NFT詐欺防止ガイド:資産を守るための3つのテクニック
TechFlow厳選深潮セレクト
NFT詐欺防止ガイド:資産を守るための3つのテクニック
詐欺メール1通で416万ドルをだまし取られた。
Web3業界の深掘り報道に専念し潮流を洞察
著者:NFT Labs、律動研究院
Cryptoの世界はまるで暗黒の森であり、あなたの周囲には無数の危険が潜んでいるかもしれない。最近、ハッカーはOpenSeaのコントラクトアップグレードのタイミングを狙い、すべてのユーザーのメールアドレスにフィッシングメールを送信した。多くのユーザーはこれを公式メールと誤認し、ウォレットの承認を行ってしまった結果、ウォレットが盗まれる事態となった。統計によると、この1通のメールによって少なくとも3体のBAYC、37体のAzuki、25体のNFT Worldsなどが盗難され、床価格で計算するとハッカーの収益はすでに416万ドルに達している。
そしてその日の夜、同様に「All in NFT」に参加する同済大学の学生Niqが長年保有していた1/1 Doodleも盗まれた。理由は、相手がNiqに直接取引の交渉を持ちかけ、警戒心を解かせた後に偽の取引サイトリンクを送ったためである。
現在、私たちが警戒すべきハッキング攻撃は技術的なものだけでなく、ソーシャルエンジニアリングによるものも含まれており、さらに多くのNFTプロジェクトの価格が高騰していることから、わずかな油断が巨額の資産損失につながる可能性がある。最近のNFT分野での詐欺事件が頻発していることを踏まえ、律動研究院ではよく見られる幾つかの詐欺手法をまとめた。読者の皆さんは常に警戒を怠らず、騙されないよう注意してほしい。
詐欺の手口
1. DiscordのDMで詐欺サイトのリンクを送る
DiscordのDM経由でリンクを送る手法は、ハッカーがよく使う詐欺方法だ。ハッカーはDiscord内のさまざまなコミュニティでメンバーに一斉にDMを送信したり、コミュニティ管理者を装って問題解決を装いユーザーにDMを送り、ウォレットの秘密鍵を騙し取ったりする。また、無料でNFTが受け取れるなどと嘘をついて偽のフィッシングサイトのリンクを送ることもある。ユーザーがハッカーが用意した偽サイトに承認を与えてしまうと、大きな財産的損失を被ることになる。
2. Discordサーバーへの攻撃
Discordサーバーがハッキングされるというのは、人気のあるNFTプロジェクトならほぼ誰もが経験する出来事だ。ハッカーはサーバー管理者のアカウントを攻撃し、チャンネル内に偽のアナウンスを投稿することで、メンバーをあらかじめ用意された偽サイトへ誘導し、偽のNFTを購入させようとする。現在のハッカーは、詐欺サイトのリンクなどを送ることでサーバー管理者のトークンを盗み取り、たとえ管理者が2段階認証(2FA)を有効にしていても無意味にすることができる。もし詐欺サイトがユーザーのウォレット承認を要求すれば、被害はさらに深刻な財産損失につながる。
3. 偽の取引リンクを送る
この手口は、ユーザー間で個別にNFT取引を行う場合によく見られる。SudoswapやNFTtraderなどのプラットフォームでは、ユーザー同士が個別にNFTやトークンを「交換」することを推奨しており、こうした個別取引にも一定のセキュリティ保護が施されている。これはNFT市場にとって良い試みだが、最近ではハッカーが偽のSudoswapやNFTtraderのサイトを使って詐欺を行うケースが増えている。
SudoswapやNFTtraderでは、取引内容の合意後、ユーザーが取引を開始する必要があり、このステップで注文確認用のウェブサイトが生成される。双方が確認すると、スマートコントラクトにより自動的に取引が実行される。詐欺師は最初に本物のサイトリンクを提示して信用を得た後、取引内容の変更を提案し、ユーザーの警戒心を緩めたところで偽のリンクを送ってくる。ユーザーがリンクをクリックして取引を確認すると、自分のウォレットにあるNFTが詐欺師のウォレットに送られてしまうのだ。
4. リカバリーフレーズ(ニーモニックフレーズ)の騙し取り
詐欺師は様々な手段でユーザーに秘密鍵やリカバリーフレーズを送らせようとする。例えば、偽サイトを構築したり、ユーザーを支援する管理者を装ったりして、ユーザーの警戒心を下げ、秘密鍵やリカバリーフレーズを盗み取ろうとする。
5. 偽のコレクションを作成し、Discordの公開チャンネルで取引を募る
偽のNFTコレクションは、多くの人気プロジェクトのリリース直前に最も遭遇しやすい。NFTのブラインドボックスが正式にリリースされる前に、詐欺師はOpenSeaなどのNFTマーケットプレイスに名称が似た偽NFTコレクションをアップロードし、公式から公開された情報をもとに巧みに「装飾」する。正式なNFTコレクションがまだリリースされていない状況では、ユーザーはまず名前が最も近いコレクションを検索してしまうため、そこに引っかかりやすくなる。より信頼させるために、架空の取引を何件か作り出し、偽NFTにオファー(購入希望)を送ることで、価値があるように見せかける詐欺師もいる。
プラットフォームやプロジェクト側のロイヤリティ手数料を節約するために、コミュニティメンバー同士で直接取引を行うこともある。前述の偽Sudoswap・NFTtraderサイト以外にも、コミュニティのチャンネルで床価格を下回る価格の偽NFTコレクションのリンクを送る手口もある。ユーザーは床価格以下のNFTを急いで購入しようとするあまり、NFTの真偽を見極められず、騙されてしまうことが多い。
6. 偽メール
多くのNFTプラットフォームでは、ユーザーがメールアドレスを登録することが求められており、これによりユーザーはNFTの取引状況をすぐに把握できるようになる。そのため、メールアドレスは詐欺が横行する場所となっている。詐欺師は通常、OpenSeaの公式アカウントを装い、「コントラクトアドレスの更新が必要」「ウォレットの再認証が必要」などと称してフィッシングサイトのリンクを送信する。先日OpenSeaがコントラクトアップグレードを発表した際、ハッカーはまさにこの方法で約400万ドルの資産を騙し取った。執筆時点においても、OpenSeaチームは被害を受けたユーザーの調査を続行している。
詐欺防止ガイド
1. URLの識別
ハッカーがいかに華々しい演出や魅力的な言葉で包んでも、最終的にあなたの暗号資産を盗むには、必ずあなたのウォレットと相互作用する手段が必要となる。一般のユーザーはコントラクトのリスクを判断できないかもしれないが、幸運なことに、我々はまだweb2中心のインターネット世界に生きている。ほとんどの暗号化コントラクトは、ユーザーとのやり取りのためにweb2のフロントエンドページを必要としている。
そのため、ユーザー(プロジェクト側ではなく)を対象とした暗号資産の盗難のほとんどは、偽サイト(フィッシングサイト)上で発生している。いったんフィッシングサイトの見分け方を理解すれば、暗号資産の盗難の99%を回避できるだろう。
スマートフォンと共に成長してきたZ世代にとって、彼らの生活は次々とアプリが築く「エコシステム」の中にあるため、webページという古い存在についての知識が薄れているかもしれない。web2の時代、DNSドメイン名システムは各ウェブサイトにネットワーク全体で唯一無二の身元識別子を与える。ドメイン名の構造に関する基本ルールを理解しておけば、ほぼすべての偽フィッシングサイトに対応できる。
従来のDNSドメイン名では、ドメインの階層は三段階に分けられる。最初の区切り文字(/)の後、右から左に読んでいく。各ピリオドで一つの階層が区切られる。例として https://www.opensea.io/ を挙げると、「.io」や「.com」「.cn」などはトップレベルドメイン(TLD)と呼ばれ、この部分はカスタマイズできない。「opensea」はセカンダリドメイン(二级域名)と呼ばれ、ドメインの主体であり、同じトップレベルドメイン(たとえば両方.io)では重複できない。「www」はサブドメイン(三级域名)と呼ばれ、サイト運営者が自由に設定できる。さらに「www」の前に第四、第五階層のドメインを追加することも可能だ。
ドメインの階層順序は直感に反する。つまり右から左に行くほど階層が低くなる。この設計は多くの人の読み習慣とは逆であり、攻撃者にとっては好都合だ。たとえば、https://www.opensea.io.example.com というアドレスはopenseaに非常に似ているが、実際のドメインは「example.com」であって「opensea.io」ではない。
Web3におけるフィッシング攻撃については、まだ予測が難しい。しかしWeb2の世界では、DNSドメイン名システムがドメイン(つまりURL)の唯一性を保証しており、ドメインが本物であれば、ユーザーが偽サイトを開くことはほぼありえない。
2. 秘密鍵やリカバリーフレーズを絶対に漏らさない
Cryptoウォレットは、Web2の電子メールアカウントなどとは異なり、秘密鍵やリカバリーフレーズは変更も復旧もできない。一度漏洩すれば、そのウォレットはあなたとハッカーの両方に属することになり、ウォレット内のすべての資産をハッカーがいつでも移動できてしまう。また、イーサリアムアドレスの匿名性ゆえに、ハッカーの正体を特定することもできず、損失を取り戻すことも不可能であり、そのウォレットは今後一切使用できなくなる。
3. 定期的にウォレットの承認を取り消す
もしすでに詐欺サイトでウォレットの承認をしてしまった場合は、以下の3つのアドレスにアクセスして、承認状況を確認し、速やかに取り消すことができる。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
