ホームZ - バナーホーム itaハッキングではない:Uniswap Permit2 のフィッシングが、たった1つの署名で100万ドルを消し去った

ハッキングではない:Uniswap Permit2 のフィッシングが、たった1つの署名で100万ドルを消し去った

あるトレーダーがフィッシング攻撃によっておよそ100万ドルを失い、Uniswap 独自の利便性機能が逆手に取られる形となった。プロトコル自体はハッキングされていない。従来の意味での脆弱性も悪用されていない。トレーダーは「本来サインすべきでないメッセージ」にサインしてしまっただけで——それだけで十分だった。

重要なポイント

  • あるトレーダーは、攻撃者にウォレットへのフルアクセスを与える悪意ある Uniswap Permit2 メッセージにサインするよう騙され、およそ 100万ドルを失った。
  • 別の被害者は、$VIRTUAL トークンを巡る類似の攻撃で 19万6,000ドルを失った。
  • 承認フィッシングは 2021 年以降、報告ベースで 10億ドル超の損失を生み出しており、その勢いは衰える気配がない。
  • Chainalysis によると、2025 年のオンチェーン詐欺による総損失は 140億ドルで、2024 年の 120億ドルから増加。CertiK は 2026 年 1 月だけでフィッシングによる損失が 3億7,000万ドルに達したと記録している。
  • Revoke.cash のようなツールを使えば、Permit2 権限を含むトークン承認を監査・取り消しでき、現時点で最も有効な防御策のひとつとなっている。

100万ドル規模の損失が露呈させた Uniswap Permit2 フィッシングリスク

トレーダーのポートフォリオを一掃した Uniswap Permit2 フィッシング攻撃は、DeFi において一度のミスがいかに瞬時に壊滅的な結果を招きうるかを思い起こさせる。Permit2 は、Uniswap が DeFi をよりシームレスにするために導入したトークン承認コントラクトだ。あらゆるトークン・あらゆるプロトコルごとに個別のオンチェーントランザクションを要求する代わりに、Permit2 は単一のオフチェーン署名で複数のトークン操作を一括承認できる。設計上は便利だが——同じ論理で悪用もされうる。

Permit2 がトークン承認を簡素化する一方でセキュリティリスクを高める仕組み

従来の ERC-20 承認は「自然なチェックポイント」を生み出す。各トークン、各プロトコルとのやり取りごとにオンチェーントランザクションが必要となり、ユーザーには何度も立ち止まって考え直す機会が与えられる。Permit2 はこれらのチェックポイントを完全に取り除き、単一の署名済みメッセージに置き換える。その効率向上は本物だが——同時に新たな露出も生む。

一度でも署名が乗っ取られれば、悪意あるコントラクトにユーザーのポートフォリオ全体へのアクセスを渡してしまう可能性がある。二度目のプロンプトはない。確認画面もない。警告もない。一度サインしてしまえば、資金は静かに、そして不可逆的に移動してしまう。

現在では、フィッシングサイトが正規の DeFi インターフェース——エアドロップ請求ページ、NFT ミントポータル、見慣れたスワップ画面など——を日常的に装い、ちょうどよいタイミングでもっともらしい Permit2 署名リクエストを表示するよう設計されている。

実例:100万ドルと 19万6,000ドルのフィッシング被害

100万ドルの損失は衝撃的だが、孤立した事例ではない。$VIRTUAL トークンを保有していた別の被害者は、およそ 19万6,000ドルをまったく同じ仕組みで失っている。ウォレットもトークンも異なるが、結果は同じだ。たった一度の誤った署名で、全損となった。

両方の事例に共通しているのは、Uniswap 側で技術的な侵害が一切発生していない点だ。プロトコルは設計どおりに動作していた。攻撃対象となったのはバグではなく、欺瞞によって作り出されたユーザー行動だった。

この違いは非常に重要だ。つまり、プロトコル監査やスマートコントラクトのセキュリティレビューは、この種の脅威に対してほとんど防御にならないということを意味する。脆弱性は、画面と署名のあいだに存在している。

拡大するオンチェーン詐欺の流行が示す、続く承認フィッシング問題

これら 2 件の事例は例外ではなく、はるかに大きなパターンの一部にすぎない。承認フィッシングは、静かに壊滅的な実績を積み重ねており、より広い統計も、拡大し続ける問題であることを示している。

暗号資産犯罪レポートが示す、フィッシングと詐欺による数十億ドル規模の損失

Chainalysis の 2026 Crypto Crime Reportによると、オンチェーン詐欺2025 年だけで少なくとも 140億ドルの損失を生み、2024 年の 120億ドルから増加している。これは 20億ドルの前年比増であり、その一因は、どんなファイアウォールでも防げないソーシャルエンジニアリング手法が根強く残っていることにある。

CertiK のデータは、この状況をさらに鮮明にする。2026 年 1 月だけで、フィッシングとソーシャルエンジニアリングが暗号資産全体の損失 3億7,000万ドルを占めた——1 か月としては異常な数字だ。その期間中の 1 件のインシデントだけで、2億8,400万ドルが失われている。

2021 年以降、承認フィッシングは報告ベースで 10億ドル超の損失の原因となっている。より派手なエクスプロイトに注目が集まる一方で、その累積的な被害は、ほとんど注目されないまま着実に膨らんできた。

対照的なトレンド:ウォレットドレイナー損失の減少と、続く承認フィッシング

理解しておくべき顕著な乖離がある。ウォレットドレイナー関連の損失は 2025 年に 83% 減少し、およそ 8,400万ドルまで落ち込んだ。これは、標的型インフラのテイクダウンや業界の連携が、その特定の攻撃ベクトルに対して一定の効果を上げていることを示す、実質的な成果だ。

しかし承認フィッシングは、まったく異なるインフラ上で動作する。ドレイナースクリプトは、セキュリティ企業や取引所が特定・フラグ付け・ブラックリスト化できる悪意あるコントラクトのデプロイに依存している。対照的に承認フィッシングは、正当なプロトコルの仕組みとユーザーの信頼を悪用する。1 つのフィッシングサイトを閉鎖しても、手口そのものは無力化されない。

この乖離は、進捗を誤読する現実的なリスクを生む。ドレイナー損失の減少は成果に見える——そして実際に成果ではある——が、技術的手段だけでは対処しづらい脅威が、なお成長を続けているという事実を覆い隠してしまうかもしれない。

Operation Atlantic の法執行が 1,200万ドルのフィッシング資金を凍結

2026 年 4 月に実施された Operation Atlanticでは、承認フィッシングスキームに紐づくおよそ 1,200万ドルが凍結された。この規模の法執行は意味があるものの、年間 140億ドルのオンチェーン詐欺損失という背景から見れば、1,200万ドルという数字は、規制当局が現在回収できる額と、損失が積み上がるペースとのギャップを浮き彫りにしている。

Permit2 承認フィッシング攻撃への防御

この脅威の性質上、効果的な防御はユーザーレベルで行う必要がある。プロトコル層の修正で攻撃面を減らすことはできても、本物そっくりのサイト上で悪意あるメッセージにユーザーが署名すること自体を防ぐことはできない。

承認フィッシングリスクを軽減するツールとベストプラクティス

最も実行しやすい対策は、ウォレットの承認取り消しツールを定期的に利用することだ。Revoke.cash を使えば、Permit2 権限を含む未使用のトークン承認を監査・取り消しできる。新規または見慣れないプロトコルとやり取りした後に承認取り消しチェックを走らせれば、被害が発生しうる時間窓を大幅に短縮できる——もし悪い承認が紛れ込んでいても、早期に発見できれば露出を減らせる。

署名する前にコントラクトアドレスを検証することは、絶対に欠かせない。フィッシングサイトは、正規プラットフォームと視覚的に見分けがつかないよう作られている。承認プロンプトに埋め込まれたコントラクトアドレスこそが真実であり、そこを確認するための 10 秒を惜しまない価値がある。

特に重要な防御習慣の簡単なチェックリスト:

  • すべての署名プロンプトで、確認前にコントラクトアドレスを既知の正規アドレスと照合する。
  • Revoke.cash などのツールで定期的に監査を行い、不要または見覚えのない承認を取り消す。
  • 特にエアドロップやミントページ上での、予期しない Permit2 署名リクエストは、検証が済むまでレッドフラグとして扱う。

フィッシング被害防止におけるハードウェアウォレットの限界と利点

ハードウェアウォレットは、ソフトウェアウォレットにはない物理的な確認レイヤーを追加し、その点では確かな価値がある。しかし承認フィッシングに関して言えば、ハードウェアウォレットは完全な解決策ではない。ユーザーがハードウェアウォレットを悪意あるサイトに接続し、Permit2 署名リクエストを手動で承認してしまえば、その物理デバイスは防御ではなく攻撃の一部になってしまう。

重要な洞察は、承認フィッシングが狙うのはセキュリティアーキテクチャではなく、意思決定プロセスだという点だ。トランザクションの承認をユーザーに求めるあらゆるツールは、そのトランザクションが正当だとユーザーを信じ込ませることさえできれば、武器として利用されうる。これはスマートコントラクトのパッチ適用よりもはるかに難しい問題であり、だからこそ教育と警戒こそが、現時点で最も持続的な防御手段であり続けている。

FAQ

Uniswap の Permit2 とは何で、なぜフィッシングリスクになるのですか?

Permit2 は、ユーザーが単一のオフチェーンメッセージに署名するだけで、複数のトークン操作を同時に承認できる仕組みです。これにより DeFi の利用は効率化されますが、1 回の悪意ある署名で、追加の確認ステップなしに攻撃者にユーザーのウォレット全体への広範かつ即時のアクセスを与えてしまう可能性があります。

最近の事例で、フィッシング攻撃者はどのように Permit2 を悪用したのですか?

攻撃者は、正規の DeFi プラットフォームを装ったサイトを構築し、ユーザーに Permit2 メッセージへの署名を促しました。Permit2 ではオンチェーン上の警告や確認画面が生成されないため、被害者は自分が悪意あるコントラクトを承認していることに気づけませんでした。その結果、即時かつ不正な資金移転が発生し、およそ 100万ドルの損失と、$VIRTUAL トークンを巡る約 19万6,000ドルの損失が生じました。

Permit2 承認フィッシングから身を守るための実践的な対策は何ですか?

ユーザーは、確認前にすべての署名プロンプトでコントラクトアドレスを検証し、Revoke.cash のようなツールを使ってトークン承認を定期的に監査・取り消し、予期しない Permit2 リクエストには懐疑的な姿勢で臨むべきです。ハードウェアウォレットは追加の確認レイヤーを提供しますが、改ざんされたサイト上で悪意あるメッセージに署名してしまうこと自体を防ぐことはできません。

暗号資産における承認フィッシング攻撃の金銭的影響はどの程度深刻ですか?

承認フィッシングは 2021 年以降、報告ベースで 10億ドル超の損失を引き起こしています。これは 2025 年に Chainalysis が記録したオンチェーン詐欺による総損失 140億ドルの一部を構成しており、CertiK のデータによれば、2026 年 1 月だけでフィッシングとソーシャルエンジニアリングが 3億7,000万ドルの損失を生みました。ウォレットドレイナー損失は大幅に減少したにもかかわらず、承認フィッシングは、より解体しづらい別種のインフラに依存しているため、依然として拡大を続けています。

{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Uniswap の Permit2 とは何で、なぜフィッシングリスクになるのですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Permit2 は、ユーザーが単一のオフチェーンメッセージに署名するだけで、複数のトークン操作を同時に承認できる仕組みです。これにより DeFi の利用は効率化されますが、1 回の悪意ある署名で、追加の確認ステップなしに攻撃者にユーザーのウォレット全体への広範かつ即時のアクセスを与えてしまう可能性があります。”}},{“@type”:”Question”,”name”:”最近の事例で、フィッシング攻撃者はどのように Permit2 を悪用したのですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”攻撃者は、正規の DeFi プラットフォームを装ったサイトを構築し、ユーザーに Permit2 メッセージへの署名を促しました。Permit2 ではオンチェーン上の警告や確認画面が生成されないため、被害者は自分が悪意あるコントラクトを承認していることに気づけませんでした。その結果、即時かつ不正な資金移転が発生し、およそ 100万ドルの損失と、$VIRTUAL トークンを巡る約 19万6,000ドルの損失が生じました。”}},{“@type”:”Question”,”name”:”Permit2 承認フィッシングから身を守るための実践的な対策は何ですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”ユーザーは、確認前にすべての署名プロンプトでコントラクトアドレスを検証し、Revoke.cash のようなツールを使ってトークン承認を定期的に監査・取り消し、予期しない Permit2 リクエストには懐疑的な姿勢で臨むべきです。ハードウェアウォレットは追加の確認レイヤーを提供しますが、改ざんされたサイト上で悪意あるメッセージに署名してしまうこと自体を防ぐことはできません。”}},{“@type”:”Question”,”name”:”暗号資産における承認フィッシング攻撃の金銭的影響はどの程度深刻ですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”承認フィッシングは 2021 年以降、報告ベースで 10億ドル超の損失を引き起こしています。これは 2025 年に Chainalysis が記録したオンチェーン詐欺による総損失 140億ドルの一部を構成しており、CertiK のデータによれば、2026 年 1 月だけでフィッシングとソーシャルエンジニアリングが 3億7,000万ドルの損失を生みました。ウォレットドレイナー損失は大幅に減少したにもかかわらず、承認フィッシングは、より解体しづらい別種のインフラに依存しているため、依然として拡大を続けています。”}}]}

本記事は人工知能の支援を受けて作成され、編集チームによる確認を経ています。

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST