NFT盗難防止ガイド：一般的な4つの手段と3つの鑑別方法

2022-04-01 18:56:26

コレクション

一度フィッシングサイトを見分ける方法を理解すれば、99%の暗号資産の盗難を避けることができます。

著者：律動研究院、NFT Labs

Cryptoの世界はまるで暗い森のようで、あなたの周りには無数の危機が潜んでいるかもしれません。数日前、ハッカーがOpenSeaの契約アップグレードの際に、すべてのユーザーのメールボックスにフィッシングメールを送り、多くのユーザーが公式メールと誤認して自分のウォレットを承認し、その結果ウォレットが盗まれる事態が発生しました。統計によると、このメールは少なくとも3つのBAYC、37のAzuki、25のNFT WorldsなどのNFTが盗まれる原因となり、フロア価格で計算すると、ハッカーの収入は416万ドルに達しました。

そして今日、周杰倫が保有していた1枚のMAYCと2枚のDoodlesが相次いで盗まれました。トップNFTプロジェクトBAYCとDoodlesのDiscordコミュニティも同時にハッカーに侵入され、現在ハッカーによる損失はまだ確定していません。

今、私たちが防ぐべきハッカー攻撃は技術的な側面だけでなく、ソーシャルエンジニアリングからも来ており、さらに多くのNFTプロジェクトの価格が高騰しているため、少しの不注意で巨額の資産を失う可能性があります。最近のNFT分野での詐欺が頻発していることを受けて、律動は一般的な詐欺手法をいくつかまとめました。読者の皆さんは常に警戒を怠らず、騙されないようにしてください。

詐欺手法：

1、DiscordのDMで詐欺サイトリンクを送信

DiscordのDMリンクはハッカーがよく使用する詐欺手法で、ハッカーはDiscordのさまざまなコミュニティを通じてメンバーに大量にDMを送り、またはコミュニティの管理者を装って問題解決のためにユーザーにDMを送り、ウォレットの秘密鍵を騙し取ります。また、偽のフィッシングサイトを送信し、ユーザーにNFTを無料で受け取れると告げることもあります。ユーザーがハッカーが模倣した偽のサイトに承認を与えると、ユーザーに大きな損失をもたらします。

2、Discordサーバーへの攻撃

Discordサーバーがハッカーに攻撃されるのは、ほとんどすべての人気NFTプロジェクトが経験することです。ハッカーはサーバー管理者のアカウントを攻撃し、その後サーバーの各チャンネルで偽の公告を発表し、コミュニティメンバーをハッカーがすでに構築した偽のサイトで偽のNFTを購入させることを騙します。現在のハッカーは、詐欺サイトを送信するなどの方法でサーバー管理者のトークンを騙し取ります。これにより、管理者が2FA二段階認証を有効にしても無駄です。もしハッカーが構築した詐欺サイトがユーザーのウォレットの承認を要求する場合、ユーザーにさらに深刻な財産損失をもたらします。

3、偽の取引リンクを送信

この種の詐欺は、詐欺師とユーザーが私的に交渉するNFT取引プロセスでよく見られます。Sudoswap、NFTtraderなどの取引プラットフォームは、ユーザーが私的に交渉してお互いのNFTやトークンを「交換」することを奨励しており、これらのプラットフォームは私的交渉による取引に安全保障を提供しています。これはNFT市場にとって本来は良いことですが、現在ハッカーは模倣したSudoswap、NFTtraderのサイトを通じて詐欺を行っています。

Sudoswap、NFTtraderでは交渉が完了した後、ユーザーが取引を開始する必要があります。このステップでは注文確認サイトが生成され、双方が確認した後、取引はスマートコントラクトを通じて自動的に行われます。詐欺師は最初にあなたとどのNFTを交換するかを議論するふりをし、本物のサイトリンクを最初に示します。その後、取引を変更することを提案し、取引者が警戒を緩めたところで、詐欺リンクを送信します。ユーザーが取引を確認すると、ウォレット内の対応するNFTが詐欺師のウォレットに送信されます。

4、助記詞を騙し取る

詐欺師はさまざまな手段を使ってユーザーに秘密鍵や助記詞を送信させようとします。例えば、詐欺サイトを構築したり、自分がユーザーを助ける管理者であるふりをしたりします。これらの行動はすべて、ユーザーの警戒心を下げ、秘密鍵や助記詞を騙し取る機会を狙っています。

5、偽のコレクションを作成し、プロジェクトのDiscord公開チャンネルで取引を求める

偽のNFTコレクションは、多くの人気プロジェクトの発売前に最も遭遇しやすいものです。NFTブラインドボックスが正式にオンラインになる前に、詐欺師はOpenSeaなどのNFT取引プラットフォームに名前が似たNFTコレクションを事前にアップロードし、公式からリリースされた情報をもとに美しく「装飾」します。本物のNFTコレクションがまだオンラインになっていない場合、ユーザーは最も近い名前のコレクションを優先的に検索します。一部の詐欺師は、ユーザーを信じさせるためにいくつかの取引を作り、現在の偽のNFTにオファーを送信します。

プラットフォームやプロジェクトのロイヤリティ手数料を節約するため、コミュニティメンバー間で私的取引が行われます。上記で述べたSudoswap、NFTtraderの模倣サイトを通じた取引の他にも、詐欺師はコミュニティチャンネルでフロア価格よりも少し低い偽のNFTコレクションリンクを送信することがあります。ユーザーはフロア価格よりも安いNFTを急いで購入しようとするあまり、NFTの真偽を見落として騙されることがよくあります。

6、偽のメール

ほとんどのNFTプラットフォームは、ユーザーがメールアドレスを登録することを要求し、ユーザーが自分のNFTの取引状況をすぐに知ることができるようにしています。そのため、メールは詐欺が蔓延する温床となっています。詐欺師は通常、OpenSeaプラットフォームの公式アカウントを装い、契約アドレスの変更やウォレットの再確認が必要などの理由でユーザーにフィッシングサイトのリンクを送信します。最近、OpenSeaが契約のアップグレードを発表した後、ハッカーはこの方法でユーザーの財産を約400万ドル騙し取ったのです。執筆時点で、OpenSeaチームはまだ被害を受けたユーザーの調査を行っています。

防詐欺ガイド

1、URLの識別

ハッカーがどんなに華やかな包装をしても、どんなにあなたを惑わせる言葉で説明しても、最終的に彼があなたの暗号資産を盗むためには、常にあなたのウォレットと相互作用する手段が必要です。一般のユーザーは契約リスクを識別する能力を持っていないかもしれませんが、幸運なことに、私たちは今もなおweb2が主導するインターネットの世界にいます。ほとんどすべての暗号契約は、ユーザーと相互作用するためにweb2のフロントエンドウェブページを利用する必要があります。

したがって、ユーザー向け（プロジェクト側ではなく）の暗号資産の盗難はほとんどが模倣されたフィッシングサイト上で発生します。そして、フィッシングサイトを識別する方法を理解すれば、99%の暗号資産の盗難を回避することができます。

スマートフォンと共に成長したZ世代にとって、彼らはアプリが作り出す「エコシステム」の中で生活しており、webページという古いものについては疎くなっているかもしれません。web2時代において、DNSドメインシステムは各ウェブサイトに全ネットワークで唯一のアイデンティティを付与しました。ドメイン構成の基本ルールを理解することで、ほとんどすべての偽のフィッシングサイトに対処できるでしょう。

従来のDNSドメインでは、ドメイン階層は3層に分かれています。最初の区切り（/）から右から左に読むと、各句点が1つの階層を区切ります。例えば、https://www.opensea.io/の場合、「.io」や「.com」、「.cn」などはトップレベルドメインと呼ばれ、このフィールドはカスタマイズできません。「opensea」はセカンドレベルドメインと呼ばれ、ドメインの主体であり、同じトップレベルドメイン（例えば同じ.io）の下ではこのフィールドは重複できません。「www」部分はサードレベルドメインであり、このフィールドはウェブサイトの運営者が自由に設定できます。運営者は「www」の前にさらに4層目、5層目のドメインを追加することもできます。

ドメインの階層順序は直感に反しています。つまり、右から左に向かって階層が徐々に低くなります。この設計はほとんどの人の読み方とは逆であり、攻撃者にとっては好機を与えています。例えば、https://www.opensea.io.example.comというアドレスは、openseaのアドレスに非常に似ていますが、実際のドメインは「example.com」であり、「opensea.io」ではありません。

Web3にフィッシング攻撃がまだ存在するかどうかは予測が難しいですが、Web2の世界ではDNSドメインシステムがドメイン（またはURL）の唯一性を保証しており、ドメインが本物であれば、ユーザーが偽のサイトを開くことはほぼ不可能です。

2、秘密鍵や助記詞を漏らさない

CryptoウォレットはWeb2の電子メールなどのアカウントとは異なり、秘密鍵や助記詞は変更や回復ができません。一度漏れれば、そのウォレットはあなたとハッカーの両方に属することを意味します。あなたのウォレット内のすべての資産はいつでもハッカーによって移転される可能性があり、イーサリアムアドレスの匿名性のために、ハッカーが誰であるかを特定することもできず、損失は当然回収できません。このウォレットはもはや使用できなくなります。