「高価」エアドロップは盗コインの罠 許可操作は慎重に

著者：カイル

編集：文刀

Uniswap、1inch、dydxなどのDeFiプロトコルがインタラクティブユーザーにエアドロップ報酬を配布して以来、オンチェーンユーザーはエアドロップの存在に慣れてきましたが、一部の出所不明のエアドロップは、ユーザーのウォレットを空にする可能性があります。

9月10日、投資家のアフェイはエアドロップ詐欺に遭遇しました。彼はウォレットに75万枚のZepeトークンが現れ、ウォレットの評価は10万ドルを超えていることに気づきました。アフェイは天からの恵みだと思い、分散型取引所で売却できないことに気づいた後、トークンの同名のウェブサイトにログインして取引を承認しましたが、その後、彼のアドレスの資産はすべて移動されてしまいました。

ソーシャルネットワークでは、他にも多くのユーザーが同じ罠に陥ったことを明かしており、ある人は7万USDTを失ったと報告しています。蜂巢财经がZepe契約が受け取るトークンのアドレスを調査したところ、最近16.5万USDCと13BNBが転送されており、疑わしい資金移動が確認されました。

実際、最近同様のエアドロップ詐欺が頻発しており、多くのユーザーがウォレットアドレスに大量の不明なトークンが現れたことに気づいています。ブロックチェーンセキュリティ機関のPeckShieldは蜂巢财经に対し、これらのトークンは一般的なDEXで取引すると通常失敗し、ページはユーザーに公式ウェブサイトでの交換を促します。その後、ユーザーが取引を承認する際に、しばしばスマートコントラクトにアカウント資産を移動する権限を与えてしまい、資産が盗まれる結果になります。

PeckShieldは、ユーザーがオンチェーンプロトコルと相互作用する際に過度に権限を与えないようにし、定期的にあまり使用しないDappの権限を取り消し、詐欺師が「衣替え」することを警戒するように注意を促しています。

複数のユーザーがZepeエアドロップ詐欺に遭遇し、ウォレットが空にされる

9月8日、分散型デリバティブプロトコルdYdXが初期ユーザーにエアドロップを開始しました。DYDXトークンが10ドルを超えると、エアドロップ所有者はかなりの利益を得ました。dYdXによる富の効果がソーシャルネットワークで広がる中、エアドロップを餌にした罠も静かに仕掛けられました。

2日後、投資家のアフェイはコミュニティで自分が不幸にも罠に落ちた経験を語りました。9月10日、アフェイが彼のブロックチェーンウォレットを開くと、75万枚のZepeトークンが追加されていることに気づき、ウォレットはこれらのトークンが10万ドルを超える価値があると表示しました。

警戒心のないアフェイはトークン関連のウェブサイトを開き、ウォレットを接続しました。他のユーザーの説明によると、このトークンは分散型取引プラットフォームで売却できないが、トークン関連のウェブサイトはZepe.ioをBNBに交換するためのSwapのようなページを提供していました。アフェイはウォレットを接続し、取引を承認した後、トークンを受け取ることはできず、ウォレット内の数千枚のCHESSトークンが逆に移動されてしまいました。トークンが失われたことに気づいたアフェイは、詐欺に遭ったことを認識しました。

Zepe.ioの偽の交換ページ

このエアドロップが思いがけない収入になると思っていたのに、ウォレットが空にされてしまいました。ソーシャルネットワークでは、他の多くのユーザーも同じエアドロップの罠に陥ったことを明かしており、ある人は盗まれた資産が7万USDTに達したと述べています。統計によると、今回の仕掛け人は広範囲に撒き餌をし、トークンをBSC、HECO、Maticなどの複数のブロックチェーンネットワーク上の大量のアドレスにエアドロップしました。多くのユーザーがエアドロップを受け取ったと報告しています。

ブロックチェーンセキュリティ機関Armorsの調査によると、このトークンに対応する契約はコード検証が行われておらず、すべての権限と送金の取引は失敗し、すべての失敗した実行のメモにはユーザーに対応するウェブサイトでの引き出しを要求していました。一旦ユーザーがウェブサイトにログインしてウォレットの権限を承認すると、トークンが盗まれることになります。

蜂巢财经がブロックチェーンブラウザを通じて仕掛け人がトークンを受け取るアドレスを調査したところ、最近16.5万USDCと13BNBが転送されており、疑わしい資金移動が確認されました。

実際、最近発生しているエアドロップ詐欺はこれだけではありません。多くの投資家がブロックチェーンウォレットに大量の出所不明のトークンが現れたと報告しています。これらのトークンの一般的な特徴は、数が非常に多く、目を引くことです。ユーザーがトークンを売却しようとする過程で契約に権限を与えると、発行者にウォレットの資金を移動する権限を与えることになり、資産を失う可能性があります。

仕掛け人は成功した後、通常は分散型取引所で混ぜ合わせ、他のアドレスに移動して現金化します。被害者は同様の詐欺に遭った後、資金を取り戻すのが難しいことが多いです。

エアドロップ詐欺は進化し続け、ユーザーは契約の権限を慎重に与える必要がある

ブロックチェーンは公開かつ透明なネットワークであるため、すべてのユーザーのウォレットアドレスは匿名ですが、完全に公開されています。誰でもその中にトークンを送信できます。一般的に、トークンを受け取ることはウォレットが盗まれる原因にはなりませんが、ユーザーがそのトークンを売却したい場合、どこかのステップで資産移動の権限を与えたり、秘密鍵を露出させたりすることで、悪意のある者にウォレットを空にされる可能性があります。

実際、類似の詐欺は2019年にすでに発生していました。当時、TelegramでOMGトークンのエアドロップ詐欺が流行しており、詐欺師はウォレットにETHとOMGを持つユーザーに対し、ウォレットの残高に基づいてOMGの無料エアドロップを受け取るように指示しました。多くの人が心を動かされました。

ユーザーが指示された手順に従ってエアドロップ受取ウェブサイトを開くと、ページはユーザーにイーサリアムウォレットアドレスと残高を入力するように求めます。この操作自体は資産が盗まれる原因にはなりません。しかし、その後、ページはユーザーにイーサリアムウォレットの秘密鍵を入力するように求め、これによりそのウォレットが本人のものであることを証明するように求めます。ページは「これは安全です。私たちはあなたの個人データ（例えば秘密鍵）を使用、保存、収集することはありません。誰もあなたのウォレットにアクセスできません。」と表示します。結果として、多くの人が秘密鍵を入力した後、ウォレット内の資産がすぐに移動されてしまいました。明らかに、これは完全な詐欺です。

偽のエアドロップウェブサイトがユーザーに秘密鍵を入力させる

現在、DeFiの発展に伴い、ますます多くのユーザーがオンチェーンウォレットを使用し、資産を自分で管理しようとしています。古参のプレイヤーは「秘密鍵が露出することは、もはやウォレットの唯一の制御権を持たないことを意味する」という常識を知っています。そのため、ユーザーに秘密鍵を入力させる詐欺はもはや一般的ではありません。しかし、悪意のある者は消えず、むしろさまざまな詐欺手法を進化させ、新旧のユーザーが防ぎきれない状況を作り出しています。

最近、一部のユーザーが偽のウォレット詐欺に遭遇しました。詐欺師はまずユーザーがよく使うウォレットを模倣して偽の分散型ウォレットを作成します。ユーザーがダウンロードして秘密鍵をインポートすると、秘密鍵情報が漏洩します。また、コミュニティで高値でトークンを買い取るという餌でユーザーを誘惑し、ユーザーが提供されたウォレットのQRコードをスキャンすると、第三者のウェブサイトにリダイレクトされ、そのサイトで送金を開始し、権限を与えるとアカウントが盗まれることになります。

複数のアドレスで資金が盗まれる事件が発生した後、多くのユーザーは防止意識を持つようになり、通常は秘密鍵を漏らさず、ブロックチェーンウォレットや取引所をダウンロードする際には公式ウェブサイトから行うようにしています。しかし、新しいユーザーが次々とブロックチェーンに入ってくるため、彼らは基礎的な技術知識が不足しており、コード契約についてあまり理解していません。DeFiプロジェクトに参加したり、エアドロップトークンを売却しようとする際に、知らない契約に権限を与えることが多く、悪意のある者が契約に細工をしている場合、ユーザーはアドレス内のすべての資産を失う可能性が高いです。

では、詐欺師はどのようにして契約を通じてユーザーの資産を移動させるのでしょうか？

ブロックチェーンセキュリティ機関PeckShieldは蜂巢财经に対し、トークンの権限操作は主に2つのステップに分かれると説明しています。第一ステップは取引の権限を与えることで、この操作はERC-20トークン契約に対し、将来的に目標契約アドレスが権限を与えられたウォレットアカウントから一定量のトークンを移動させる可能性があることを知らせるためのものです。第二ステップは取引の実行で、目標契約内のロジックがそのトークン取引を実行する必要がある場合、契約はユーザーが権限を与えたトークンを移動させるように自動的にトリガーします。

Zepe.ioのエアドロップ詐欺の例を挙げると、詐欺師はまずトークンを作成し、エアドロップを完了させ、トークンをDEXに追加して流動性を増加させ、トークンに価値を持たせます。一部のユーザーはアカウントに「価値のある」エアドロップトークンが現れたのを見て、DEXで交換しようとしますが、このステップの権限取引は通常失敗します。しかし、失敗後にはエラーが表示され、ユーザーは公式ウェブサイトでの交換を促されます。罠はここにあります。ユーザーが指定されたページで取引を承認すると、そのアカウント内の価値のあるトークンが移動されてしまいます。

PeckShieldは、類似のエアドロップ詐欺には主に共通の特徴があると指摘しています。それは、トークン名のほとんどがウェブサイトのアドレスであることです。ShibaDrop.io、AirStack.net、BNBw.meなどのように、ユーザーがこのようなトークンを受け取った場合は、警戒が必要です。このセキュリティ機関は、ユーザーがオンチェーンプロトコルと相互作用する際に過度に権限を与えないように、例えばトークン取引の権限を与える際には最大数量ではなく指定数量を設定することを推奨しています。また、ユーザーは定期的にあまり使用しないDappの権限を取り消し、詐欺師が「衣替え」することを警戒する必要があります。

オンチェーンユーザーにとって、ブロックチェーンネットワークは比較的自由ですが、リスクが満ちた世界です。ユーザーは秘密鍵をしっかり管理し、欲に駆られて知らない契約に簡単に権限を与えないように注意する必要があります。「天上に餡餅は落ちない」という古い言葉は、ブロックチェーンの世界でも同様に当てはまります。