デジタル経済が分散型プロトコルに大きく移行する中、スマート コントラクトはブロックチェーン上のすべての金融活動のバックボーンとなっています。しかし、Web3 の信頼性の柱であるソース コードの不変性と自己実行性は、サイバー犯罪組織によって高度な形式の詐欺を作成するために悪用されています。このレポートでは、2025 年から 2026 年の期間における、基本的な承認の脆弱性からハニーポット トラップや人工知能 (AI) ベースの攻撃メカニズムに至るまで、悪意のあるスマート コントラクトのアーキテクチャ分析を詳しく調査しています。
タン ファット デジタル がまとめた実際のデータは、問題の深刻な性質を示しています。2025 年上半期、仮想通貨関連の犯罪で盗まれた資産の総額は、過去最高の 1.93 ドルに達しました。フィッシング攻撃は、もはや単純な偽 Web サイトに基づくものではなく、システム操作、ウォレット権限、プロトコル ロジックを組み合わせた「複合攻撃」に移行しています。特に、脆弱性の発見と悪用における AI エージェントの介入により、攻撃の有効性が高まり、AI を利用した詐欺からの収益は従来の方法の 4.5 倍となっています。
トークン承認メカニズム (トークン承認) のアーキテクチャと脆弱性
承認メカニズム (承認) メカニズムは、ERC-20 などのトークン標準の基本コンポーネントであり、ユーザーが承認できるようになります。サードパーティのアドレスに代わって資産を移動します。これは、分散型金融 (DeFi) アプリケーションがスムーズに動作するのに役立つ中心的なメカニズムです。しかし、このメカニズムの誤った実装や悪用は、ユーザーが見落としがちなセキュリティの「死角」の 1 つとなっています。
無制限の承認とシステム リスク
ERC-20 標準では、関数 approve(address Spender, uint256 amount) にはデリゲート アドレスとトークンの最大数が必要です。エクスペリエンスを最適化しガスを節約するために、多くの dApp では「無制限の承認」権限 ($2^{256}-1$) が必要です。この権利は一度付与されると、取り消されるまで永久に存続します。契約が侵害された場合、攻撃者はさらなる確認なしに現在および将来の残高全体を流出させる可能性があります。
承認関数での競合状態の分析
ユーザーが承認制限の値を $x$ から $y$ に変更すると、攻撃者はメモリプール内のトランザクションを監視し、新しいコマンドが実行される直前に $x$ 分の transferFrom コマンドを実行し、さらに $y$ を引き出し続けることができます。損失総額は $x+y$ です。 Tan Phat Digital の専門家は、OpenZeppelin などのライブラリでは、このリスクを最小限に抑えるために increaseAllowance の使用を推奨していると指摘しています。
一般的な承認モデルの分析
標準承認 (ERC-20):
allowanceを確立するためにオンチェーン トランザクション経由で行われます。従来の dApp と互換性がありますが、ガス料金が高く、無制限またはフロントランニング承認のリスクに対して脆弱です。許可 (EIP-2612): オフチェーン メッセージ署名 (EIP-712) を使用します。ガスを節約し、高速なエクスペリエンスを実現しますが、オンチェーンに痕跡を残さない偽のメッセージに簡単に署名させられます。
Permit2 (Uniswap): Uniswap の Permit2 契約の 1 回限りの承認。トランザクションの一元管理とクラスタリングをサポートしますが、「マスター承認」が作成されます。これが悪用されると致命的な弱点となります。
SetApprovalForAll (ERC-721): NFT コレクション全体を承認します。これは NFT 交換にとって必要な要件ですが、たった 1 つの間違った記号ですべての資産を失う潜在的なリスクを伴います。
詳細はこちら: スマート コントラクトとは何ですか?スマート コントラクトについて知っておくべきこと
SetApprovalForAll と NFT フィッシングによる危険
NFT (ERC-721/1155) の場合、setApprovalForAll 関数は、特定のユーザー契約に属するすべての NFT を移動する権限を「オペレーター」に与えます。攻撃者は多くの場合、偽の「Free Mint」または「Airdrop」Web サイトを介してユーザーをだましてこのコマンドに署名させます。彼らが権力を手に入れたら、Angel Drainer のようなツールキットを使って財布を空にするでしょう。 Tan Phat Digital によると、各 NFT にマルチアドレスの承認メカニズムがないため、ユーザーは利便性と引き換えに高いリスクを受け入れなければならない立場に意図せず追い込まれています。
バックドア管理権とアップグレード可能な契約
多くの「ラグ プル」プロジェクトは、コミュニティの信頼を得た後、適切な資産に管理バックドアを使用しています。
管理機能悪用
無限
ミント機能: 所有者は無制限のトークンを印刷して市場にリリースし、ユーザーの資産価値を 0 に減らします。永続的な
一時停止機能: ユーザーのすべての送金および受け取りアクティビティをロックします。ブラックリスト機能: 通常、購入者が資金を入金した直後に、特定のウォレット アドレスが取引されるのを防ぎます。
攻撃者は、プロキシ モデルを使用して最初にクリーンなソース コードを展開し、その後、upgradeTo 関数を使用して悪意のあるロジックに置き換えることもよくあります。プロジェクトが一定のTVL(総額)に達した場合。
ハニーポット トラップの詳細な分析
ハニーポットは、入金されたお金の出金を防ぐ論理トラップを含むコントラクトの一種です。
リエントランシー トラップ (ハッカー トラップ): プログラミングの知識を持つ人々を騙して「ハッキング」するためにお金を入金させるために、リエントランシー攻撃に対して脆弱であるように見せかけます。しかし、出金機能は隠されたロジックによってブロックされ、「ハッカー」による出金の試みはすべて失敗し、おとりのお金はスタックしました。
難読化テクニック: 継承で同じ名前の変数を使用するか、ユーザーの利益を排除するために最大 99% の消費税を課します。
エクスプローラーでハニーポットを識別する最も簡単な兆候は、「色のみ」のローソク足チャートです。 green" (販売ではなく購入のみ) と保有者の数は継続的に増加しますが、譲渡はありません。
未検証のソース コードと偽の監査の問題
透明性は Web3 の基礎ですが、詐欺師はソース コードを読み取り不可能なバイトコードとして隠すことがよくあります。さらに、CertiK や Hacken などの信頼できる組織からの監査レポートの改ざんは、厄介な問題になりつつあります。
手順評判の良い監査部門を検証するため
CertiK: レポートには、Certik.com/projects で検証された Skype コントロール パネルへの直接リンクが必要です。
ハッケン: レポートは GitHub で公開されており、組織は次で検証されています。 Hacken.io/audits.
OpenZeppelin: 標準ライブラリのプロバイダー。レポートは常に非常に詳細に提供されます: Blog.openzeppelin.com。
Sherlock: 透明性のあるレポートを備えたコミュニティ監査モデルを使用します: Sherlock.xyz。
新たな攻撃トレンド: AI とサプライ チェーン
2026 年に入り、AI詐欺師によるニュース作成に貢献 スペルミスのないフィッシングメッセージや非常に説得力のあるディープフェイク動画も増加しており、オープンソースライブラリを標的としたサプライチェーン攻撃も増加しており、通常は 2026 年初頭の SagaEVM ハッキングにより、レガシー脆弱性により 700 万ドルの損失が発生しました。
2026 年 1 月の典型的な DeFi ハッキング
ステップ ファイナンス: 秘密鍵侵害により 3,000 万ドルの損失が発生しました。 (秘密キー) レッスン: マルチ署名ウォレットとコールド ストレージを使用する。
Truebit: 無料のトークン作成を可能にした古いソース コードのバグにより 2,640 万ドルが損失。
SwapNet: 任意の関数呼び出しの脆弱性により、1,340 万ドルが損失。教訓: 入力データを厳密に管理する。
SagaEVM: サプライ チェーン攻撃により 700 万ドルの損失。教訓: 他のプロジェクトから継承したソース コードを慎重に評価してください。
MakinaFi: 流動性プールのロジック エラーにより 410 万ドルを損失。レッスン: DeFi ロジックのエッジ ケースの監査。
ユーザー向けの保護戦略と分析ツール
資産を保護するために、Tan Phat Digital はユーザーに多層防御システムを構築することを推奨しています。
自動ツールを使用する: トークン スニファー (安全性スコア)、GoPlus セキュリティ (非表示のスキャン) を介して契約アドレスを確認します。
手動評価: 常に CoinGecko/CoinMarketCap からコントラクト アドレスを取得します。 Rabby ウォレットを使用して、署名する前にトランザクションをシミュレートします (トランザクション シミュレーション)。
承認権限の管理: 定期的に Revoke.cash にアクセスして、使用されなくなったアプリケーションの承認権限をキャンセルします。これはサイレント出金を防ぐための最も重要な対策です。
よくある質問 (FAQ)
無制限の承認とは何ですか? これは、dApp がウォレット内で最大 2^256 - 1 トークンを使用することを承認する場合です。これは便利ですが、dApp がハッキングされているか詐欺である場合は非常に危険です。
トークンの承認を取り消すにはどうすればよいですか?Revoke.cash (Ethereum) や Solscan (Solana) などのツールを使用して、不要なアクセス許可を定期的に確認して削除する必要があります。
メカニズムとはNFT の「SetApprovalForAll」 これは、サードパーティ (取引所など) が特定のコレクション内のすべての NFT を移動できるようにする権限です。
NFT 取引所が「SetApprovalForAll」権限を要求するのはなぜですか? 取引が完了したときに、小規模な注文ごとにサインオフすることなく、NFT を購入者に自動的に転送できるようにするためです。
ハニーポット トークンの最も明確な兆候は何ですか?価格チャートには緑色のローソク足 (買い注文) だけがあり、通常のユーザーからの売り注文は何時間もまったくありません。
ハニーポットの「バランス障害」はどのように機能しますか? 詐欺師はユーザーをだまして、契約の現在の残高よりも大きな量の ETH を送金すれば全額受け取れると思わせます。返金されますが、実際には、契約ロジックによりそれが阻止されます。
「再入可能ベイト」はどのようにハッカーを騙すのでしょうか?契約は「偽の」再入可能脆弱性を意図的に公開しています。ハッカーが攻撃のために資金を預けると、隠された関数が
revertコマンドをトリガーし、ハッカーはおとりのお金をすべて失います。無限の「ミント」関数は投資家にどのような害を及ぼしますか? プロジェクト オーナーは何十億もの追加トークンを印刷し、価値を薄め、保有するトークンの価格をほぼゼロに下げる可能性があります。
なぜ生のソース コードを操作してはいけないのでしょうか?検証しますか?バイトコード形式のソース コードは判読できず、引き出し命令や悪意のあるバックドアが完全に隠蔽されているためです。
監査が本物であることを知るにはどうすればよいですか? スクリーンショットを信じるのではなく、直接監査部門の公式 Web サイト (CertiK スカイネットなど) にアクセスし、比較する契約アドレスを検索してください。
リスク のリスクは何ですか。 「Permit」署名 (EIP-2612)?攻撃者は、ウォレットが空になるまで知らないうちにトークンを使用する許可を与えるオフチェーン メッセージ (ガスなし) に署名させることができます。
「Permit」と「Permit2」の違いは何ですか? Permit はトークンに組み込まれているのに対し、Permit2 (Uniswap の) は中間契約では、1 つの署名で多くの種類のトークンを同時に大量承認できます。
「トランザクション シミュレーション」は絶対に安全ですか?これはトランザクション結果 (例: 「10 ETH を失うことになります」) を予測するのに役立ちますが、アクティベーションが遅いロジック トラップを検出したり、後で契約をアップグレードしたりすることはできません。
悪意のある有害であると疑われる契約に誤って署名してしまった場合はどうすればよいですか?ただちに Revoke.cash を使用して承認をキャンセルし、残りの資産を新しいより安全なウォレットに転送してください。
Etherscan は詐欺の検出に役立ちますか? はい、「契約」セクションをチェックしてソース コードが検証されているかどうかを確認したり、取引履歴で「売買のみ」パターンがないか確認したり、コメントを読んだりできます。
悪意のあるスマート コントラクト エコシステムの成長は、攻撃がますます巧妙化していることを示しています。すべての投資家に対するタンファットデジタルからの最後のアドバイスは、常に「ゼロトラスト」の考え方を保つことです。すべてのトランザクションと署名は、慎重に検証しないと潜在的に危険です。利便性よりも安全性を優先し、長期的に蓄積された資産にはコールド ウォレットを使用します。
シェア
