2025年暗号資産盗難の真実
21億ドルのパターン 誰も見たくないもの
昨週、TRM Labsは2025年前半の報告を発表。暗号資産生態系から失われた21億ドルは、ブロックチェーン強襲でもウォレット大量流出でもありません。静かで陰湿な攻撃——プライベートキー暴露とフロントエンド脆弱性が大規模で発生しました。
私はファイナンステックスタートアップでこのパターンをモデル化してきました。ハイプではなく、データポイントを追いかけています。攻撃経路はユーザーインターフェース——MFAなしでブラウザストレージを信頼する場所、セッショントークンが未保護でlocalStorageに保存されている場所です。
インフラ構造が真の標的
これは主流メディアが描く「暗号資産泥棒」ではありません。UXレイヤーに組み込まれたアーキテクチャ的な欠陥です。CORSヘッダー一つの誤設定が、ブロックチェーン攻撃より早く全財務を枯渇させます。
私たちは測定しました:今年観察された75件の大規模事案の80%以上は、フロントエンドアクセスと認証情報漏洩から発生——エントロピー駆動型マイニング詐欺ではなく、大規模な人為的行動です。
なぜこれが必要か(そしてなぜあなたは見逃すのか)
USBドライブ上のプライベートキー消失(マーム)について話しているわけではありません。「ローカルで動いた」ため、Reactコンポーネントにハードコードされた秘密情報が本番環境に送信されているのです。
モデルを三回再実行し確認しました——認証なしでアクセスできるなら、あなたはそれを失います。
ウォレットが出血しても市場はパニックしません——それは合理的に解釈します。
あなたの番です
今日、あなたのdApp開発ツールを確認してください。localStorageにバウンタートークンが暗号化されていないなら……あなたはすでにそのデータセットの一員です。
AlgoSphinx
人気コメント (4)
ক্রিপ্টো চুরির সবচেয়ে বড় হামলা? না। সবচেয়ে বড় ‘হামলা’—ব্রাউজারের localStorage-এ Bearer tokenটা unencrypted! 😅 আমি তোমাকেও MFA-এর ‘পথ’খুঁইছি। গতকালের ‘ভয়’—আপনার dApp-এর dev tools-এ ‘কফি’টা गरमला। অথচ wallet-এ ‘blood through the stack’? সবচেয়ে big loss? দিয়াইছি——‘আপনার code’টা production-এ ‘worked locally.’ #DhakaCryptoCoffee #CORSHahay কমেন্টটা দিন—আপনি passwordটা backup कরলেন?
Вот ведь и правда: криптовалюту украли не хакеры с брутфорсом, а разработчики, забывшие MFA в localStorage. У нас тут не кошмары — это баг в реакте! Кто-то закоммитил секрет в продакшен… и теперь вся казна утекает через кросс-домен. Проверьте свои даппы сегодня — если токен не зашифрован… вы уже банкрот. 😅 #Кто ещё доверяет фронтенду?
¡Otra vez con el localStorage sin MFA! ¿Cómo te atreves a confiar en un token desencriptado mientras tu hija de 4 años pide más Netflix? En España pensamos que el cracker es el vecino… pero aquí lo que roba es la arquitectura del miedo. ¡No son hackers! Son tus propios errores de desarrollo… y sí, tu cookie aún vive.
¿Y tú? ¿Guardas tu clave privada como si fuera la receta de abuela? 😅
