キーポイント
- Telegramベースの暗号取引ボットとして人気のBanana Gunは、Telegramメッセージオラクルの脆弱性が原因で、11人のユーザーに影響を与える300万ドルのハッキングを経験した。
- 同社は、トークンを売却することなく、影響を受けた全ユーザーに同社の金庫から全額を返金することを約束し、ユーザーの信頼と安全に対するコミットメントを示しました。
ハッキングの詳細と標的となった被害者
2024年9月19日、Telegram経由で広く利用されている暗号通貨取引ボットのBanana Gunが、巧妙なハッキングの被害に遭った。この攻撃により、ユーザーの暗号ウォレットから不正送金が行われ、同社はさらなる損失を防ぐため、イーサリアム仮想マシン(EVM)とソラナボットを一時的に無効化せざるを得なくなった。
経験の浅い投資家をターゲットにすることが多い典型的な暗号詐欺とは異なり、この攻撃は特にベテランのトレーダーや暗号のベテランに焦点を当てていた。社会的な存在感や取引の専門知識で知られる被害者たちは、ボットを積極的に使用し、通知を受け取っている間に、攻撃者が自分のウォレットからイーサリアム(ETH)を手動で送金しているのを目撃した。
攻撃分析と脆弱性
当初の報道では、36人のユーザーが約200万ドル相当のETHを失ったとされていた。しかし、Banana Gunの事後調査により、実際の影響はより集中的であったが、コストは高く、11人のユーザーが合計300万ドルを失ったことが明らかになった。
同社の開発チームは、外部の専門家とともに、ボットが使用するTelegramメッセージオラクルに潜在的な脆弱性を特定した。この脆弱性が悪用を可能にしたと考えられている:
- 台本どおりの移籍ではなく、手作業による移籍の性質
- 不正送金のボット内通知を受ける被害者
バナナガンの対応とセキュリティ対策
この事件を受けて、バナナガンは事態に対処し、今後の発生を防止するためにいくつかの措置を講じた:
- 全額返金:同社は、損失を補填するためにトークンを売却することなく、影響を受けたすべてのユーザーに同社の金庫から全額返金することを約束しました。
- セキュリティ強化:
- 2時間の乗り換え遅延を実施
- 送金の二要素認証(2FA)の追加を計画中
- バックエンドとフロントエンドの両方のシステムを徹底的に見直した。
- バックエンドを再展開し、新しいサーバーに切り替えた。
- 外部とのコラボレーションバナナガンは、調査および将来のペンテストのために、Web3セキュリティの主要チームであるSecurity Allianceと提携しています。
- 透明性:同社は、ユーザーとのオープンなコミュニケーションへのコミットメントを示すため、事件の詳細な総括を提供した。
前進
挫折にもかかわらず、Banana Gunの報告によると、ボットの活動は高水準を維持しており、これはユーザーの信頼が継続していることの表れであると解釈している。同社のEVMとSolanaボットは現在、新しいセキュリティ対策が施され、オンラインに戻っている。
暗号業界がセキュリティの課題に取り組み続ける中、今回の事件は、経験豊富なトレーダー向けのプラットフォームであっても、強固なセキュリティ対策の重要性を再認識させるものとなった。また、暗号空間の「スマート・マネー」を狙う攻撃者がますます巧妙になっていることも浮き彫りになった。
