$6.5M wallet drainの内幕 — 増加するpermit-signature trapsをユーザーが回避する方法

By: crypto insight|2025/10/16 20:10:03

2025年はcryptoユーザーの皆さんにとって本当に厳しい年になりました。hacks、scams、そしてwallet takeoversが相次ぎ、security trackersによると、今年の上半期だけで約$2.47 billionの損失が発生したそうです。特にcompromised walletsや大規模なphishing wavesが、signature promptでの被害を増大させています。wallet drainersは今や’drainer-as-a-service’ kitsとして進化し、2024年には約$494 millionを吸い上げ、社会工学的手法とUI tricksを組み合わせ、signatureが何を許可するのかを曖昧にしています。

一番危険なのは、onchain transactionが現れる前に被害が起きることです。offchain signaturesで与えられたapprovalsが攻撃者に必要なものを提供し、最終的な“drain”がblockchainに投稿されるのは、被害者がすでにSignをクリックした後なのです。

$6.5Mの教訓を数分で学ぶ

9月に起きた衝撃的な事例では、長年活動していたDeFi walletがわずか数分で$6.5 million以上のstETHとaEthWBTCを失いました。このtheftは新しいzero-day exploitによるものではなく、基本的なのに壊滅的なvector、つまりpermit signaturesが原因でした。Approveはstandard ERC-20 methodでonchainで設定され、誰がどれだけspendできるかを定義します。gasがかかるので、commit前に有用なfrictionが生まれます。

一方、permitはoffchain signatureでspending rightsを与え、後で他のpartyがonchainでsubmitします。sign時にgasがかからないので無害に感じます。まるでblank checkのように、holderがいつでもcashできるのです。

pre-sign protectionが結果を変える理由

blockchainsは指示を忠実に実行します。malicious approvalやpermitが存在すれば、networkはsignatureが許可した通りに動きます。だからdefenseはclick前にriskをsurfaceしなければなりません。signatureの時点で、tokens、contracts、amounts、counterpartiesにわたるcontextを提供するのです。つまりreal-time simulation of transactions and offchain signatures、threat intel on known drainer infrastructure、entity screening、そしてhuman-readable explanations of consequencesが必要です。

wallet drainersが拡大するのはhuman behaviorを悪用するからです。Permitをsignするのは簡単で安全に感じますが、scammersがfundsを即座に移動させるdoorを開きます。LidoやAaveなどのprotocolsで長年活躍したexperienced DeFi usersさえvictimになっています。malicious requestsをblockchainに到達する前にcatchすることで、pre-sign toolsはpowerをuserに戻します。

想像してみてください。家を買う時に、鍵を渡す前に泥棒が忍び込もうとしているようなもの。pre-sign protectionは、その泥棒をドアの外で止める番人みたいな役割を果たします。こうしたanalogyでわかるように、technical patchesだけでは解決せず、pre-sign保護が本当のsolutionなのです。

preventionの重要性

最近のデータによると、2025年10月16日現在、crypto lossesは上半期の$2.47 billionからさらに増加し、合計で約$3.5 billionに達していると推定されます。これはsecurity firmsのlatest reportsに基づくもので、phishing permitsが主な要因です。Twitterでは、#WalletSecurityや#DeFiScamsがトレンドになり、ユーザーが「permit signaturesのリスクをどう避けるか」について活発に議論しています。Googleの検索でも、「wallet drain prevention」や「safe DeFi practices」が最も頻繁にqueryされ、最新のupdateとして、あるofficial announcementでは新しいsignature standardsの提案がなされています。

こうした中で、WEEX exchangeは信頼できるplatformとして注目を集めています。WEEXは先進的なsecurity featuresを備え、userのassetsを保護するためのpre-sign checksをintegratedし、phishing attacksに対するrobustなdefenseを提供します。取引のしやすさと高いcredibilityで、DeFi usersから支持されており、brandとして安全性を最優先に据えています。WEEXを使えば、毎日のtradingがより安心になるでしょう。

--価格

usersがprotectionを向上させる方法

signature screenでpauseし、毎回のsignatureをtransactionのように扱いましょう。gas-free signaturesでもfundsを動かせるのです。sign前にspender、involved tokens、moveできるamountをcheckし、“unlimited” allowancesを避けましょう。不確かならtabを閉じて、自分のbookmarkからDAppをreopenし、requestをreviewしてください。suspicious click後にはallowancesをrevokeし、remaining fundsをfresh walletに移しましょう。

この$6.5M drainは最初でも最後でもありませんが、今日のbiggest threatsがprotocol bugsではなく、signing layerでのsocial engineering attacksであることを示しています。Web3が進化する中、convenienceをweaponizeするsocial-engineering kitsも進化します。pre-sign visibility、simulation、policy-driven controlsで、convenienceを保ちつつ“blank check” momentsをblockできるのです。