まだ収益を得ていないのに盗まれてしまう?このインスクリプション用フィッシング対策ガイドをしっかり確認してください
TechFlow厳選深潮セレクト
まだ収益を得ていないのに盗まれてしまう?このインスクリプション用フィッシング対策ガイドをしっかり確認してください
3つの典型的なインスクリプションのセキュリティ事例を整理:Scamプロジェクトリスク、誤送金・誤burnリスク、中心化ツールリスク。
Web3業界の深掘り報道に専念し潮流を洞察執筆:BlockSec
インスクリプションという概念の注目度がかつてないほど高まり、主要なインスクリプション価格は最高で数万倍もの上昇を見せています。こうした背景のもと、多くの人々がその複雑さと新規性を悪用し、さまざまな詐欺行為を行う準備を整えており、こうした現象はますます横行しています。これはユーザーの資産安全に深刻な脅威を与えるだけでなく、インスクリプションエコシステム全体の健全な発展にも悪影響を及ぼしています。
こうした状況を受けて、我々は3つの典型的なインスクリプションセキュリティ事例——Scamプロジェクトリスク、誤送金・誤バーンリスク、中央集権的ツールリスク——および、ユーザーとしてこれらのシナリオにおいて取るべき対策について整理しました。
Scamプロジェクトリスク
現在のビットコインプロトコルでは、プロジェクトの識別は主にデプロイ操作時に指定されるプロジェクト名に依存しており、インデクサー内では一意のIDによって識別されます。しかし一般のユーザーは、しばしばプロジェクト名しか覚えておらず、取引の判断もそれに基づいています。この名称に依存する取引方法には一定のリスクがあり、ASCIIコードには見た目は似ているが異なる文字列が多く存在するため、視覚的な詐欺(フィッシング)の余地があります。悪意ある第三者は、このような類似したが異なる文字列を利用し、ユーザーを有名プロジェクトとの取引であると誤認させ、同様のプロジェクトトークンを大量に発行することが可能です。
こうした詐欺行為は、特にプロジェクトのマインティング(mint)プロセス中に多く見られます。悪意ある第三者は、ユーザーに手数料を支払わせてトークンやその他の仮想資産を取得させるよう誘導しますが、実際にはそのようなトークンには真の価値がない可能性があります。この種の詐欺行為は、ユーザーの利益を損なうだけでなく、エコシステム全体の不安定化を招く恐れもあります。
ここでは「rats」の偽物の例を挙げます。この偽のratsは、本来のratsと名前が非常に似ており、類似したASCIIコードを使用しているため、ユーザーが注意深く名前を確認しない限り(「rats」内の「t」に注目)、偽のratsトークンを購入させられ、経済的損失を被ることになります。
偽のインスクリプションに加え、一部のscamインスクリプションはマインティングの過程でユーザーから追加資金を騙し取ることさえあります。
たとえば下図のように、Bitmapへのインスクリプションマインティング時に、不正なウェブページがユーザーに特定のアドレスへの支払いを要求しています。ユーザーが支払い額に気づかなければ、大きな損失を被ることになります。
💡 対策:信頼できないチャネルからのインスクリプションマインティングを避ける
現在、インスクリプションのマインティングチャネルは多岐にわたり、現時点で確認されている種類には以下のようなものがあります:
-
プロジェクト側の公式発行サイト
-
Unisatなどのウォレットが提供する補助ツール
-
その他のサードパーティによる補助ツール
こうした多様なマインティングチャネルは、ユーザーにとって正しいチャネルと安全性の判断を困難にし、結果としてscamインスクリプションの罠に陥る原因となります。ここではユーザーが可能な限り公式ウォレットやプロジェクトの公式サイトを利用してインスクリプションをマイントすることを推奨します。マインティング前に必ずURLの正確性を確認し、必要なマインティング費用も慎重に確認してください。 大量の一括マインティングを行う場合は、ウォレットの補助ツールの利用を推奨し、資金の安全性をさらに高めてください。
誤送金・誤バーンリスク
まず、「誤送金」とは、インスクリプションの媒体であるBTCを通常のビットコインと誤認して送金してしまうケースです。インスクリプションはビットコインのトランザクションに付加されているため、従来のBTCウォレットではインスクリプションの付加価値を考慮せず、UTXOモデルにロックされたsatoshiの価値のみを表示します。一部のユーザーはインスクリプションを完全に理解せずに従来の送金操作を行うことがあります。これにより、ウォレットがインスクリプション付きのBTCを普通のビットコイン資産と誤認し、他のUTXOと統合・分割したうえで間違ったアドレスに送信してしまうことで、取り返しのつかない損失につながります。
次に、「誤焼却(burn)」とは、インスクリプションを無価値または意味のない情報と誤認して焼却・削除してしまうケースです。インスクリプションはUTXOモデルの所有権や価値に直接影響しないため、一部のユーザーは、インスクリプション付きのBTCが紙面上の資産価値が低く、重要ではない、あるいは無効であると考え、他のUTXOと統合してしまうことがあります。これにより、インスクリプションに関連する重要な情報や資産を永久に失ってしまう可能性があります。
以下の図のように、本来インスクリプションを保護すべきBTC取引において、ウォレットがインスクリプションを正しく認識できず、dustとして移動させてしまい、損失を生じさせています。https://twitter.com/wizzwallet/status/1714385677985661245?s=20
💡対策:専用のインスクリプションアドレスとウォレットを用意する
UTXOモデルにおいて、高価値のインスクリプション資産を誤って送金または焼却してしまうリスクを防ぐために、ユーザーは専用のインスクリプションアドレスとウォレットを用意することを推奨します。 こうすることで、誤操作のリスクを効果的に低下させ、インスクリプション資産の安全性を確保できます。このアドレスは通常の取引アドレスと明確に区別し、混同しないようにすることが重要です。インスクリプション取引を他の取引から分離することで、ユーザーはインスクリプション資産をより適切に管理・制御できるようになります。
中央集権的ツールリスク
ブロックチェーンの非中央集権的な設計により、ユーザーは直接エコシステムに参加できますが、複雑なRPCプロトコルを直接使用するのは非常に難易度が高いため、大多数のユーザーは補助ツールに依存して、インスクリプションのマインティングや取引に参加しています。
しかし、インスクリプションは新しい概念であり、成熟したERC20体系と比べるとエコシステムはまだ初期段階にあります。現在、補助ツールは雨後の筍のように登場していますが、その多くは機能実装に重点を置いており、セキュリティ面での配慮に欠ける部分があります。たとえば、ユーザーに秘密鍵のインポートを促して署名を代行したり、資産をプラットフォームに預けさせて取引を可能にするなどです。こうした操作はユーザーの秘密鍵を露呈するものであり、中央集権的ツールが実質的にユーザーの全資産を掌握する状態となり、rug pull(逃亡詐欺)などの中央集権的リスクが発生しやすくなります。 このリスクは、あるウォレット企業がユーザーの秘密鍵を掌握した後に、勝手に全資産を持ち逃げして倒産を宣言するケースと同様です。
たとえば、以下の代行ツールはユーザーの秘密鍵を取得し、ウォレット内の資金を直接盗み取っています。
💡対策:安全なインスクリプション補助ツールの利用
インスクリプション資産の安全性を高めるために、ユーザーは信頼できる有名なインスクリプション市場でのみ取引や操作を行うべきです。
例えば:
Geniidata:https://geniidata.com/Ordinals/index/brc20
Ordiscan:https://ordiscan.com/
Etch Market:https://www.etch.market/market
こうした広く認められたインスクリプションブラウザおよびマーケットプレイスは、安全な取引環境と信頼できるインスクリプション情報を提供しています。こうした有名なプラットフォームでインスクリプションのマインティング、取引、その他の操作を行うことで、ユーザーの安全性は大幅に向上します。また、ユーザーは警戒心を保ち、信頼できない未知のウェブサイトが提供するインスクリプションマインティングや取引サービスを安易に信じてはいけません。いかなる操作を行う前にも、サイトの評判と安全性を徹底的に調査・確認してください。さらに、信頼できない第三者に自分の秘密鍵やその他の機密情報を決して開示しないよう注意し、フィッシングや盗難被害を受けないようにしてください。
まとめ
インスクリプションscamリスク、誤送金・誤バーンリスク、中央集権的ツールの潜在的脅威について深く理解した上で、インスクリプションエコシステムは確かに将来性と可能性に満ちているものの、同時に多くのリスクと課題を抱えていることがわかります。ユーザーはインスクリプションの取引および保管に対して高い警戒心と慎重さを持つ必要があります。公式チャネルを通じたマインティング、専用のインスクリプションアドレスとウォレットの準備、安全な補助ツールの選択といった予防策を講じることで、リスクを大きく低減し、資産の安全性を守ることができます。最後に、すべてのユーザーに対して、インスクリプション市場への参加にあたって常に慎重になることを呼びかけます。デジタル資産の世界では、何よりも安全が最優先です。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@BlockSecTeam
