【ハッキング・詐欺事例】NFTや仮想通貨を触る上で気をつけることと対策

クリプトの世界は、ハッキングや詐欺が横行している世界だと言われます。

この記事では、これまであったハッキングや詐欺の事例と、その対策についてまとめました。

ここで紹介しているのはほんの一例ですが、引っかからないようにセキュリティを高めてもらえたらと思います。

タップできるもくじ

ハッキング・詐欺事例
ハッキングや詐欺に遭わないためにできること
- メタマスクの設定見直し
- フレーズの保存の仕方
まとめ

ハッキング・詐欺事例

偽サイト

サイトをGoogleなどで検索すると、偽物のサイトが出てくることがあります。
その偽サイトに入ると、シードフレーズを聞いてきたりするようです。シードフレーズや秘密鍵は絶対に教えてはいけません。ウォレットの中身が抜かれます。

サイトにアクセスしたい時は、Twitterの公式アカウントを探して、そこにあるURLからアクセスするのがいいと思います。

また、本物のサイトをブックマークしておくと便利です。

#NFT #SCAMALERT #opensea

おいおいおい、これはやばいぞ。
NFT のインフルエンサーに周知してほしいやつ。

いま Google 検索で「OpenSea」で検索して一番上に広告で出てくるものは「詐欺(scam)」です。
絶対に、シードフレーズは入力しちゃダメです。

URL 違くて2度見した。 pic.twitter.com/iRiOxeRoWV
— Luin Aozora@NFT Game VTuber/ニノクロ SandTaurus (@luin_aozora) October 11, 2021

実際に被害が起こっています。

許せない。
pegaxyの詐欺サイトでシードフレーズを入力してしまいmetamaskのウォレットと馬20頭くらい計400万円取られました。途中で気づいたので4頭くらい移せましたがほぼ全壊。自分はpegaxyと検索して1番上に出てきて、そっくりで気づきませんでした。自分の不注意なのもありますが、↓ pic.twitter.com/AW91Q91w19
— しゅん (@shunnft_) February 16, 2022

Discordのハッキング

各プロジェクトの情報交換がおこなわれる場所、Discordでのハッキングです。

運営アカウントがハッキングされ、偽のURLが貼られました。偽物だということに気づかず、アクセスしてウォレットを接続したら、ウォレットの資金が抜かれたとのことです。

運営アカウントが乗っ取られたという話はちょこちょこ耳にします。
運営の発信であっても、URLが本物かどうかの確認は大事だと思います。

Discord経由で1700万円相当の仮想通貨が詐欺師に

Twitchの共同創業者であるジャスティン・カン氏が立ちあげた非代替性トークン(NFT)マーケット「Fractal」の公式Discordチャンネルがハッキングされ、ユーザーが保有していた15万ドル(約1700万円)相当の暗号資産が詐欺師の手に渡ったことが判明しました。

メールのファイルを開いてハッキング

NFTクリエイターの方の事例です。

海外の方からイラストの依頼が来て、メールに添付されていたファイルを開きました。そしたらそのファイルにウイルスが仕込まれており、Twitterが乗っ取られ、ウォレットで不審な送金があったとのこと。

知らない人から送られてくるファイルやURLは、無闇にクリックしないのがいいと思います。

こちらの方も同じように乗っ取られたようです。

同様の被害が多発しているようです。

NFTハッキング被害にあいました。
その状況を細かく書いていこうと思います。何かの参考になれば幸いです。

その人物からTwitter上でメッセージが来たのは3日ぐらい前でした。
Twitter上の名前や説明などは嘘かもしれないし変えてツイートするかもしれないので、あて書かない事にする。
— Tohru Hanayama | Pixel Geisya NFTs (@PixelGeisya) March 3, 2022

ウォレットのハッキング

メタマスクがハッキングされ、中に入っていたNFTやトークンが抜かれてしまった事例です。

原因はよくわかりませんが、シードフレーズや秘密鍵が漏れたか、変なサイトに繋げたか、ウイルスに感染したか、スパムNFTを触ってしまったとかでしょうか。

対策としては、ウォレットを分けておくのがいいかと思います。購入用と保管用というように。

#ハッキングによりNFTやETHを勝手に持ち出されているようです😢有識者の方、緊急対処の仕方あれば教えて下さい🙇‍♀️ということで #拡散致します。おみちんさんは、混乱に紛れた更なる詐欺師にご注意を❗️善人ばかりではないので😢 https://t.co/s8fVz5J31F
— 𝗖𝗿𝘆𝗽𝘁𝗼 𝗥𝗮𝗯𝗯𝗶𝘁𝘀*🐰𝗜𝗖𝗛𝗜𝗚𝗢🍓クリラビ (@ICHIGO_NFT) January 26, 2022

・数週間前にDiscordで偽PolygonのDMをクリック
・パスワードを入力してしまった
・シードを共有してないから大丈夫と思ったら今日になって盗まれたと気づいた
— junya / gambit2387.eth (@gambit2387jp) January 27, 2022

こちらの方はHiddenにあったNFTを触ってしまったようです。

対応遅れてすみません〜。実はメタマスク乗っ取られて500万円以上の金融資産持って行かれました。
原因として考えられるのは、2つ。1つがHiddenにあったNFTをゴミ用アドレスにトランスしたこと、もう1つは心当たりはないけど何かログインしてしまったこと。わたしは前者だと思っています。
— 🍓あけみひよこ🍓恋子のいちご日記🍓くま五郎とクマーベルファウンダー (@akemihiyoko) March 2, 2022

偽URLで詐欺に

とあるDiscordで、NFTセールのDMが送られて来ました。限定のセールだったそうで、急いで購入しました。
ところがその売り出されていたNFTは偽物だったとのこと。

Discordなどで運営からDMが送られてくることはほとんどないと思います。送られてくるのは大抵詐欺のDMです。
Discordの設定で、DMを許可しない設定にしておくとDMが来なくなるので安心かと思います。

1/
ショック💦
NFTに関する詐欺により0.45ETHを失いました💦

正直、情報公開するのが悔しいし情けなくも思うのですが、かなり巧妙な手口なので、もしかしたら同様の被害に他の方が遭うのを防げると思いツイートします！

＜被害内容＞
購入したNFTのDiscordのコミュニティを見ていたら、DMが届き…
— うみつる (@umitsuru_fire) November 13, 2021

こちらの記事に詳しくまとめられています。

【詐欺注意】仮想通貨、NFTに触れるすべての人へ｜うみつる｜オンライン美術館やってます！｜note

今まで私をフォローしていただいた方は、久しぶりにうみつるが記事をアップしたと思ったら「全然違う雰囲気になっている！」と思われるでしょうが、今の私はNFTにハマっており、今後もNFTと共に生きていく所存ですので、興味が全くない方はフォローの解除をお願いします。私がいかにNFTコレクターに変わったかは、また別途記事を書き...

新しいトークンを承認して詐欺に

ウォレットに勝手に送られてきたトークンを承認して、ウォレットの資産を抜かれてしまう事例です。

勝手に送られてきたトークンをスワップするために承認（approve）すると、残高移動の権限を渡してしまいトークンが抜かれるそうです。

知らないトークンがウォレットに送られてきても何も触らないのがいいかと思います。

こちらのツイートで、詐欺られる手順や、承認の解除の仕方も紹介されています。

ウォレットに勝手に送られてくる謎トークンをapproveしてしまうと、ウォレット内の資産が抜かれてしまうので警告⚠️

fake_phishingマークが付いたウォレットは、フィッシング詐欺ですよという警告のマーキングです(被害に遭った人が通報して付けてます) https://t.co/mqn7uDGOKK pic.twitter.com/KToHsa6vEp
— Fig ／ふぃぎゅ君🐫 (@50923) November 28, 2021

承認の解除（revoke）の仕方は、こちらの記事も参考になると思います。

Revoke（承認の取り消し）やってみた｜ヒヨコロ｜note

おはようございます。😊 今日はいろいろあってRevoke（承認の取り消し）をしようと思いました。 DeFi歴5か月にもなるのに、安全のために必要な防御＝Revokeのことをほとんど気にしないでDeFiの世界で生きてきました。このnoteでも1回も説明していませんでした。僕がそもそもRevokeが必要になりそうな...

怪しいトークンを承認してしまった場合は、承認の取り消しをしましょう。

Debankでもできますが、私はEtherscanなどのスキャンサイトでおこなうことが多いです。
スキャンサイトの方が、より詳しく見ることができるのと、ガス代が安い気がします。

タダでトークンをもらって詐欺に

無料で仮想通貨がもらえるサイトがあるのはご存知ですか？

発足したばかりのチェーンプロジェクトがユーザーに使ってもらうために無料でトークンを配ることがあります。
どういうことか。

初めてのネットワークを使うときはガス代が必要ですよね。
でもガス代を用意するのはユーザーにとっては面倒くさい。
そこでプロジェクト側が、ガス代として使えるように少額のトークンを配るのです。

例えば、これはAstar Networkの例です。
Astar Networkのサイト（https://portal.astar.network/#/balance/wallet）に行くと「faucet」というのがあります。

faucetは蛇口という意味です。
「faucet」をクリックすると0.002ASTRをもらうことができます。Astar Networkのガス代は安いのでこれだけあれば十分です。

こんな感じで蛇口に繋ぐとトークンがもらえるわけですが、中には悪徳なサイトもあります。
そういうところでトークンをもらってしまうと危ないです。
「トークンをもらう＝トークンを承認する」なので、ウォレットの残高移動の権限を渡すのと同じになってしまうわけです。

怪しいサイトの蛇口には繋がないように気をつけましょう。

また、エアドロ（エアドロップ）という名称で仮想通貨がもらえることもあります。
こちらも、悪意のあるプロジェクトだと危ないので、しっかり確認してから受け取るようにしましょう。

スキャムプロジェクト

scam（詐欺）をするプロジェクトの事例です。

NFTアートを販売し、その収益でゲームの開発やマーケティングをおこなうというプロジェクトがありました。しかし、それらはおこなわれず、運営のTwitterアカウントやウェブサイトが消えたそうです。

これはNFTコレクションの例ですが、DeFiやブロックチェーンゲームでもあるので気をつけたいですね。

NFTプロジェクト「Evolved Apes」の開発者が3億円以上の仮想通貨を持ち逃げ、だまされた投資家らは新プロジェクトを発足

近年、ブロックチェーンで所有権が追跡されている「非代替性トークン(NFT)」に対する投機的な注目が高まっており、たった1枚のNFTアートが75億円で落札されたり、日本の小学生が描いたNFTアートの取引高が総額380万円に達したりといった事例もあります。NFT市場が大きな盛り上がりを見せる一方で暗号資産をだまし取る詐欺も...

ラグ

スキャムと似たものにラグプル（RugPull）があります。

ラグは、運営が資金を持ち逃げすることを表すようです。
スキャムに似ていますが、ラグは流動性を抜くというような意味かと思います。

良さげなプロジェクトを立ち上げて、NFTセールでお金を集めたり、トークンが値上がったところで、運営が消えてしまいます。

投資をする際は、運営がどんな人たちなのか、どんなプロジェクトなのかを、見極めることが大事かと思います。
特に最近はブロックチェーンゲームでのラグが多いようです。

【悲報】

税理士が日本テレグラムMODやってるゲーム、無事ラグる pic.twitter.com/n16MXtKMsf
— 村上ゆういち@魔税理士 (@Jeanscpa) January 26, 2022

よく発信してたMercenaryの運営がTwitterアカウント、ディスコサーバー全部消して逃げました！！

ゲームにはログインできそうなので、とりあえず報酬だけクレームしてすぐスワップしてください！
一応プールのロック分には余裕があるので全プレイヤーの利確も間に合うはず…！
本当にショックがでかい pic.twitter.com/mQmAMpgsLW
— mutumi623@arbitrum (@623Game) January 26, 2022

アカウント乗っ取り

アカウントを乗っ取られて資産を持っていかれてしまった事例です。

これはGala Gamesというゲームアカウントであったことです。
このアカウントはログインすることができれば、シードフレーズや秘密鍵がなくてもウォレットを触ることができてしまいます。

アカウントは二段階認証を設定して、ログインされないようにすることが大事になります。
ゲームアカウントだけでなく、TwitterやDiscordなども二段階認証の設定しておきましょう。

最悪なことに、GalaGamesのアカウントが乗っ取られたようだ。。
車が買えるくらいの資産と初任給くらいのゲーム収入が消えた(*´з`)

二段階認証を設定を一時的に止めていたら、だれかがログインして勝手に二段階認証を設定したみたい。
みなさん気を付けてください！#タウンスター
— 旧南沖尋定　stepn徘徊初老 (@nantyuuu) December 2, 2021

このコントラクトアドレスにGALA取られたわ。。。。
GALAというより全部。。。
0x1a2C2378af7a102A2527e76637c3f8b0b0A620A8
↑アドレスはこいつ

2段階認証を必ずすることと、パスワードとかは必ずするようにしましょう・・・・・・・#TownStar $GALA $TOWN
— イクエ⚛️ ikuikuwo*atom (@ikuikuwo) December 2, 2021

OpenSeaのバグを使って

OpenSeaの抜け穴を使い、高級NFTが安く買われてしまう事例です。

OpenSeaの"抜け穴"で高級NFTが安く購入される現象が発生

●出品したつもりのないBAYCが0.77ETHで買われる
●出品キャンセルのガス代を節安するため、別のwalletに移動するなどをした際の履歴を利用された
・1月頭から問題視、ここ数日で件数増加

🔽OpenSeaは対策として「Listingチェック機能」を追加 https://t.co/4z6CQXzfcG
— miin l NFT情報コレクター🔮 (@NftPinuts) January 25, 2022

どうしてこのようなことが起こるのか、例を出してみます。

1ETHで出品しているけど、20ETHで出品したいNFTがある。
20ETHで出品するには、1ETHの出品をキャンセルしないといけない。
しかし、キャンセルにはガス代がかかる。
そこで、NFTを別のウォレットに転送する。
そしてまた元のウォレットにNFTを戻す。
こうすることで、キャンセル料を払うことなく、新たに20ETHで出品できる。

しかし、見た目では1ETHの出品が無くなったとしても、内部ではその情報が残っています。
なので、表では20ETHだとしても、1ETHという安い価格で買われてしまうということです。

じゃあその安い方の出品をちゃんとキャンセルしてから、高い価格で出品すれば良いということになります。
しかし、ここでも注意が必要です。別の手口でNFTをかっさわれてしまう可能性があるようです。

こちらのツイートの内容をまとめます。

1/ WARNING: DO NOT CANCEL YOUR OS LISTINGS AS STATED IN THE EMAIL THAT OPENSEA JUST SENT OUT🚨🚨

Please FIRST transfer your NFT to a different address and cancel the listing/s on the original address BEFORE sending it back

OS just put everyone at even more risk than before🧵
— dingaling (@dingalingts) January 27, 2022

過去に安値で出品したことがある場合、その出品をキャンセルしようとする。
すると安値出品のキャンセルをおこなおうとしていることにbotが気づき、キャンセルが確定する前に瞬時に安値で買われてしまう。
ということだそう。
怖いですね。

では過去の安値出品をキャンセルしたいときはどうするべきか。

NFTを一旦別のウォレットに転送する。
その状態で元のウォレットにある出品をキャンセルする。

これで過去の安値の出品をキャンセルできるそうです。

過去の出品が残っているかどうかはOpenSeaの「Listings」で確認できます。

個人間取引で詐欺に

大手の取引所を介さずに個人間で取引した時の事例です。

OpenSeaでは手数料がかかるから、sudoswapで交換しようと言われました。sudoswapはNFTやトークンを交換できるサイトのようです。
NFTを渡してトークンをもらうというセットアップを用意してもらい、承認しました。しかし実際にはNFTだけが転送され、トークンはもらえなかったそうです。

個人間では取引しないこと、よくわからないサイトは使わないことが、大事になるかなと思います。

実際にあった詐欺の話を記事にしたのでご参考下さい。個人間取引を持ち掛けてきてNFTを抜き取るやり口です！！　　【注意喚起!!】NFTスキャム（奪い取り詐欺）手法｜おまんじゅう @Ozwaldoooo #note https://t.co/AUnIJcjHfA
— Omanju (@Omanju_nft) January 30, 2022

テストネットで詐欺に

こちらも個人間取引の事例です。

NFTとETHを交換することになりました。
ETHを送ってもらうときに、Ethereum Main Networkではなく、ガス代の安いRopsten TestnetでETHを送りたいと言われたそう。怪しく思ったものの、Ropsten Testnetのネットワークの追加方法を教えられ、先払いをしてもらいます。トランザクションを確認し、ETHが届いているのを確認できたので、NFTを送りました。しかし、実際にはETHはもらえていませんでした。

どういうことなのか。

この事例の問題はネットワークです。
Ropsten Testnetはテストネットであり、テストのためのネットワークです。そこで使われるトークンは誰でも持つことができます。つまり、Ropsten Testnetで送られてきたETHには、価値がない形だけのものということになります。

Testnetという練習のためのネットワークがあることは知っておきましょう。

splinterlandsで120万円ほど詐欺られた話。詐欺に遭わないためにも、是非読んでください。#Splinterlands #すぷらん #BCG #トレード #詐欺

splinterlandsトレード詐欺のまとめ｜firemonster #note https://t.co/yTU0bAke4y
— FIREMONSTER@splinterlands (@firemonster_622) January 23, 2022

ハッキングや詐欺に遭わないためにできること

いろいろな事例がありましたが、このようなことに遭わないためにできることを考えました。

できることとしては

・DMは受け取らない、反応しない
・知らないURLやファイルを開かない
・URLはクリックする前に確認
・何があってもシードフレーズや秘密鍵は教えない
・シードフレーズや秘密鍵をネット上に保存しない
・ウォレットを分ける
・無闇にウォレットをサイトに繋げたり承認しない
・知らないトークンやNFTがウォレットに入っていても触らない
・ネカフェなどのPC使わない
・フリーWiFiを使わない

などでしょうか。

そのほかに参考になるツイートも載せておきます。

まじでつらすぎる
とりあえずクリエイター各位以下に注意

不審なファイル開かない特に.rar .exe
DMは特に気をつける
信頼できないサイトにメタマスクをつないでトランザクション通さない
秘密鍵等を暗号化せずpcに保存しない
秘密鍵等は絶対に見せない入力しない

秘密鍵等が漏れる＝死です。
— ビットコヌシ🍓NFT bitconusi.eth (L,3) (@bitconusi) January 31, 2022

これにリプ返ししようと思っているんですが、
①純粋に秘密鍵を教えてしまった
（例：DMなど）
②教えてはいないが知られてしまった
（例：フィッシング、見られた、クラウドに保存した、ウィルス等）

この二つしかないはず
②は正直無限に発展するので守る方は絶対に事故るって思う方が無難です pic.twitter.com/CjXDA784A7
— hibiki💜👟　@guildQB (@kyo_n1_133) January 31, 2022

特にウォレットはいつか事故ると思って、複数に分けておくのがいいと思います。
分けておけばもし被害にあっても全損を避けられます。

メタマスクの設定見直し

メタマスクの設定で「拡張機能をクリックしたとき」にしておくといいとのこと。

最初は「すべてのサイト」になっているので、見直してみるといいと思います。

NFT新規参入者が増えてきたと思うので…

【MetaMaskのセキュリティを5秒で向上させる方法】

・Chromeのキツネマークを右クリック
・「サイトデータの読み取り～」をクリック
・「拡張機能をクリックしたとき」を選択

これだけでもセキュリティは上がる
デフォルトは皆「すべてのサイト」→危険 pic.twitter.com/BElvXt8U0j
— 10kun(とーくん) | NFTブログ (@nftblog_site) December 15, 2021