暗号業界の暗い森は、NFTの盗難事件や金額が年々増加し、危機的状況にあります。 今回は、よくある詐欺の種類と予防策を整理します。

暗号業界の暗い森は危機と落とし穴に満ちており、資産の盗難は日常茶飯事で、人気トラックのNFTや有名プレイヤーも無縁ではありません。 その他のNFTは失われた。

NFTの盗難件数と盗難金額が増加する中、PANewsの今回の記事では、よくある詐欺の種類とそれを防ぐためのヒントについてご紹介します。

NFT詐欺について知っておくべきこと
NFTの市場規模が拡大する一方で、「0円購入」による盗難が頻発しており、攻撃手法も多岐に渡っています。

1.広告窓の偽装

最近、暗号KOLのNFT神は、ハッカーがTwitter、Substack、Gmail、Discord、ウォレットに侵入したため、すべての暗号資産とNFTを失い、ハッカーは盗んだアカウントを通じて不正なリンクも公開しているとツイートした。 ハッキングの原因は、以前、新しい端末でLedgerをコールドウォレットではなくホットウォレットに設定し、接続したパソコンのウォレットで使用するためにヘルパーワードをインポートした後、ライブゲーム用の動画配信ソフトOBSをダウンロードした後、Google上のスポンサーリンクをクリックしてマルウェアをダウンロードし、ハッカーに資金へのアクセスを許したことです。 事実上、Googleの広告は、誰でもランキングを回避して検索結果で1位になることを可能にし、ユーザーがそのようなディスプレイ広告をクリックする確率は非常に高く、詐欺の可能性をさらに広げています。

2.偽物のエアドロップ詐欺

新しいタイプの詐欺として、被害者が未知のNFTの空売りを受け、詐欺師から高額の取得を持ちかけられる「高値取得」があります。 投資家がNFTの取引を選択した場合、何らかの理由で取引を促すエラーが発生すると、偽のフィッシング詐欺のウェブサイトに入り、取引を承認することになり、最終的に資産を盗まれることになるのです。

3.ニセNFT

今年3月、東京のホワイトストーンが、「ホワイトストーンギャラリーの名義で、有名画家草間彌生のNFTを販売する非公式者がいる」というNFT関連の詐欺の告知を行った。 また、NFTの取引プラットフォームに似た名前の偽プロジェクトをアップロードし、さらに複数の取引を作成してユーザーを混乱させる詐欺もあり、検索機能を使い慣れている一部のユーザーは非常に引っかかりやすくなっています。

4.架空メール

今年2月、OpenSeaはスマートコントラクトを正式にアップグレードし、ユーザーはイーサリアム上のNFTリスティングを新しいスマートコントラクトに移行する必要がありました。 ハッカーはこの機会を利用して、公式のものを装ったアップグレードのリマインダーメールをユーザーに送り、フィッシングリンクに気付かなかった多くのユーザーがウォレット認証を行い、Bored Ape Yacht Club、Cool Cats、Doodles、AzukiなどのNFT資産を窃取することに繋がりました。

NFTの多くのプロジェクトでは、まずニュースを得るためにユーザーにメールでの拘束を要求しているため、これもまた多くの攻撃者が関係者を装い、契約住所変更や財布の再認証などのフィッシングリンクをユーザーに送っています。したがって、メールも詐欺の主要分野になっています。

5.公式ハッキングや偽装など

NFTプログラムの公式アカウントは、従業員へのフィッシング攻撃やマルウェアのダウンロード、二重認証の設定漏れなどにより、しばしばハッキングされます。2022年4月には、Bored Ape Yacht ClubのInstagram公式アカウントがハッキングされ、ハッカーはそれを利用して偽Bored Ape Yacht Clubウェブサイトへの不正なリンクを共有することになりました 同年6月、Yuga LabsのDiscordサーバーがハッキングされ、攻撃者はそのアカウントを利用して、BAYCとMeta Universeの公式プロジェクトにフィッシングリンクを投稿して利益を得ていました。

もちろん、NFTプロジェクトの公式アカウントを偽造してユーザーの信頼を得た後、フィッシングサイトを送りつけて署名させる、つまりお金をかけずにNFTをアカウントで購入させる詐欺師もいる。一方、ほとんどのユーザーは、数字と文字を組み合わせた文字列からなる署名の内容に問題があることを見抜くことができないでいるのだ。 さらに、プライベートリンクは、不正行為の一般的な方法である、彼らはしばしばバルク私信のメンバーで様々なコミュニティのTelegram、Discordや他のプラットフォームを介して、あるいは彼らの財布の秘密鍵をユーザーをだますために管理者を装ってされます。

6.同じ末尾番号のアドレスを生成する

一般的に、多くのユーザーは契約アドレスの前後の桁数しか確認せず、アドレスが正しいかどうかを判断するため、攻撃者にチャンスを与えることにもなる。 これにより、攻撃者は、ユーザーが取引履歴から過去のアドレスをコピーし、同じ桁数の契約を偽造し、常に少量のTokenを落とすという習慣につけ込み、ユーザーがフルアドレスをよく確認しなければ、簡単に資産を盗むことができるのです。 同端末番号詐欺に加え、多くのユーザーが信頼できる交流アドレスとして使用するゼロ転送を用いたオンチェーンアドレスポイズニング攻撃にも注意が必要です。

資産保全のための正しい姿勢
オンチェーンオペレーションは不可逆的である。 特に技術力のない一般ユーザーにとって、盗まれた資産を取り戻すことは、実はとても難しいことなのです。 では、自分の資産を不正に利用されないためにはどうしたらいいのでしょうか。

1.秘密鍵やキーワードを守る：電子メールやソーシャルネットワークなどのWeb2アカウントは、パスワードが漏洩しても変更することができますが、秘密鍵やキーワードはあなたの財布への「鍵」であり、変更したり回収したりすることは不可能です。 攻撃者は、NFTのairdrop/raffleやFree MintなどのFOMO感情を利用してユーザーを誘い、秘密鍵やニーモニックを送信させたり、公式管理者になりすまし、偽のドメインサイトを構築してユーザーの警戒心を低下させたりすることもあります。

2.よく使うウェブサイトをブックマークし、公式ソーシャルアカウントを選別する：フィッシングサイトは最も特定が容易ですが、NFTの資産が盗まれる主な理由の一つとなっています。 実際、そのようなウェブサイトがどんなに美しくパッケージ化されていても（ドメイン名やURLのスペルなどを確認できます）、最終目的は財布とのやり取りです。 ユーザーは用心深く、よく使う公式サイトを集める、公式サイトのソーシャルアカウントにアクセスする（フォロワー数やアカウントの活動、コメント参加などで判断できます）、プライベートメッセージやメールに共有されているリンクを簡単にクリックしないなどで資産盗難の可能性を大きく回避することができます。 資産盗難の可能性をほぼ回避することができます。 また、多くのユーザーには契約上のリスクを識別する能力はありませんが、アンチフィッシングプラグインをインストールすることで、一部のフィッシングサイトの識別に効果的です。

3.資産の分別と定期的なチェック：複数のウォレットを使用してNFT取引やキャスティングに参加し、資産を保管したりアプリケーションとやり取りするウォレットは、十分に分別する必要があり、特に大金を扱うウォレットは、やり取りを避ける必要があります。 さらに、ユーザーは定期的にウォレットに異常なコントラクトのやり取りがないか確認し、タイムリーに認証を解除する必要があります。

4、複数者からの情報の相互検証：NFTに参加・キャスティングする前にデューデリジェンスが重要です。 ユーザーは、ソーシャルアカウントの検証、複数のチャネルでのプロジェクト情報のクロスチェックなどで評価することができます。

5.アドレスのダブルチェック：送金の際、ユーザーは完全な契約アドレスを確認する必要がありますが、ウォレットのアドレス帳転送機能を使えば、直接アドレスを選択して送金を行うことができます。 また、参加プロジェクトの契約アドレスの一部については、ユーザーが公式ルートからアドレスを取得することで、中間攻撃者による改ざんを回避することができます。

もちろん、技術の進歩とともに資産窃盗の手法も変わってきていますので、万が一、資産を盗まれた場合は、まず資産を隔離し、ソーシャルアカウントのパスワードなどの個人情報を変更するとともに、他の不正アカウントにもその情報を通知する必要があります。 また、ウイルス攻撃の場合は、パソコンなどの機器をインターネットから切り離すことが重要です。 また、ユーザーは、最大限の損失額を補填するために、専門のセキュリティ会社に資金の追跡を依頼することも可能です。