最近、自分のウォレットから自動的に資金が送金されたと報告するユーザーが多くいますが、送金額は常に0 USDTであり、ウォレットが盗まれたのではないかと非常に不安を感じています。私たちに問い合わせるユーザーが後を絶ちません。
実際には、これは攻撃者がEVMトークンコントラクトの固有の脆弱性を悪用して悪意のある送金を行う、非常によくある詐欺の手口です。パニックになる必要はありません。あなたのウォレットはまだ安全ですので、無視してください。
例えば、被害者Aが通常のトランザクションでBに500 USDCを送金した後、しばらくしてC(ハッカー)から0 USDCを受け取ります。同時に、ユーザーA自身も同じトランザクションハッシュ内でCへ0 USDCを意図せず送金し、0 USDCの送金を実現します。
この原因は、トークンコントラクトのTransferFrom関数が、承認された送金額が0より大きいことを強制していないため、失敗することなく任意のユーザーアカウントから不正なアカウントへ0 USDCの送金を開始できることです。悪意のある攻撃者は、この条件を利用して、チェーン上のアクティブなユーザーに対して継続的にTransferFrom操作を開始し、送金イベントをトリガーさせます。
このような攻撃型のイベントは、EVMチェーンとTRONチェーンの両方に存在します。資産の損失を避けるために、正しい送金アドレスを二重に確認しコピーするようにしてください。
一方、OneKeyでは有害なスパムを回避し、詐欺からユーザーを保護するための不正防止設計に取り組んでいます。