SushiSwapのオークションサイト、フロントエンド攻撃で資金流出

仮想通貨



2021-09-17 15:00:58

フロントエンド攻撃で資金流出

大手暗号資産(仮想通貨)DeFiプロトコルSushiSwapのトークンオークションプラットフォーム『MISO』で、フロントエンド攻撃が発生し、864.8ETH(約3.4億円)が盗まれたことがわかった。

SushiSwapのCTOであるJoseph Delong氏がSNSで報告した内容で、原因は、MISOのフロントエンドに仕掛けられた悪意コードだったようだ。

味噌フロントエンドは、サプライチェーン攻撃の犠牲になっています。 GHハンドルAristoK3を使用した匿名の請負業者が、悪意のあるコードをMisoフロントエンドに挿入しました。 これが @ eratos1122

864.8 ETHが盗まれました、以下のアドレスhttps://t.co/cDZeBqFV4P

—ジョセフ🤝デロング🔱(@josephdelong) 2021年9月17日

Delong氏によると、影響されたオークションは、「Jay Pegs Auto Mart」というもので、ハッカーがフロントエンドでオークション側のアドレスを自分のアドレスにすり替えて、ユーザーから資金を抜き取ったという。

対策すべく、Delong氏はFTXおよびバイナンスに連絡しハッカーのKYC情報の共有を求めたが、現時点では対応が拒否されたと指摘。また、仮想通貨弁護士のStephend Palley氏にすでに事態を知らせており、FBIが主導する米国インターネット犯罪苦情センターに報告する予定があると説明した。

今回の攻撃について、Delong氏は「サプライチェーン攻撃」と表現。サプライチェーン攻撃には、主に「IT機器やソフトウェアの製造過程でマルウェアに感染させたり、バックドアを仕込んだりしておく方法」と「ターゲット企業のグループ会社、業務委託先、発注先、仕入れ先などを攻撃し、それを足がかりにターゲット企業に侵入する方法」があるとされている。(NECソリューションイノベータ参照)。

著者:菊谷ルイス



長文は切り捨ててております。元ソースよりご確認ください。


元ソース

続き・詳細はこちら SushiSwapのオークションサイト、フロントエンド攻撃で資金流出

SushiSwapのオークションサイト、フロントエンド攻撃で資金流出

タイトルとURLをコピーしました