移動の前にコントラクト権限(Ownershipやミント権限)が変更されていないか、②流出先アドレスが事前に準備されていたとみられる痕跡(資金受取ウォレットの生成日時など)はないか、③開発チームのマルチシグ構成が適切だったか——である。権限変更が直前に行われていた場合は内部関与の可能性が高まり、逆に秘密鍵の漏洩や脆弱性悪用であれば外部攻撃の可能性が高くなる。現段階ではどちらとも断定できない。
CNCERTレポートが示す新たなリスク
中国のCNCERT/CCが同時期に発表したリポートでは、AIの「ジェイルブレイク」技術が仮想通貨マイニングマルウェアの生成に悪用される事例が報告されている。生成AIを使ったソーシャルエンジニアリングやフィッシングが、開発者・投資家の双方を標的にする可能性が高まっており、SNS・投資コミュニティ・ロマンス詐欺の文脈でも同様の手口が応用されうる点に注意が必要だ。
被害に遭わないための実践的対策
①新興DeFiプロジェクトへの参加前にコントラクト監査レポートを確認する。②SNSやDMで「高利回り」「限定参加」を強調されたら一時停止する。③保有トークンの承認(Approve)状況を定期的にチェックし、不要な権限を取り消す。資金の回復については、ブロックチェーン分析による追跡が有効な場合があるものの、回収を保証するものではない。公的機関(警察・金融庁)への届出を優先することを推奨する。
参考: PANews
💬 暗号資産の被害・不正送金の追跡調査のご相談はChainTrackへ。https://trackingbb.net
コメント