攻撃者は、Robinhoodの共同創業者のノンカストディアルウォレットに紐づいた露出したリカバリーフレーズを悪用し、ミームコイン「'$1'」の時価総額を約50万ドルから1,400万ドルまで、7月13日におよそ2時間で押し上げました。これはTokenPocketウォレットのチーフ・ビジネス・オフィサーであるMichaelによるとされています。暗記フレーズ(ノンカストディアルウォレットにアクセスするための単語の列)がライブ放送中に誤って公開されたため、攻撃者はウォレットをインポートできました。インポートされたウォレットには、当時約150万ドルが入っていました。高額ウォレットを監視する数千人のトレーダーは、攻撃者の購入をRobinhoodの共同創業者による意図的な投資だと解釈し、その取引をコピーしました。その結果、トークンの時価総額は価格が崩れるまでにほぼ28倍に膨らみました。トークンは取引高で2,000万ドル超を積み上げました。この事件は、トレーダーが使うウォレット追跡ツールが、追跡対象のウォレットが侵害されると武器化され得ることを示しています。
MichaelはX上の一連の投稿でその経緯を詳述しました。暗記フレーズ(ノンカストディアルウォレットにアクセスするための単語の列)がライブ放送中に誤って露出したのです。攻撃者はウォレットをインポートし、侵害されたアドレスから「'$1'」トークンの購入を開始しました。高額ウォレットを監視するトレーダーは、その購入をRobinhood共同創業者による意図的な賭けだと解釈し、取引をコピーしました。後から参入した人々は、価格が反転した際に損失を被りました。
Robinhoodのリモートプロシージャコール(RPC)サービスは、侵害されたアドレスをブロックし、ウォレットからの追加の送信トランザクションを阻止しました。ブロックにより攻撃者が残りの資金を出し抜くことは止まりましたが、分散型取引所(DEX)で既に“ポンプ”されたトークンを買ってしまったトレーダーに対しては何も変わりませんでした。
ブロックが効いた後、攻撃者はBNBチェーンへ移動し、新しいトークンを作成して、現金化する前にウォッシュトレーディングを行い、その取引高を膨らませました。ビットコインは約62,800ドル、イーサ(Ether)は7月13日時点で約1,778ドルと評価されており、ミームコインのポンプによる影響は受けていませんでした。今回の出来事に関連して規制当局の措置は発表されていません。Robinhood自身の自己管理(セルフカストディ)向けセキュリティガイドラインは、ユーザーがリカバリーフレーズを決して共有しないよう警告しています。
攻撃者はRobinhoodの共同創業者のウォレットにどうやってアクセスしたのですか?
攻撃者は、ライブ放送中に誤って露出した暗記フレーズを使ってウォレットをインポートしました。漏えい時点でそのウォレットには約150万ドルが入っていました。
侵害後、Robinhoodはどんな行動を取りましたか?
Robinhoodのリモートプロシージャコール(RPC)サービスは、侵害されたアドレスをブロックし、ウォレットからの追加の送信トランザクションを阻止しました。このブロックにより、攻撃者が残りの資金を流し出すことは止まりました。