ハッキング備忘録と今後について

この手記は2023年3月に食らった私のハッキング記録です。

最初に結論だけ言うと、旧知人からのDMをキッカケに、ウイルスファイルをダウンロードしてしまい、パソコン全体がハッキング⇨ウォレット全滅という流れです。
このことを呟いたところ、同様の手口でやられている方からDMをいただきましたので、今後自分のような被害が広がらないようになればと思い書くことにしました。長文・乱文につきご容赦ください。

--
とつぜんスマホに突然見知らぬ通知がありました
Walletから見知らぬ1ETHの送金、その後次々とETHが送金されていく・・・

何かがおかしいと思った時、数十分前の出来事が頭によぎりました。

Phase0- 旧知からのDM-

2019年頃に少しばかり情報交換をしていた海外の知人から次のようなDMがTwitterを通じてきました

この時は、相互フォローということなどもあり、全く疑う余地もなく了承し、Discordに案内されました。パブリックにサイトを誘導されました。サイトを見て、よくあるGameFiのサイトで、よくあるVCが名を連ねていました。旧知の頼みということもあり、何の疑いもなく「Download now」のページをクリックした瞬間、おそらく全てが終わりました。
ウィルス検知ソフトも入れていましたが、全く反応しませんでした

後々調べたら、手口はこちらでした。.scrの拡張子のウィルスをダウンロードすると、Googleアカウントが乗っ取られMetamakから資金が抜かれてしまうようです。ちなみに、これは通常のウィルススキャンでも「無害」と判定されるようです。

<危険>スクリーンセーバーscrは100％ウイルス感染手口3つ : 無題なログ

Phase1-資金の流出-

まず裸で保持していた1ETHが抜かれました。この時点でMainnetのETHはゼロになりました。次にArbitrumのETHが全部抜かれました。

ここでマズいと思い、資産の退避を始めました。
全く別の秘密鍵で管理しているWalletに、大きなお金とNFTを全て移動させました。しかし、なぜかそちらのWalletからも資金とNFTが抜かれました。この瞬間、これは単一のWalletハッキングではなく、PCのハッキングだなと気が付きました。各ウォレットから全てのETHを抜かれたため、自分自身では身動きが取れなくなりました。ハッカーは、毎回少量のETHを入金⇨資金を抜くという行動を繰り返し始めました。両腕両足を縛られ、歯を１本１本ゆっくり抜かれているような感覚でした。
この辺りで、たまたまこの一連の流れを相談していたsugarさん（@SajoAxie1）に助けてもらい、次の手を打ちました
①ETHがデポジットされたら、自動的にバーンされるようbotを回す
②PC自体はネットワークから遮断し初期化

Phase２-ハッカーとの戦い-

前述の①の手を打ってもらった時点で、少し安心をしましたが、相手は想像以上にやり手のハッカーでした。
相手のやり口としては
①ガスの入金と同じブロックで資金を抜く
②mempoolが監視され、こちらがETHを入金するとそれがすぐ抜かれる
この辺になると、自分の理解も追いつかずほとんどsugarさんにお任せ状態でした
この時点で、被害はNFTも合わせて10ETH程度だったと思います。
ハッカーの動きが落ち着いてきた時点で、夜も遅かったので寝ました。
（実はこの日インフルエンザで39℃以上の熱がありしんどかったです）

Phase３-資金をどう救出するか？-

翌朝までハッカーの動きは止まっていました。
この時点で、Walletにあった5万ドルは３万ドル程度になっていました。
残りの資産は、ロックがかかっていたり譲渡不可だったりと容易には動かせないものばかりだったため、ハッカーも手をつけなかったんだと思います。

翌朝、micanさん（@angel65535）も協力してくださり、bundle txで資産の救出をしていただきました。

これで5000ドルくらいは救出できました。今も現在進行形で対応のご相談をしているところです。。

ちなみに、残りの資産は、それぞれのDeFiプロジェクトのdev権限で移動できないかダメもとで聞いてみたところ、Brahmaというプロジェクトだけそれが可能との回答でした。

MyCrypto - Ethereum Wallet Manager

こちらで、特定のユーザーが特定のアドレスにアクセスできるよう設定ができるとのことで、現在進行形で対応中です

ちなみに、ハッカーのアドレスをずっと追っているのですが、毎日１人はハッキングされて資金が抜かれています。。

このハッキングでの教訓

①旧知の仲であっても完全なトラストはできない
相手がすり替わっているか、以前と違い悪意を持って近づいているかなんてネット上じゃ分からないので、ある程度の俯瞰的な目線は常に持っておくべきだなと思いました。何かのダウンロードや怪しい要求をした時点で距離をとる必要があるなんて、当たり前のことですがこれが自分はできませんでした。

②Zerion Walletは超優秀である
ZerionのMobile Walletは、秘密鍵をインポートしなくても自分のウォレットさえtrackingさせておけば、ウォレットから資産が動いた時にすぐ通知してくれます。自分はこのお陰ですぐ気づくことができました。
また、ワンタップで新しいWalletを作成できます。緊急時にPCとは分離する必要のあるWalletを作成する時などは便利です

③PC全体のハッキングの可能性もあることも考える
今回はPC全体のハッキングでした。
ハッキングが分かった１時間後くらいに、Google accountにログインされそうになったり、自分がアクセスしたサイトへの不正な侵入報告があったりしました。感覚的には、全て自分の行動が監視されていた気がします。
これを考えると鳥肌が立つんですが、仮に自分の動きが全て筒抜けだった場合、ハードウェアウォレットなどに退避させようとネットワークに繋いだ瞬間にそちらもやられていたかもしれません。
また、zkSync側やAztecなどのMetamask以外の資産は無事でしたが、こちらも接続していたら資産の存在がバレて被害が広がっていたかもしれません。
最悪のケースの退避先の想定も必要だと感じます。

④ハードウェアウォレットの普段使い化
私はこれまでBTC以外は基本オンチェーン上に置きっぱなしでしたが、普段使いこそはハードウェアウォレットで対応する必要もあるのかな、と某コミュニティの有識者の発言で身に染みました。

結びに

流出した資金の量だけを見れば、正直この数ヶ月の稼ぎの大方がなくなったという感じなので、一旦は勉強代ということで自分の中では納得させました。
一方、自分が給付金活動として使っていた多くのWalletが使えなくなりましたので、そちらはかなり苦しい状況です。
パソコン自体は初期化はしたものの、段階を踏んで資金を入れて慎重に進めていきたいと思っています。そんなところで、少しお休みして再始動する時期を考えようかなと思っています。
　
この一件で、Sugarさんには、ハッキング直後からすぐにWallet保護の対応をしてもらいました。また、micanさんにはbundletxで資金の取り出しをしていただきました。現在進行形でハッカーと戦ってくれているお二人には感謝しても感謝しきれません。色々声をかけてくれている、某コミュメンバーにも感謝です。なんか僕が失ったNFTも買い直してくれたりした方もいて、少し涙が出そうになりました

また、Brahmaのdevに相談したところ、現在入れている資金を権限で別ウォレットに移してもらえる他、Walletの管理の相談にも乗ってもらっています。気にかけて色々声をかけてくれています。

気にかけてリプライやDMをくれた多くの友人にも感謝です。とても数が多く、全部返しきれていなくてすいません。

最後に、このことを妻に話しましたところ、妻が原油ロングで同じくらい爆損していることを開示され、お互い爆笑しました。

８０ドル全ツッパで65ドルでロスカットの養分ムーブ乙

少し気持ちが救われた気がしました。

ここまで見ていただきありがとうございました。
こんなことで腐らずに界隈を這いつくばって生きていきたいと思いますんで、またよろしくお願いします