
OKX Web3最新リリース:チェーン上フィッシング防止セキュリティ取引ガイド
TechFlow厳選深潮セレクト

OKX Web3最新リリース:チェーン上フィッシング防止セキュリティ取引ガイド
チェーン上の世界を探検する際は、セキュリティが最優先です。ユーザーは以下の3つの安全ルールを必ず守ってください:いかなるウェブページにもニモニックフレーズ/秘密鍵を入力しないこと、ウォレットのトランザクション画面で「確認」ボタンをクリックする際は慎重になること、そしてTwitter/Discord/検索エンジンから取得したリンクがフィッシングリンクである可能性があることに注意すること。
新たな周期に入り、ユーザーのアクティブ化に伴い、チェーン上のインタラクションリスクがますます顕在化しています。フィッシング攻撃者は通常、偽のウォレットサイトを作成したり、ソーシャルメディアアカウントを不正取得したり、悪意あるブラウザ拡張機能を作成したり、フィッシングメールやメッセージを送信したり、偽アプリケーションをリリースするなどして、ユーザーに機密情報を漏らさせ、資産損失につなげます。こうしたフィッシングの手法やシナリオは多様性、複雑性、隠蔽性といった特徴を持っています。
たとえば、フィッシング攻撃者は正規のウォレットサイトと外見が似た偽サイトを作成し、ユーザーに秘密鍵やリカバリーフレーズを入力させることがよくあります。これらの偽サイトは、ソーシャルメディアや電子メール、広告を通じて宣伝され、ユーザーが正規のウォレットサービスにアクセスしていると誤認させ、資産を盗み取ります。また、フィッシング攻撃者がソーシャルメディアプラットフォーム、フォーラム、またはインスタントメッセージアプリで、ウォレットのカスタマーサポートやコミュニティ管理者を装い、ユーザーにウォレット情報や秘密鍵を提供するよう要求するケースもあります。この方法は、ユーザーの公式への信頼を利用し、個人情報を漏洩させるものです。
要するに、これらの事例は、フィッシング行為がWeb3ウォレットユーザーに与える脅威を浮き彫りにしています。ユーザーがWeb3ウォレットの使用におけるセキュリティ意識を高め、資産の安全を守るために、OKX Web3はコミュニティに深く入り込み、多数のWeb3ウォレットユーザーが遭遇したフィッシング事例を調査・収集し、ユーザーが最も頻繁に直面する4つの典型的なフィッシングシナリオを抽出しました。そして、各シナリオごとの詳細な事例を紹介し、図文を組み合わせた形で、Web3ユーザーが安全な取引を行うための最新ガイドラインを策定しましたので、皆さまの学習と参考にご利用ください。
悪意ある情報源
1. 人気プロジェクトのTwitter返信
人気プロジェクトのツイートに対する返信は悪意ある情報の主な手段の一つです。フィッシング用のTwitterアカウントは、ロゴ、名前、認証マークなどが本物の公式アカウントとまったく同じに見え、フォロワー数も数十Kあることがあります。唯一の違いはTwitterハンドル(類似文字に注意)ですので、ユーザーは十分に注意してください。

さらに、偽アカウントが公式ツイートの下にわざと返信を行い、その内容にフィッシングリンクを含めることで、ユーザーが公式リンクだと誤解しやすく、被害に遭うことがあります。現在、一部の公式アカウントでは「End of Tweet」をツイートに追加し、その後の返信にフィッシングリンクが含まれる可能性があることを警告しています。

2. 公式Twitter/Discordの乗っ取り
信頼性を高めるために、フィッシング攻撃者はプロジェクト側やKOLの公式Twitter/Discordアカウントを乗っ取り、公式の名前でフィッシングリンクを発信します。そのため、多くのユーザーが騙されてしまいます。たとえば、VitalikのTwitterアカウントやTONプロジェクトの公式Twitterアカウントが過去に乗っ取られ、フィッシング攻撃者が虚偽の情報やフィッシングリンクを投稿したことがあります。


3. Google検索広告
フィッシング攻撃者は、Google検索広告を利用して悪意あるリンクを配信することもあります。ユーザーはブラウザに表示される名称が公式ドメインのように見えても、クリックするとフィッシングリンクに遷移します。

4. 偽アプリケーション
フィッシング攻撃者は偽アプリケーションを利用してユーザーを誘導します。例えば、ユーザーがフィッシング攻撃者が公開した偽ウォレットをダウンロード・インストールすると、秘密鍵が漏洩し、資産が失われます。実際に、フィッシング攻撃者が改ざんしたTelegramインストールパッケージにより、トークンの送受信アドレスが変更され、ユーザーの資産が損失した事例があります。


5. 対策:OKX Web3ウォレットはフィッシングリンク検出およびリスク通知をサポート
現在、OKX Web3ウォレットはフィッシングリンクの検出およびリスク通知機能を提供しており、上記の問題に対処するのに役立ちます。たとえば、ユーザーがOKX Web3プラグインウォレットを使ってブラウザでウェブサイトにアクセスする際、そのドメインが既知の悪意あるドメインである場合、即座に警告が表示されます。また、ユーザーがOKX Web3アプリのDiscover画面からサードパーティDAppにアクセスする場合、OKX Web3ウォレットは自動的にドメインのリスクを検出し、悪意あるドメインであればアクセスをブロックし、警告を表示します。


ウォレット秘密鍵のセキュリティ
1. プロジェクトとのインタラクションまたは資格確認時
ユーザーがプロジェクトとインタラクションするときや資格を確認するときに、フィッシング攻撃者はプラグインウォレットのポップアップ画面や他の任意のページを模倣し、リカバリーフレーズや秘密鍵の入力を要求します。このようなサイトは大抵悪意のあるものなので、ユーザーは警戒心を持つべきです。


2. プロジェクトのカスタマーサポートまたは管理者になりすます
フィッシング攻撃者は、プロジェクトのカスタマーサポートやDiscord管理者になりすまして、ユーザーにリカバリーフレーズや秘密鍵を入力させるサイトを提供することがよくあります。このような場合は、相手がフィッシング攻撃者であると考えるべきです。


3. その他のリカバリーフレーズ/秘密鍵漏洩経路
ユーザーのリカバリーフレーズや秘密鍵が漏れる経路は多く、一般的には以下のようなものがあります:コンピュータにトロイの木馬が仕込まれている、クラミング用の指紋ブラウザを使用している、リモートコントロールやプロキシツールを使用している、リカバリーフレーズ/秘密鍵のスクリーンショットをアルバムに保存していたが悪意あるアプリによってアップロードされた、クラウドにバックアップしたがクラウドプラットフォームが侵入された、リカバリーフレーズ/秘密鍵の入力過程が監視されている、周囲の人間にリカバリーフレーズ/秘密鍵のファイルや紙を物理的に見られた、開発者がGitHubに秘密鍵を含むコードをプッシュした、などです。
いずれにせよ、ユーザーはリカバリーフレーズ/秘密鍵を安全に保管・使用することで、ウォレット資産の安全性をより高めることができます。たとえば、現在OKX Web3ウォレットは非中央集権型のセルフホスト型ウォレットとして、iCloud/Google Driveクラウド、手動、ハードウェアウォレットなど、さまざまなリカバリーフレーズ/秘密鍵のバックアップ方法を提供しており、業界で最も包括的なバックアップオプションを持つウォレットの一つとなっています。また、秘密鍵が盗まれた場合の対策として、Ledger、Keystone、Onekeyなどの主要なハードウェアウォレット機能をサポートしており、秘密鍵はハードウェアウォレットデバイス内に保存され、ユーザー自身が管理することで資産の安全性を確保しています。つまり、OKX Web3ウォレットを使えば、ハードウェアウォレットで資産を安全に管理しながら、自由にチェーン上のトークン取引、NFT市場、各種dAppプロジェクトとのインタラクションを行うことができます。さらに、OKX Web3ウォレットはすでにMPC無鍵ウォレットおよびAAスマートコントラクトウォレットも提供しており、ユーザーの秘密鍵管理の煩雑さをさらに軽減しています。
4つの典型的なフィッシングシナリオ
シナリオ1:メインチェーンのトークンを盗む
フィッシング攻撃者は、悪意あるコントラクト関数にClaim、SecurityUpdateといった誘導的な名前をつけ、実際の関数ロジックは何も行わず、ユーザーのメインチェーントークンだけを転送します。現在、OKX Web3ウォレットは「トランザクション事前実行」機能を搭載しており、トランザクションがブロックチェーンに記録された後の資産および許可の変化を表示し、ユーザーに安全性を促します。また、インタラクション先のコントラクトや許可先アドレスが既知の悪意あるアドレスの場合、赤色のセキュリティ警告を表示します。


シナリオ2:類似アドレスへの送金
大口の送金を監視しているフィッシング攻撃者は、受取アドレスの先頭数桁と同じになるようにアドレスを生成し、transferFromを使って0枚の送金を行ったり、偽USDTを使って一定額を送金したりして、ユーザーの取引履歴を汚染します。これにより、ユーザーが後続の送金で取引履歴から誤ったアドレスをコピーしてしまうことを狙います。
https://www.oklink.com/cn/trx/address/TT3irZR6gVL1ncCLXH3PwQkRXUjFpa9itX/token-transfer

https://tronscan.org/#/transaction/27147fd55e85bd29af31c00e3d878bc727194a377bec98313a79c8ef42462e5f


シナリオ3:チェーン上での許可(Authorization)
フィッシング攻撃者は、ユーザーにapprove / increaseAllowance / decreaseAllowance / setApprovalForAll トランザクションに署名させたり、Create2を使ってあらかじめ計算された新アドレスを生成してセキュリティチェックを回避したりすることで、ユーザーの許可を不正に得ようとします。OKX Web3ウォレットは許可関連のトランザクションに対してセキュリティ警告を表示し、ユーザーにリスクを知らせます。また、許可先アドレスが既知の悪意あるアドレスの場合、赤色の警告を表示してユーザーが騙されることを防ぎます。


シナリオ4:チェーン外の署名(Off-chain Signature)
チェーン上での許可に加えて、フィッシング攻撃者はユーザーにチェーン外の署名を促すことでフィッシングを行います。たとえば、ERC20トークンの許可により、あるアドレスまたはコントラクトに一定量のトークン移転権限を与えられ、そのアドレスはtransferFromを使ってユーザーの資産を移転できます。フィッシング攻撃者はこの特性を利用して詐欺を行います。現在、OKX Web3ウォレットはこの種のシナリオに対応するリスク警告機能を開発中であり、ユーザーがオフチェーン署名を行う際、署名内の許可アドレスを解析し、それが既知の悪意あるアドレスに該当すれば、リスク警告を表示します。


その他のフィッシングシナリオ
シナリオ5:TRONアカウント権限
このタイプのシナリオは比較的抽象的で、一般的にはフィッシング攻撃者がユーザーのTRONアカウント権限を取得して資産を制御するものです。TRONアカウントの権限設定はEOSと似ており、OwnerとActiveの権限に分かれ、マルチシグ形式での権限管理も可能です。以下の例では、Ownerのしきい値が2、2つのアドレスの重みがそれぞれ1と2となっており、最初のアドレスはユーザーのアドレスで重みが1のため、単独での操作はできません。
https://tronscan.org/#/wallet/permissions
https://www.oklink.com/trx/tx/1fe56345873425cf93e6d9a1f0bf2b91846d30ca7a93080a2ad69de77de5e45f


シナリオ6:Solanaトークンおよびアカウント権限
フィッシング攻撃者はSetAuthorityを使って、代幣のATAアカウントの所有権を変更し、代幣を新しいOwnerアドレスに転送します。ユーザーがこの方法で騙されると、資産がフィッシング側に移転されます。また、ユーザーがAssignトランザクションに署名した場合、通常のアカウントのOwnerはSystem Programから悪意あるコントラクトに変更されます。



シナリオ7:EigenLayerのqueueWithdrawal呼び出し
プロトコル自体の設計メカニズムなどの問題により、フィッシング攻撃者に利用されやすくなっています。イーサリアムベースの中間層プロトコルEigenLayerのqueueWithdrawal呼び出しは、他のアドレスをwithdrawerとして指定でき、ユーザーが騙されてこのトランザクションに署名した場合、7日後に指定されたアドレスがcompleteQueuedWithdrawalを実行してユーザーのステーキング資産を取得できます。
チェーン上世界を探求する上で、セキュリティが最優先
Web3ウォレットを安全に使うことは資産保護の鍵であり、潜在的なリスクや脅威から身を守るために予防措置を講じる必要があります。業界で評判が高く、セキュリティ監査済みのOKX Web3ウォレットを選択し、より安全かつ便利にチェーン上世界を探求しましょう。
業界で最も先進的で機能が充実したウォレットとして、OKX Web3ウォレットは完全に非中央集権的でセルフホスト型であり、ユーザーがワンストップでチェーン上アプリケーションを楽しめるように設計されています。現在85以上のパブリックチェーンをサポートし、アプリ、プラグイン、ウェブの3端末が統一されており、ウォレット、DEX、DeFi、NFTマーケット、DAppエクスプローラーの5つの主要領域をカバーしています。さらに、Ordinalsマーケット、MPC、AAスマートコントラクトウォレット、Gas交換、ハードウェアウォレット接続などの機能もサポートしています。また、ユーザーは秘密鍵とリカバリーフレーズを安全に保護し、ウォレットアプリとOSを定期的に更新し、リンクやメッセージを慎重に扱い、多重認証機能を有効にすることで、ウォレットのセキュリティをさらに高めることができます。
要するに、チェーン上世界において、資産の安全が何よりも重要です。
ユーザーは以下の3つのWeb3セキュリティルールを必ず覚えておいてください:いかなるウェブページにもリカバリーフレーズ/秘密鍵を入力しないこと、ウォレットのトランザクション確認ボタンをクリックする際は慎重に確認すること、Twitter/Discord/検索エンジンで得たリンクはフィッシングリンクの可能性があるということです。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














