Web3開発者をねらったハッキング手口の全て（わたしは全て抜かれました...）

はじめに 本当に悔しいし許せないし、エンジニアとして不甲斐ないです。2025年2月26日深夜にハッキングにあいました。どのように相手と繋がり、どのような手口でハッカーに資産を抜かれたか、コードベースで全てお伝えします。今後同じ被害に遭う方が少しでも減ることがあればこんな嬉しいことはないです。 コード解説、さらに対策案も書いていきます。もし他に良い対策案などあればコメントでご教示ください。 ハッカーとのやりとりの流れ ハッカーとは Linkedin でブロックチェーンを使ったプロジェクトを手伝ってくれないかという連絡がりそこからやりとりが始まりました。そして移行の大まかな流れは下記のような感じです。 Linkedinでプロジェクトを手伝ってほしいと言う内容でDMがくる Githubリポを見て実装できそうか確認してほしいと言われる 自分のGithubアカウントを共有してプライベートリポジトリに

[tonkas]

ここで文句言ってる人のメンタリティがわかんない。分野関係なく共有してもらえるのは社会的にありがたいことでは。皆が皆エキスパートばかりでないので。共有本当にありがとうございます！

[m4fg]

答えを知ってれば、これ怪しい、といえるが当事者なら冷静さを欠いてしまうだろうなぁ

[mole-studio]

こんな情報ばっかり偏って入ってくるからもはやLinkedInは詐欺師の巣窟という印象が付いてしまった

[todays_mitsui]

資産抜かれた翌日にこの文量まとめて記事公開する強靭メンタルすごい

[miyasakura]

エンジニアですら資産の保全が無理なら分散管理の夢は人類には早すぎるとしか。信頼できる中央集権が一番だよねという当たり前の結論に帰結してしまう

[agektmr]

被害を報告するこの人のツイートに、（いつも通り）さらなる被害に誘導する大量のスパムレスポンスが付いてるの、地獄だな。Web3には近付かない方が良い。

[asyst]

DMMというかGincoもこういう感じでやられたんかな

[suka6411144]

これって本質的にはパソコン弱い人がメールに添付されたよくわからないexeを動かしてマルウェア感染したと同レベルの話だよね

[sds-page]

やはりAIチェックが正解か。Githubに上がってるとなんとなく信用しちゃうからGithubの機能としてボタン一発でチェックしてくれるとかあれば便利

[manaten]

Web3関係なく、野良プロジェクトに誘われて急にプログラム実行求められるのは危険だと肝に銘じておこう。denoだと権限指定できるから安全なんかな

[sigwyg]

LinkedIn経由で受け取ったプロジェクトをnpm run devしたら抜かれたってやつ、前にも聞いたなあ。作業用PCで資産管理したらダメやね

[mas-higa]

一度断わったのに結局パスワード入力してしまうとは、よっぽどのオファーだったんだろうなぁ

[paperclipsquare]

渋谷や原宿のスカウトと同じレベルかな。たまに当たりはあるのかもだけどリスクの方が高いみたいな。

[TakayukiN627]

何はともあれ、まずは急にプロジェクトコード渡されたら一度コードを全部AIにぶん投げて精査してもらう

[hilde]

しらんGitリポジトリをクローンするのは慎重に

[lyiase]

これ検察庁が注意喚起してた事例通りの内容だね。改めて肝に銘じよう。 https://www.npa.go.jp/bureau/cyber/koho/caution/caution20241224.html

[mag4n]

AIに脆弱性判断させるくだりはなんかモヤるw

[pj_lim]

よくまとめた

[hirorock]

npmでローカルファイルのリードされてしまうと終わるね 気をつけれるところが少ないけど、気にしておこう

[phoope]

めちゃめちゃ怖い

[ookitasaburou]

“言われるがまま、(1)クローン (2)npm install (3)npm run dev -> ここで悪意のあるJavascriptが実行される（後述） その後、実際にGoogle Meetでプロジェクトのこと話したいということで、招待を送ってくれと言われる（そもそも招待を

[ebibibi]

これは凄いことになってますね…

[send]

docker などの環境が用意されていない。テスト用アカウントが用意されてない。辺りが信用してはいけないポイントになるかなあ

[Windfola]

「振り込め詐欺に引っ掛かった」は同じでも、70代独居老人でなく現役警官が引っ掛かったら手口知りたくならない？

[nabinno]

サプライチェーン攻撃にもかかわらず対応策がAIにぶんなげる。私はカモですと告白しているようなものなので、そこの部分は削除することをオススメする。

[clairvy]

手口を公開してくれるのはありがたい。 “ブロックチェーンの汚い使い方は許せないなと。” ブロックチェーンの使い方の問題なのか？という疑問はある

[lli]

DMMでインドの技術者がハマった件とよく似てるな

[umaemong]

いろんな詐欺の事例と同様に、事後に手口だけ聞いたら『自分はこんなのに騙されない』ってなるけど…。僕なんかより遥かに頭良さそうな人ですら騙されてしまうのが怖い。

[shingo-sasaki-0529]

icon.svg に難読化したコード埋め込んで読み込ませるの巧妙だし、それをすぐに解読できるAIもすごい。

[snow8-yuki]

コールドウォレットとホットウォレットちゃんと分けるべきなんだなあ / いうて被害額10万円か。お安く済みましたね

[ya--mada]

自分の資産を扱う環境とcrypto開発環境が同じPCというのは恐ろしい。自分の生活用の口座でサークル活動するようなもので、コンタミして訳わかんなくならないのかな？せめてVMの中で扱う事として分離して欲しい。

[yoyogisan]

怖いね～～怖いね～～気をつけよう

[iphone]

人に頼られると嬉しくなってしまって判断力が低下する。人間の脆弱性。/ 確かにWeb3は壮大な虚無だが、だからって被害者を責めるのはさすがに……詐欺師が詐欺られたようなもの、という見方か。

[vwjpa]

セキュリティ的にAIを利用することが重要になりそうだが、いずれ未来的にAIも乗っ取られて悪意を隠されて違う話にされて被害に遭う可能性もゼロじゃなさそうだ

[m50747]

開発用のウォレットと決済用のウォレットは分けるべきと言う知見を得た。しかしこれからはGithubにソース公開するのはこう言った悪意ある輩の窓口になってしまうってことか。善人ばかりだったパソ通が懐かしい。

[hardt]

これがDMMビットコインが抜かれた手口か

[isrc]

何はともあれ、まずは急にプロジェクトコード渡されたら一度コードを全部AIにぶん投げて精査してもらう

[remonoil]

本題じゃないけど、AIに攻撃スクリプトの難読化を解除して解説してもらうの、なるほどこれはAIならではだ。AIは悪意のあるコードをサンドボックス実行するより簡易な手段としてちょうどいいね

[infobloga]

これはMetamaskの本質的な脆弱性によるもので、今のMetamaskでは解決不能。ブラウザの内外をきっちり区別しないUIだから、当然こういう問題は起きる。

[dollarss]

恥を忍びこうして情報共有してくださる事に感謝する。