ウォレットが空にされた: 被害を最小限に抑えるための緊急対策
— By Tony Rabbit in Tutorials

ウォレットが空にされて、どうすればいいかわからないですか?悪意のある承認を特定し、すべてのチェーンで有効なアローワンスを取り消し、スイーパーボットより先に残っている資産を救出し、シードを永久に放棄するという、正確な緊急対応策をご紹介します。
ウォレットが空にされてしまい、どうすればいいか自問自答している場合、ウォレットが空にされたということは、攻撃者が悪意のあるトークン承認、permit署名、または漏洩したシードフレーズを使用して、あなたの同意なしに資産を移動させたことを意味します。時間は重要です。すべてを失うか、保有資産の一部を救うかの違いは、通常数分で決まります。このガイドでは、最初の10分から、現実的に何が回復可能かを判断するまで、緊急対応の手順を説明します。迅速に行動してください。ただし、間違った動き、例えば汚染されたウォレットにgasを送るような行為は、残りの資金を直接ボットに渡してしまう可能性があるため、手順に従ってください。
重要なポイント
- permit署名やセカンドチェーンの承認がまだ有効な場合、1つの承認を取り消すだけでは不十分です。
- スイーパーボットが着信gasに反応する前に、残っている資産を新しいウォレットに移動してください。
- 侵害されたシードフレーズは永久に無効です。いかなるチェーンやアカウントでも再利用しないでください。
- 空にされたウォレットにgasを供給すると、しばしば傍受されるため、決して補充しないでください。
最初の10分: ドレインの原因を特定する
何かをクリックする前に、ウォレットを空にしたトランザクションを見つけてください。影響を受けたチェーンのブロックエクスプローラーを開き、あなたのアドレスを貼り付け、最新の送信転送を確認してください。メカニズムを理解しようとしています。なぜなら、そのメカニズムによって何がまだ危険であるかが決まるからです。一般的な原因としては、偽のサイトに署名したトークンapprove、転送を承認するためにオンチェーントランザクションを必要としないgasレスのPermitまたはPermit2署名、または攻撃者が単にあなたのキーを持っている完全なシードの侵害があります。
流出が単一のスイープだったのか、それとも複数のトークンにわたる転送のストリームだったのかを確認してください。ERC-20トークンのみが流出し、ネイティブコインが残っている場合は、シードが盗まれたのではなく、承認またはpermitの悪用である可能性が高いです。ネイティブ残高を含むすべてがなくなっている場合は、シード自体が侵害されていると仮定してください。ドレイナーのアドレスと正確なトランザクションハッシュを今すぐメモしておいてください。後で取り消しや追跡に必要になります。即時行動のより広範なチェックリストについては、当社の暗号ウォレット復旧のための即時対策ガイドがこのページに役立つ補足となります。
すべてのチェーンで残りのアローワンスを取り消す
ドレイナーが悪用するのは1つの承認だけではありません。彼らはしばしば複数の有効なアローワンスを保持しており、ますます多くのオフチェーンpermit署名を使用して、新しい価値が着地した瞬間に転送を承認することができます。取り消しツール、またはより良いのは、あなたが侵害されていないウォレットを接続し、すべてのアクティブなアローワンスを確認してください。悪意のあるスペンダーコントラクトを取り消し、認識できないものも含め、最大(無制限)金額に設定されているすべてのアローワンスを取り消してください。
致命的な間違いは、1つのチェーンで止めてしまうことです。同じアドレスはEthereum、Arbitrum、Base、Polygon、BNB Chainなどにも存在し、一度あなたをフィッシングした攻撃者は、それらのいくつかにも承認を仕込んでいる可能性があります。資産を保有していた各ネットワークをすべて確認してください。オンチェーンのapproveを取り消しても、署名されたpermitはキャンセルされないことに注意してください。permitは使用されるまでオフチェーンに存在するため、唯一の真の防御策は、permitが触れる可能性のある基盤となる残高を削除することです。当社のトークン承認の取り消し方法に関するステップバイステップの解説では、チェーンごとの正確なメカニズムを説明しています。
ドレインされていない資産を新しいウォレットに救出する
もし何か残っていたら、自動スイーパーボットが反応する前に取り出してください。まず、クリーンなデバイスで、新しいシードフレーズを持つ真新しいウォレットを作成してください。侵害されたシードから派生させたり、古いバックアップを再利用したりしないでください。残っている資産、NFT、ステーキングポジション、および流動性をすべてこの新しいアドレスに送ってください。
ここでの落とし穴はgasです。空にされたウォレットには、トランザクション手数料を支払うためのネイティブコインが残っていない場合があり、少量のgasを送ってしまうのが本能的な行動です。シードが侵害されたウォレットでは、その着信gasは、アドレスを監視しているボットによってほぼ常に数秒以内にスイープされてしまうため、自分ではなく攻撃者に資金を提供することになります。シードが侵害されている場合は、一切gasを送らないでください。そのウォレットは損失です。承認のみが悪用され、あなたのキーがまだプライベートである場合は、gasを供給できますが、最初に最も価値の高い資産を転送し、中断のない単一のセッションで行動してください。
侵害されたシードを永久に放棄しなければならない理由
シードフレーズは、それが派生できるすべてのアカウントとチェーンのマスターキーです。一度悪意のあるサイト、偽のウォレットアプリ、またはそれを取得したフィッシングプロンプトに触れたら、永久に公開情報として扱う必要があります。漏洩したシードをローテーションしたり、クリーンアップしたり、部分的に信頼したりすることはできません。攻撃者は、既知の侵害されたアドレスを無期限に監視するようにボットをスクリプト化しているため、数ヶ月後であっても、現れた価値は即座にドレインされる可能性があります。
これが、同じウォレット内、または同じシードから派生した別のアカウントに資金を移動しても何も解決しない理由です。攻撃者もそれらのアカウントを派生させます。唯一安全な方法は、クリーンなデバイスでオフラインで生成された新しいシードであり、理想的にはハードウェアウォレットです。これらの取得フローがそもそもどのように機能するかを理解したい場合は、ウォレットドレイナーとは何かに関する当社の解説と、ウォレットドレイナー攻撃とその認識方法の詳細な分析をご覧ください。
報告のためのドレイナーアドレスの追跡
ステップ1でドレイナーアドレスを記録しました。今度はそれを追跡してください。アドレスをブロックエクスプローラーに貼り付け、盗まれた資金がどこに流れるかを確認してください。ドレイナーは通常、資産を統合ウォレットを経由させ、その後ミキサーまたは中央集権型取引所の入金アドレスに送ります。資金が取引所に到達した場合、その入金アドレスは最も強力な手がかりとなります。なぜなら、規制された場所であれば、法執行機関が迅速に行動すればそれを凍結できるからです。
チェーン、ドレイナーアドレス、統合ホップ、すべてのトランザクションハッシュ、タイムスタンプ、および失われたおおよそのUSD価値を記録してください。関連する取引所の不正行為チャネル、地元のサイバー犯罪当局、および悪意のあるアドレスをフラグ付けするウォレットドレイナー報告データベースに報告してください。現実的な期待が重要です。追跡によって資金が戻ることはめったにありませんが、証拠の足跡を構築し、取引所の預金を凍結するのに役立ち、アドレスをブラックリストに載せることで次の被害者を保護します。
回復できるものとできないもの
結果について自分自身に正直になってください。オンチェーントランザクションは最終的なものであり、攻撃者によってすでに移動された資産は、凍結される取引所アカウントに存在しない限り失われます。まだ救えるのは、ドレイナーがまだ手をつけていないすべてのものです。これが、救出ステップでのスピードが非常に重要である理由です。ブロックチェーントランスファーを元に戻すと約束する保険、払い戻し、または「回復サービス」は、ほとんどの場合、あなたを二度目にドレインする詐欺であるため、盗まれた暗号資産を回復するために前払い料金を支払わないでください。
永続的な教訓は予防です。緊急事態の後、ハードウェアウォレット、危険な承認のための専用バーナーウォレット、および定期的なアローワンスの衛生管理で設定を強化してください。ハッカーから暗号資産を保護する方法に関する当社のガイドでは、長期的な防御策を説明しており、一度の悪い署名であなたのメインウォレットが再び空になることはありません。
この記事は教育目的のみであり、金融アドバイスではありません。