暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、MasterCard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
tag
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

Pudgy Worldが偽造された!Malwarebytesがフィッシングサイトによるウォレットパスワード盗難を警告

MarketWhisper
セキュリティインシデント
ETH1.27%
SOL1.02%

Pudgy Worldの模倣品

ネットセキュリティ企業のMalwarebytes Labsは火曜日、ドメイン「pudgypengu-gamegifts[.]live」の偽サイトが、3月10日にリリースされたばかりのPudgy Worldブラウザゲームを装い、暗号通貨ウォレットのパスワードを盗もうとしていると緊急警告を発しました。

フィッシング攻撃の巧妙な手口:11種類のウォレットインターフェースをコピー

Malwarebytesの上級マルウェア研究エンジニア、Stefan Dasicは、報告書の中で今回の攻撃の設計意図を詳述しています。Pudgy Worldの一部機能(NFTアイテムの所有権検証やゲームコンテンツの解除など)には、プレイヤーが暗号通貨ウォレットを接続する必要がありますが、攻撃者はこの合理的な手順を狙って騙しを仕掛けてきました。

「フィッシングサイトはこの操作フローを悪用しています。訪問者が偽サイト上で自分のウォレットを選択すると、その画面にはまるでウォレット自身の解除画面のように見えるインターフェースが表示されます。ユーザーにとっては、それが彼らが慣れ親しみ信頼している本物の暗号通貨ウォレットソフトウェアと全く同じに見えるのです。」

Dasicはまた、今回の攻撃は技術的に非常に高度であると指摘しています。攻撃者は11種類の異なるウォレットのUI模倣インターフェースを作成し、ほとんどすべてのウォレットに対して攻撃の盲点を作り出しています。EthereumやSolana、多チェーン資産を持つユーザーも、非常にリアルな偽のウォレット解除インターフェースを受け取ることが可能です。彼は、「11種類のウォレットUIの偽造プログラムを作るのは容易ではない」と述べており、これは「資源に恵まれた脅威行為者」や、こうした攻撃専用の商用フィッシングツールキットを再利用している可能性を示唆しています。

Pudgy Worldのブランド背景とセキュリティリスクの交錯

Pudgy Worldは、Pudgy Penguins NFTブランドを基盤とした無料のブラウザゲームで、プレイヤーは仮想世界を探索し、ペンギンのアバターをカスタマイズし、ミッションをクリアします。2022年にCEOのLuca Netzが買収して以来、Pudgy Penguinsは単なるNFTコレクションから、リテール商品やモバイルゲーム、ウェブゲームを含む消費者向けブランドへと拡大しています。

しかし、Pudgy Penguinsは以前から類似の攻撃にさらされてきました。2024年12月、ブロックチェーンセキュリティ企業のScam Snifferは、攻撃者が悪意のあるGoogle広告を利用してPudgy Penguinsのプラットフォームを偽装し、ユーザーにウォレットを接続させる詐欺を警告しています。研究者は、この種の攻撃は、著名なNFTプロジェクトの重要なイベントと連動して出現しやすく、新規ユーザーの流入が最も攻撃の好機を提供していると指摘しています。

防御策:被害者にならないための具体的な対策

Malwarebytesは、Pudgy Worldのユーザーに対して以下の具体的な防御策を提案しています。

  • 公式サイトにはブックマークからのみアクセス:検索エンジンやSNSのリンクを通じてアクセスしないこと
  • ウォレットパスワードの入力場所に注意:正規のウォレットパスワードのヒントは絶対にウェブページ内に表示されません。ページがブラウザ内でパスワード入力を求める場合は直ちに操作を停止してください。
  • プライベートメッセージやSNSのリンクをクリックしない:暗号通貨プロジェクトの公式リンクは、公式Twitter/XやDiscordの固定メッセージから取得してください。
  • 入力済みの認証情報に対する緊急対応:疑わしいサイトでウォレット情報を入力した場合は、直ちにパスワードを変更し、資産が盗まれた疑いがある場合は、新しいウォレットアドレスに資産を移動してください。

よくある質問

Q:どうすれば正規のPudgy Worldにアクセスしていることを確認できますか?
A:ドメイン名を確認し、Pudgy Penguinsの公式サイトと完全に一致しているかを比較してください(余分な文字やハイフンに注意)。公式Twitter/XやDiscordの公式チャンネルから直接リンクを取得し、ブックマークに登録した正規のアドレスを利用してください。

Q:なぜ攻撃者は新しいゲームのリリース直後に攻撃を仕掛けるのですか?
A:MalwarebytesのStefan Dasicは、攻撃のタイミングは意図的に計画されていると指摘します。新ゲームのリリース期間中は、多くの新規暗号通貨ウォレットユーザーが集まり、「ゲームがウォレット接続を要求する」という操作に慣れていないため、警戒心が緩みやすいのです。同時に、検索量の増加により、偽サイトが検索結果の上位に表示されやすくなるのです。

Q:FBIのデータによると、2024年のフィッシング詐欺の被害額は7000万ドルを超えていますが、暗号通貨ユーザーはどのくらい危険ですか?
A:FBIのインターネット犯罪苦情センター(IC3)の統計によると、2024年には193,407件のフィッシングや詐欺の苦情が寄せられ、被害額は7000万ドルを超えています。これには未報告のケースも含まれていません。暗号通貨は匿名性と不可逆性のため、資産が攻撃者の管理するアドレスに移された場合、ほぼ取り戻す手段がありません。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

仮想通貨界で最もひどい強盗事件?ハッカーが10億ドル相当のDOTを鋳造したが、盗めたのは23万ドルだけ

セキュリティインシデント

ハッカーは Hyperbridge のクロスチェーンブリッジの脆弱性を悪用して、10億枚の Polkadot (DOT) トークンを鋳造した。名目上の価値は11.9億ドル超だが、流動性が不足していたため、最終的に現金化できたのは約23.7万ドルにとどまった。攻撃は、スマートコントラクトがメッセージを正しく検証していなかったことが原因で、ハッカーが管理権を奪取してミントを成功させた。今回の事件は、市場の流動性がアービトラージの成功において重要な役割を果たすことを浮き彫りにした。

CryptoCity11時間前

偽のLedger Liveアプリが複数のブロックチェーンにまたがって50人以上のユーザーから950万ドルを盗む

セキュリティインシデント

不正なLedger Liveアプリが、AppleのApp Store上でウォレット情報を侵害することで、50人以上のユーザーから950万ドルを盗みました。この事件は、主要な投資家に大きな損失をもたらし、App Storeのセキュリティに関する懸念を引き起こしており、Appleに対する可能な訴訟についての議論が進んでいます。

GateNews13時間前

USDCの凍結が遅すぎるとして批判!CircleのCEO:「必ず裁判所の命令を待ってから凍結する。勝手に凍結することは拒否する」

USDC newsパートナーシップ・エコシステム規制・政策執行措置セキュリティインシデント

CircleのCEOであるJeremy Allaireは、裁判所の命令、または捜査・法執行の要請がない限り、同社は自発的にウォレットアドレスを凍結しないと明らかにした。ハッカーによるマネーロンダリングをめぐる論争やコミュニティからの批判に直面しても、Circleは法の支配の原則に従って運営を続ける方針を貫いている。 Jeremy AllaireがCircleの法執行に関するラインを明確化 ----------------------------- 世界の暗号資産市場が目まぐるしく動く中、ステーブルコイン発行会社CircleのCEOであるJeremy Allaireは、南韓首爾で行われた記者会見で、市場で最も敏感な「資産凍結」という論点について明確な立場を示した。彼は、Circleが技術的手段によって特定のウォレットアドレスを凍結することはできるものの、裁判所の命令や法執行当局からの正式な指示がない限り、同社はそれを行わないと述べた。

CryptoCity15時間前

ブリッジされたPolkadotの脆弱性を悪用する攻撃者が $269K をTornado Cashへ転送

執行措置セキュリティインシデントオンチェーンデータ

4月15日、Arkhamは、Bridged Polkadotの脆弱性を悪用した攻撃者が、盗まれた資金のうち約269,000ドルをTornado Cashに送金し、資産の追跡を複雑にしていると報告した。

GateNews15時間前

ビットコイン開発者が量子コンピューティングの脅威から保護するためのBIP 361を提案

bitcoin news規制・政策セキュリティインシデント

ビットコイン開発者は、量子コンピューターのリスクに対して脆弱なアドレスを凍結することでネットワークを保護するために、BIP 361を提案している。この提案には、ユーザーを量子耐性のあるウォレットへ移行させるための段階的な計画が含まれているが、ユーザーのコントロールとセキュリティをめぐって議論を呼んでいる。

GateNews15時間前

ハッカーがオブシディアンのプラグインを悪用して、ブロックチェーンC2でPHANTOMPULSEトロイの木馬を拡散

セキュリティインシデント

Elastic Security Labsは、脅威アクターがLinkedInとTelegram上でベンチャーキャピタル企業を装い、PHANTOMPULSEという名前のWindows RATを展開したことを明らかにしました。攻撃にはObsidianのノートボルトが使用されており、Elastic Defendはそれを首尾よくブロックしました。

GateNews16時間前
コメント
0/400
コメントなし