エアドロップ初心者のための詐欺防止ガイド:よくある罠の見分け方と回避方法を学び、あなたの暗号資産を守りましょう
TechFlow厳選深潮セレクト
エアドロップ初心者のための詐欺防止ガイド:よくある罠の見分け方と回避方法を学び、あなたの暗号資産を守りましょう
本ガイドでは、よくあるエアドロップ詐欺を分析し、あなたが罠に陥らないようサポートします。
Web3業界の深掘り報道に専念し潮流を洞察著者:SlowMist
翻訳:TechFlow
背景
以前のWeb3セキュリティガイドにて、マルチシグ(複数署名)フィッシングについて解説し、マルチシグウォレットの仕組みや、攻撃者がそれを利用し、悪意ある署名によってウォレットを侵害する方法、そして自身の資産を守るための対策について紹介しました。今回は、伝統的な業界および暗号資産(クリプト)業界で広く用いられているマーケティング戦略である「エアドロップ(エアドロ)」に焦点を当てます。
エアドロップは、プロジェクトを一気に注目を集めさせ、早期ユーザー基盤を迅速に構築し、市場での認知度を高める手段として有効です。通常、ユーザーはリンクをクリックしてプロジェクトとインタラクションすることで、エアドロップされたトークンを受け取ります。しかし、偽のウェブサイトからバックドア付きツールまで、ハッカーはエアドロップのプロセス全体にわなを仕掛けています。本ガイドでは、よくあるエアドロップ詐欺の手口を分析し、こうした罠を回避する方法を解説します。
エアドロップとは?
エアドロップとは、Web3プロジェクトが特定のウォレットアドレスに対して無料でトークンを配布し、可視性を高め、初期ユーザーを獲得する手法です。これは、プロジェクトがユーザーベースを形成する最も直接的な方法の一つです。受け取り方法により、主に以下の種類に分けられます。
-
タスクベース型:コンテンツの共有やいいねなど、プロジェクトが指定したタスクを完了する。
-
インタラクションベース型:トークン交換、送受信、クロスチェーン操作などの行動を行う。
-
保有ベース型:プロジェクトが指定するトークンを保有することで、エアドロップ資格を得る。
-
ステーキングベース型:単一資産または複数資産のステーキング、流動性提供、長期ロックアップなどを通じてエアドロップ報酬を得る。
エアドロップ受領に伴うリスク
偽エアドロップ詐欺
このような詐欺は、以下のようなタイプに分類されます。
1. 公式アカウントの乗っ取り:ハッカーがプロジェクトの公式アカウントを制御し、偽のエアドロップ告知を投稿することがあります。たとえば、ニュースプラットフォームによく見られる警告メッセージには、「プロジェクトYのXまたはDiscordアカウントがハッキングされました。ハッカーが共有するフィッシングリンクをクリックしないでください」といった内容があります。当社の『2024年上期ブロックチェーンセキュリティおよびAMLレポート』によると、2024年前半だけで、この手の事件は27件発生しています。ユーザーは公式アカウントを信用しがちであり、そのリンクをクリックしてフィッシングサイトに誘導されてしまいます。秘密鍵やリカバリーフレーズ(ニーモニックフレーズ)、権限付与を入力すると、ハッカーに資産を盗まれる危険があります。
2. コメント欄でのなりすまし:ハッカーは偽のプロジェクトアカウントを作成し、本物のプロジェクトのSNSコメント欄に「エアドロップ実施中」という虚偽情報を投稿します。不用意なユーザーがそのリンクを踏み、フィッシングサイトにアクセスしてしまうのです。SlowMistセキュリティチームはかつてこのような手口を分析し、「コメント欄でのなりすましに注意」と題する記事で警告を発しています。また、正規のエアドロップ発表後、ハッカーは素早く偽アカウントでフィッシングリンクを拡散し、公式アカウントを模倣します。多くのユーザーが騙されて、悪意あるアプリをインストールしたり、フィッシングサイト上でトランザクション署名を行ってしまうケースがあります。
3. ソーシャルエンジニアリング攻撃:場合によっては、詐欺師がWeb3プロジェクトのグループチャットに潜り込み、特定のユーザーを標的にソーシャルエンジニアリングを使って騙します。サポート担当者や熱心なコミュニティメンバーを装い、エアドロップの受け取り方を教えるふりをして、結果的にユーザーの資産を盗み取ります。ユーザーは、公式代表を名乗る個人からの未請求の支援には警戒し、信用しないようにすべきです。
第一の事例:
-
ユーザーが仮想通貨取引所で3,592個のPendleコインを購入した。
-
ユーザーが公式Telegramグループ内で「エアドロップ申請していない」と発言した。
-
二人の人物が「カスタマーサポート」と称してユーザーに連絡してきた。
-
彼らは、すべてのPendleコインを特定のブロックチェーンアドレスに送金すれば、エアドロップ資格を得られると誘導した。
-
ユーザーが送金を完了した直後、コインが盗まれたことに気づいた。
第二の事例:
-
3月8日の深夜頃、ユーザーがエアドロップ申込中に「JSON-RPCエラー」に遭遇した。
-
ユーザーがTwitterで解決方法を検索した。
-
誰かが連絡し、「問題を解決できる」と称してウェブサイトのリンクを提供した。
-
そのサイトはユーザーに秘密鍵の入力を要求した。
-
ユーザーは指示通りに入力し、後に騙されていたことに気付いた。
-
盗難は3月9日午前1時10分頃に発生した。
「無料」のエアドロップトークン
多くのエアドロップはユーザーに何らかのタスクを求めるものの、何も操作しなくても突然ウォレットにトークンが届くことがあります。ハッカーは価値のないトークンをウォレットに無断で送信(エアドロップ)し、ユーザーがそれを送金・確認・DEXで売買しようとするのを期待しているのです。しかし、こうした悪意あるNFTとインタラクションしようとすると、「アイテムをアンロックするにはこちらのサイトにアクセスしてください」というエラーメッセージが表示されることがあります。これは、実際にはフィッシングサイトへの誘導を目的としたワナです。
ユーザーが悪意あるNFTのリンク先にあるフィッシングサイトにアクセスした場合、ハッカーは以下の行為を行う可能性があります。
-
「ゼロコスト購入」による高価値NFTの窃取(詳細は「ゼロコスト購入」NFTフィッシング分析参照)。
-
承認または署名を通じて高価値トークンを盗む。
-
ネイティブ資産を窃取する。
次に、ハッカーが巧みな悪意あるコントラクトを使ってユーザーのガス代を盗む仕組みを見ていきましょう。
まず、ハッカーはBinance Smart Chain(BSC)上にGPTという悪意あるコントラクト(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)を作成し、ユーザーがそのコントラクトとインタラクションするようトークンエアドロップで誘導します。
ユーザーがこの悪意あるコントラクトとインタラクションすると、ウォレット内のトークン使用を許可するよう求められます。ユーザーがこれを承認すると、悪意あるコントラクトはウォレット残高に基づいて自動的にガスリミットを増加させ、その後のトランザクションでより多くのガスを消費させるのです。
ユーザーが設定した高いガスリミットを利用して、悪意あるコントラクトは余剰ガスでCHIトークンを鋳造します(CHIトークンはガス補填に利用可能)。大量のCHIトークンを蓄積した後、ハッカーはコントラクトを破棄する際にこれらのCHIトークンをバーンし、ガス代の払い戻しを受けることができます。
このようにして、ハッカーはユーザーのガス代から利益を得ており、ユーザーは追加料金を支払っていることに気づかないままです。本来はエアドロップされたトークンの売却で利益を得ようとしていたのに、逆にネイティブ資産を失ってしまうことになります。
エアドロップ受領の過程で、翻訳やトークンの希少性チェックなどのタスクを遂行するためにプラグインをダウンロードするユーザーもいます。しかし、こうしたプラグインの安全性には疑問が残ります。多くのユーザーが公式チャンネルではなく、非公式な経路からダウンロードしており、バックドア入りのプラグインをインストールするリスクが高まっています。
さらに、エアドロップ用のスクリプトを販売するオンラインサービスも存在します。これらは「効率的に大量インタラクションを自動化できる」と謳っています。しかし、検証されていないスクリプトのダウンロードと実行は極めて危険です。その出所や実際に何を行うのかを確認できないため、秘密鍵やリカバリーフレーズの窃取、資産の不正移転など、悪意あるコードが含まれている可能性があります。また、こうした高リスクな操作を行うユーザーの中には、ウイルス対策ソフトを導入していなかったり、無効にしていたりするケースもあり、デバイスがマルウェアに感染しても検知できず、重大な損失につながることがあります。
図中の被害者はZengoウォレットを使用しており、50の独立アカウントと50のローカルアカウントを保有していました。5月9日午後10時22分以降、元々保有していたETH(イーサ)が消えていることに気づきました。アカウントがハッキングされたことが判明した時点で、すべてのアカウントから資金が消失していました。
原因としては、被害者が知らぬ間にトロイの木馬をダウンロードしていた可能性があります。ウイルス対策ソフトとファイアウォールの互換性問題により、両方を無効にしていたようです。事後にウイルス対策ソフトでスキャンしたところ、PCには21個のトロイの木馬がインストールされていたことが判明しました。
まとめ
本ガイドでは、一般的な詐欺手法を分析することで、エアドロップ受領に伴うさまざまなリスクを強調しました。エアドロップは人気のあるマーケティング戦略ですが、ユーザーは以下の対策を講じることで、このプロセス中の資産損失リスクを低減できます。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@DeFiHackLabs
