【ハッキング・詐欺事例】NFTや仮想通貨を触る上で気をつけることと対策

クリプトの世界は、ハッキングや詐欺が横行している世界だと言われます。

この記事では、これまであったハッキングや詐欺の事例と、その対策についてまとめました。

ここで紹介しているのはほんの一例ですが、引っかからないようにセキュリティを高めてもらえたらと思います。

スポンサーリンク

ハッキング・詐欺事例

偽サイト

サイトをGoogleなどで検索すると、偽物のサイトが出てくることがあります。
その偽サイトに入ると、シードフレーズを聞いてきたりするようです。シードフレーズや秘密鍵は絶対に教えてはいけません。ウォレットの中身が抜かれます。

サイトにアクセスしたい時は、Twitterの公式アカウントを探して、そこにあるURLからアクセスするのがいいと思います。

また、本物のサイトをブックマークしておくと便利です。

実際に被害が起こっています。

Discordのハッキング

各プロジェクトの情報交換がおこなわれる場所、Discordでのハッキングです。

運営アカウントがハッキングされ、偽のURLが貼られました。偽物だということに気づかず、アクセスしてウォレットを接続したら、ウォレットの資金が抜かれたとのことです。

運営アカウントが乗っ取られたという話はちょこちょこ耳にします。
運営の発信であっても、URLが本物かどうかの確認は大事だと思います。

Discord経由で1700万円相当の仮想通貨が詐欺師に
Twitchの共同創業者であるジャスティン・カン氏が立ちあげた非代替性トークン(NFT)マーケット「Fractal」の公式Discordチャンネルがハッキングされ、ユーザーが保有していた15万ドル(約1700万円)相当の暗号資産が詐欺師の手に渡ったことが判明しました。

メールのファイルを開いてハッキング

NFTクリエイターの方の事例です。

海外の方からイラストの依頼が来て、メールに添付されていたファイルを開きました。そしたらそのファイルにウイルスが仕込まれており、Twitterが乗っ取られ、ウォレットで不審な送金があったとのこと。

知らない人から送られてくるファイルやURLは、無闇にクリックしないのがいいと思います。

こちらの方も同じように乗っ取られたようです。

同様の被害が多発しているようです。

ウォレットのハッキング

メタマスクがハッキングされ、中に入っていたNFTやトークンが抜かれてしまった事例です。

原因はよくわかりませんが、シードフレーズや秘密鍵が漏れたか、変なサイトに繋げたか、ウイルスに感染したか、スパムNFTを触ってしまったとかでしょうか。

対策としては、ウォレットを分けておくのがいいかと思います。購入用と保管用というように。

こちらの方はHiddenにあったNFTを触ってしまったようです。

偽URLで詐欺に

とあるDiscordで、NFTセールのDMが送られて来ました。限定のセールだったそうで、急いで購入しました。
ところがその売り出されていたNFTは偽物だったとのこと。

Discordなどで運営からDMが送られてくることはほとんどないと思います。送られてくるのは大抵詐欺のDMです。
Discordの設定で、DMを許可しない設定にしておくとDMが来なくなるので安心かと思います。

こちらの記事に詳しくまとめられています。

【詐欺注意】仮想通貨、NFTに触れるすべての人へ|うみつる |オンライン美術館やってます!|note
今まで私をフォローしていただいた方は、久しぶりにうみつるが記事をアップしたと思ったら「全然違う雰囲気になっている!」と思われるでしょうが、今の私はNFTにハマっており、今後もNFTと共に生きていく所存ですので、興味が全くない方はフォローの解除をお願いします。 私がいかにNFTコレクターに変わったかは、また別途記事を書き...

新しいトークンを承認して詐欺に

ウォレットに勝手に送られてきたトークンを承認して、ウォレットの資産を抜かれてしまう事例です。

勝手に送られてきたトークンをスワップするために承認(approve)すると、残高移動の権限を渡してしまいトークンが抜かれるそうです。

知らないトークンがウォレットに送られてきても何も触らないのがいいかと思います。

こちらのツイートで、詐欺られる手順や、承認の解除の仕方も紹介されています。

承認の解除(revoke)の仕方は、こちらの記事も参考になると思います。

Revoke(承認の取り消し)やってみた|ヒヨコロ|note
おはようございます。😊 今日はいろいろあってRevoke(承認の取り消し)をしようと思いました。 DeFi歴5か月にもなるのに、安全のために必要な防御=Revokeのことをほとんど気にしないでDeFiの世界で生きてきました。このnoteでも1回も説明していませんでした。 僕がそもそもRevokeが必要になりそうな...

怪しいトークンを承認してしまった場合は、承認の取り消しをしましょう。

Debankでもできますが、私はEtherscanなどのスキャンサイトでおこなうことが多いです。
スキャンサイトの方が、より詳しく見ることができるのと、ガス代が安い気がします。

タダでトークンをもらって詐欺に

無料で仮想通貨がもらえるサイトがあるのはご存知ですか?

発足したばかりのチェーンプロジェクトがユーザーに使ってもらうために無料でトークンを配ることがあります。
どういうことか。

初めてのネットワークを使うときはガス代が必要ですよね。
でもガス代を用意するのはユーザーにとっては面倒くさい。
そこでプロジェクト側が、ガス代として使えるように少額のトークンを配るのです。

例えば、これはAstar Networkの例です。
Astar Networkのサイト(https://portal.astar.network/#/balance/wallet)に行くと「faucet」というのがあります。

faucetは蛇口という意味です。
「faucet」をクリックすると0.002ASTRをもらうことができます。Astar Networkのガス代は安いのでこれだけあれば十分です。

こんな感じで蛇口に繋ぐとトークンがもらえるわけですが、中には悪徳なサイトもあります。
そういうところでトークンをもらってしまうと危ないです。
「トークンをもらう=トークンを承認する」なので、ウォレットの残高移動の権限を渡すのと同じになってしまうわけです。

怪しいサイトの蛇口には繋がないように気をつけましょう。


また、エアドロ(エアドロップ)という名称で仮想通貨がもらえることもあります。
こちらも、悪意のあるプロジェクトだと危ないので、しっかり確認してから受け取るようにしましょう。

スキャムプロジェクト

scam(詐欺)をするプロジェクトの事例です。

NFTアートを販売し、その収益でゲームの開発やマーケティングをおこなうというプロジェクトがありました。しかし、それらはおこなわれず、運営のTwitterアカウントやウェブサイトが消えたそうです。

これはNFTコレクションの例ですが、DeFiやブロックチェーンゲームでもあるので気をつけたいですね。

NFTプロジェクト「Evolved Apes」の開発者が3億円以上の仮想通貨を持ち逃げ、だまされた投資家らは新プロジェクトを発足
近年、ブロックチェーンで所有権が追跡されている「非代替性トークン(NFT)」に対する投機的な注目が高まっており、たった1枚のNFTアートが75億円で落札されたり、日本の小学生が描いたNFTアートの取引高が総額380万円に達したりといった事例もあります。NFT市場が大きな盛り上がりを見せる一方で暗号資産をだまし取る詐欺も...

ラグ

スキャムと似たものにラグプル(RugPull)があります。

ラグは、運営が資金を持ち逃げすることを表すようです。
スキャムに似ていますが、ラグは流動性を抜くというような意味かと思います。

良さげなプロジェクトを立ち上げて、NFTセールでお金を集めたり、トークンが値上がったところで、運営が消えてしまいます。

投資をする際は、運営がどんな人たちなのか、どんなプロジェクトなのかを、見極めることが大事かと思います。
特に最近はブロックチェーンゲームでのラグが多いようです。

アカウント乗っ取り

アカウントを乗っ取られて資産を持っていかれてしまった事例です。

これはGala Gamesというゲームアカウントであったことです。
このアカウントはログインすることができれば、シードフレーズや秘密鍵がなくてもウォレットを触ることができてしまいます。

アカウントは二段階認証を設定して、ログインされないようにすることが大事になります。
ゲームアカウントだけでなく、TwitterやDiscordなども二段階認証の設定しておきましょう。

OpenSeaのバグを使って

OpenSeaの抜け穴を使い、高級NFTが安く買われてしまう事例です。

どうしてこのようなことが起こるのか、例を出してみます。

1ETHで出品しているけど、20ETHで出品したいNFTがある。
20ETHで出品するには、1ETHの出品をキャンセルしないといけない。
しかし、キャンセルにはガス代がかかる。
そこで、NFTを別のウォレットに転送する。
そしてまた元のウォレットにNFTを戻す。
こうすることで、キャンセル料を払うことなく、新たに20ETHで出品できる。

しかし、見た目では1ETHの出品が無くなったとしても、内部ではその情報が残っています。
なので、表では20ETHだとしても、1ETHという安い価格で買われてしまうということです。


じゃあその安い方の出品をちゃんとキャンセルしてから、高い価格で出品すれば良いということになります。
しかし、ここでも注意が必要です。別の手口でNFTをかっさわれてしまう可能性があるようです。

こちらのツイートの内容をまとめます。

過去に安値で出品したことがある場合、その出品をキャンセルしようとする。
すると安値出品のキャンセルをおこなおうとしていることにbotが気づき、キャンセルが確定する前に瞬時に安値で買われてしまう。
ということだそう。
怖いですね。


では過去の安値出品をキャンセルしたいときはどうするべきか。

NFTを一旦別のウォレットに転送する。
その状態で元のウォレットにある出品をキャンセルする。

これで過去の安値の出品をキャンセルできるそうです。

過去の出品が残っているかどうかはOpenSeaの「Listings」で確認できます。

個人間取引で詐欺に

大手の取引所を介さずに個人間で取引した時の事例です。

OpenSeaでは手数料がかかるから、sudoswapで交換しようと言われました。sudoswapはNFTやトークンを交換できるサイトのようです。
NFTを渡してトークンをもらうというセットアップを用意してもらい、承認しました。しかし実際にはNFTだけが転送され、トークンはもらえなかったそうです。

個人間では取引しないこと、よくわからないサイトは使わないことが、大事になるかなと思います。

また、本物と同じ画像の偽NFTを交換しようと言ってくる人もいるようです。

NFTの見た目だけでは判断が難しいので、コントラクトを確認するなどして、本物かどうか確かめることが重要になるようです。

テストネットで詐欺に

こちらも個人間取引の事例です。

NFTとETHを交換することになりました。
ETHを送ってもらうときに、Ethereum Main Networkではなく、ガス代の安いRopsten TestnetでETHを送りたいと言われたそう。怪しく思ったものの、Ropsten Testnetのネットワークの追加方法を教えられ、先払いをしてもらいます。トランザクションを確認し、ETHが届いているのを確認できたので、NFTを送りました。しかし、実際にはETHはもらえていませんでした。

どういうことなのか。

この事例の問題はネットワークです。
Ropsten Testnetはテストネットであり、テストのためのネットワークです。そこで使われるトークンは誰でも持つことができます。つまり、Ropsten Testnetで送られてきたETHには、価値がない形だけのものということになります。

Testnetという練習のためのネットワークがあることは知っておきましょう。

ハッキングや詐欺に遭わないためにできること

いろいろな事例がありましたが、このようなことに遭わないためにできることを考えました。

できることとしては

・DMは受け取らない、反応しない
・知らないURLやファイルを開かない
・URLはクリックする前に確認
・何があってもシードフレーズや秘密鍵は教えない
・シードフレーズや秘密鍵をネット上に保存しない
・ウォレットを分ける

・無闇にウォレットをサイトに繋げたり承認しない
・知らないトークンやNFTがウォレットに入っていても触らない
・ネカフェなどのPC使わない
・フリーWiFiを使わない

などでしょうか。

そのほかに参考になるツイートも載せておきます。

特にウォレットはいつか事故ると思って、複数に分けておくのがいいと思います。
分けておけばもし被害にあっても全損を避けられます。

メタマスクの設定見直し

メタマスクの設定で「拡張機能をクリックしたとき」にしておくといいとのこと。

最初は「すべてのサイト」になっているので、見直してみるといいと思います。

フレーズの保存の仕方

シードフレーズをどうやって保管するか問題。

いろいろな考えがあると思いますが、こちらの記事が参考になると思います。

紙に書いて保管するのが危険な理由と、どのように保管するべきかを、ふたつの記事で紹介されています。

ウォレットの秘密鍵、紙で保管は危険です【盗まれます】
今更、言うまでも無くですが・・・・Q:シークレットリカバリーフレーズをメモした紙が盗まれたら?A:終わりです。シークレットリカバリーフレーズが漏洩したウォレットは、金庫の扉が開けっぱなしの状態で常時ネット上に財布を置いておくような感じですかね。ひどい。みなさんは、そのリスクを、本当に正しく認識しているでしょうか。「PC...
【Voicy始めました】ウォレットの秘密鍵、セキュリティの高い保管方法
落合陽一氏と考えるNFTの未来メディアアーティスト(筑波大学准教授)の落合陽一さんとの対談イベントが決定しました。テーマは、「落合陽一氏と考えるNFTの未来」です。12月27日(月曜)23:00~1時間。場所はTwitterスペースです。現在、落合さんへの質問を受付中です。こちらのツイートにリプライで質問ください。多く...


もうひとつ参考になるツイートがありました。

このツイートのツリーの最後の方ではリテラシーについて言及されています。
自分自身のリテラシーを高めることがセキュリティを高めることに繋がるでしょう。

まとめ

クリプト関連のハッキングや詐欺の事例でした。

ここで紹介した以外にもたくさんあり、日々いろいろな手口でおこなわれてくると思います。

対策ももっとできることがあるかもしれません。
いろんな情報を知って、知識をつけていくことが大切かと思います。

被害に遭わないよう気をつけながら、楽しみましょう。

コメント

タイトルとURLをコピーしました