こんにちは、タカオです。
最近話題のNFTですが、暗号資産やNFTの世界はまだまだ発展途上の領域です。
もし詐欺被害にあっても多くの場合は誰も補償してくれず、自己責任となることがあるでしょう。
「CNPをきっかけに初めてNFTを買いました」という方も多くみられ新規参入者が増え盛り上がる一方で、そういった初心者を狙う詐欺被害にあってしまったという悲しいこともあります。
暗号資産やNFTに興味があるけれど中々始められないという人の中にはどんなリスクがあるか分からないから怖いという方もおられるでしょう。
この記事では、実際にあったNFTに関する詐欺例を紹介しつつその対策についてまとめていきます。
日々新しハッキングの手法(手口)が色々あって出てきたりしているので、これから始める初心者~既に何度か取り引きをしたことがある上級者まで、皆で情報共有することで防御力を高めましょう。
1. DM(ダイレクトメッセージ)からの詐欺に注意。基本は無視で問題なしです。
1-1.Discord(ディスコード)DM(ダイレクトメッセージ)はほぼ詐欺です。
1-2.Twitterに出現。悪質なニセアカウント。
1-3.公式アカウント自体が乗っ取られたパターン
1-4.湧いて出て来るニセサポーター
1-5.フリーミント詐欺が増えてくる時期
2. ニセサイトの詐欺に注意。ドメインを確認しよう。
2-1.検索結果上位の広告サイトに注意
2-2.メールで届くフィッシング詐欺に注意
2-3.普通の投資家だと思ったら実は詐欺師だった件
2-4.OpenSeaにも出現ニセコレクション
3. 【悲報】盗品とは知らずに買ってしまった問題について
3-1.盗品を買ってしまった時のリスク
3-2.盗品を買わないようにする方法
4. 知っておきたいApprove(アプルーブ)とRevoke(リボーク)について
5. 【中・上級者向け】実際にあった怖い事例とシビアな確認方法を紹介
5-1.功名な罠、いつもよりトランザクション多くね?
5-2.恐怖のドメインハイジャック
5-3.後からバグが発覚するケース
6. 安全な保管方法
6-1専用ウォレットを準備しよう
6-2.【余談】コインチェック(暗号資産取引所)への期待
DMからの詐欺に注意。基本は無視で問題なしです。
- 日々新しい手口が出てきて詐欺の手法が功名になってきているが、DMがその起点となっているパターンが多い印象。この時点で対処できれば詐欺被害はほぼ抑えられる。
- Discord(ディスコード)で送られてくるDMはほぼ100%詐欺だと思ってよい。
- Twitterの詐欺に注意。悪質なニセアカウントはフォロワー水増しなど、公式との判別が難しい場合もある。
- 詐欺師が本家コミュニティで垢バンされるので他サーバーに寄生するなど、運営の対策だけでは限界がある。個人の守備力リテラシーを高めた方が良い。
Discord(ディスコード)DM(ダイレクトメッセージ)はほぼ詐欺です。
✔事例紹介
ディスコード内のDMで「ニセの公式サイト」「ニセのボット」から案内を受けてしまい、そこから悪意あるサイトやコントラクトへ誘導されてしまっている。
上記は典型的な詐欺のパターンです。
では、どのように対策すればよいのだろうか。
効果的かつ具体的な方法があるので紹介します。
簡単3ステップでできるので、Discord(ディスコード)を利用する方は設定しておきましょう。
✔推奨設定「通知OFF」の方法を紹介
詐欺被害にあわないようDMをブロックする方法は下記の通り、
3回ポチっとするだけなので超簡単です。Discord(ディスコード)を利用する方は設定しておきましょう。
※Ninja DAOの画面を参考に図解でも示しておくので参考にして下さい。
- サーバー名の隣にある下矢印を選択
- プライバシー設定を選択
- 設定をoffにして完了を選択
✔もう運営ではどうしようもない!?みんな自分で自衛するしかない。
上記の通り、DMは基本全部オフにするなど個人での対策を徹底しましょう。
運営側でも対策しているけど限界がある。
具体的には下記の通り。
✔事例紹介
違う国内プロジェクトのサーバーにニセモノが入り込んでいるパターンがあります。
この場合、本人たちのサーバーではないので対策ができません。
仮に対策したとしても「あなたのサーバーに僕たちの偽物が紛れ込んでいるんだけど。。。」と報告するくらいしかできない。
しかも現実的にそんな所まで見張って全部見つけて対応とかしてられない。
運営自身のコミュニティ内でニセモノ共を駆逐しても、他のサーバーに悪質なニセアカウント共がいるわけです。
【サーバーではバンされるから他のサーバーに寄生する】これに関しては運営側ではどうしようもないことになってしまう部分があるわけです。
だから運営まかせにするのではなく、DMは基本全部オフにするなど個人での対策を徹底して防御力を上げる必要があるわけです。
Twitterに出現。悪質なニセアカウント。
✔事例紹介
先ほど紹介したディスコード内のDM同様にTwitterのニセアカウントから悪意あるサイトやコントラクトへ誘導されてしまい、そこで詐欺に引っ掛けて盗まれるわけです。
こちらも、典型的な詐欺のパターンです。
有名人を装ったTwitterのニセアカウントの存在など、既に以前から確認されている事例なので新しい手口ではありません。
しかし、悪質なニセアカウントの場合にはフォロワーの水増しなどパッと見では公式との判別が難しくなってきているのでフォローなどをする際には十分注意が必要です。
参考として下記では、Ninja DAOのアカウント画面を参考に実際にあった一見本物に見える悪質なニセアカウントを紹介します。
【練習問題】3枚の画像の中に本物があるのかどうか、あった場合にはどれが本物だと思うか。考えてみて下さい。
公式アカウント自体が乗っ取られたパターン
上記ではアカウントがニセモノで見分け方が難しいと述べましたが、
そもそも公式アカウント自体が乗っ取られてしまい、そこからニセサイトへのリンクを投稿されたという事例が発生してしまいました。
2022年6月27日に確認された事例です。
⚠️注意喚起⚠️
現在NounsDAOの公式Twitterアカウント @nounsdao が乗っ取られており、偽サイトへのリンクをツイートしています。
メタマスクなどに接続しないように気をつけて下さい。
また、👇にあるようにレポート報告も合わせてご協力よろしくお願いします。 https://t.co/GUd5uxar4y
— NounsDAO JAPAN (@NounsDAOJAPAN) June 27, 2022
湧いて出て来るニセサポーター
✔事例紹介①
ニセアカウントの次に多いのが「海外系で、サポートを装う詐欺野郎の出現」です。
この手口、手法も頻繁に見かけるハッキングのパターンです。
何か困ったことがあった時に、Discord(ディスコード)やTwitterなどで書き込んで相談すると、ものすごい勢いでニセサポーターが寄ってきます。
例えば、Twitterで「メタマスク(MetaMask)」と投稿するとニセサポーターがいっぱいやってくる。
やつらは、初心者で情報・知識が乏しい。或いは全くない人を自動で見つけてくるような勢いで寄ってきます。
そして、懇切丁寧にシードフレーズを抜き出していこうとします。
さすがに、「シードフレーズを聞く手法」があからさま過ぎてバレるケースが増えてきたからなのか、今はコントラストに署名させるケースが増えてきているような気がします。
初心者が分かんないから聞いているので、騙されてやられてしまうのを狙っているわけですね。
コントラストに署名させるケースは少々厄介なので経験者でも気を付けましょう。
✔事例紹介②
下記に一例として僕のTwitterへ届いたDM(ダイレクトメール)を載せておきました。参考にどうぞ。
ちなみに下記の通り、この時は相手がアホであからさまだったので即ブロックして終わりました。
- 内容としては「Ninja DAOへの登録の案内」ですが公式から案内があることは無い。
- そもそもアカウントが意味不明で怪しい。
もし、間違えて添付されていたURLを踏むとやられるていたわけです。
✔対策
【結論】知らない人から届いたDMは詐欺を疑い、添付ファイル等は開かない。
まずは上記を徹底しましょう。
これは、Twitter・Discord・メールなど全てにおいて注意してください。
- 基本的にDMは無視する。(公式などから直接個人宛に案内を送っることはほとんどありません)
- 投稿文では「MetaMask」をメタマスクとカタカナ表記にする
- 自分が初心者であるというアピールをしない方が良い
- どうしても分からないことや質問が必要な時は、信用できるクローズドなコミュニティ内で行うようにする。
次に、そもそも詐欺師に目を付けられないようにする工夫を紹介します。
簡単な方法としては、投稿文で「MetaMask」をメタマスクとカタカナ表記にする。
これだけでも効果があると考えています。
理由としては、特定のキーワードに反応して自動でDMを送る対象にされる可能性があるからです。
海外系でサポートを装うクズ共に反応されにくくするため、表記をカタカナや日本語にするだけで効果が期待できると考えています。
※もちろんそれでも届いた場合には無視が基本対策です。
【結論】自分が初心者であるというアピールをしない方が良い。
何事も初めてする時に”不安”があるのは理解できますが、自信がないと打ち明けることで優しく助けて貰える一方でそこに就け込む悪意あるクズがいるのも事実です。
そして相手が”良い人””悪い人”の判別は意外と難しかったりします。
自分が初心者であるという事を隠すことで、HUNTER×HUNTERのトンパのような初心者狩りに目を付けられないようにすることはリスク回避となる。
とはいえ、「じゃあ本当に分からない時はどうすればいいの?」と思う方がいるかもです。
上記の疑問に答えるなら、1番安全で確実なのは【公式の問い合わせ】の利用と【勉強して理解】です。
しかしどうしても【問い合わせ】以外で質問したい時は、せめて信用できるクローズドなコミュニティ内で行うようにしましょう。
コミュニティ内に詐欺師が紛れ込んでいる可能性が0とは言えませんが不特定多数に向けた発信よりはマシだと思います。
フリーミント詐欺が増えてくる時期
詐欺師が多く湧いて出て来る時期というかタイミングがあることを知っていますか?
それは下記の通りです。
【結論】大きなイベントやプロジェクトが近づくとフリーミント詐欺が増えてくる。
✔事例紹介②
「あなたに特別にWL(ホワイトリスト)を付与します」「だからこちらに登録してください」みたいなやつがDMで湧いて出てきます。
※Giveaway=プレゼント・WL(ホワイトリスト)=優先購入の権利
実際、僕に届いたことのあるDMを紹介するとこんな感じ。
大きなイベントやプロジェクトが近づくとそこに人が集中するので、詐欺師共も寄ってくるわけです。
そしてWL(ホワイトリスト)やGiveawayなど実際に行っているような抽選に当選したという設定でDMなどの案内が届きます。
✔対策②
【詐欺か見分ける方法(注目ポイント)】
- シードフレーズの入力を求められたら100%詐欺です。(※シードフレーズは”秘密鍵”・”シークレットフレーズ”などとも呼ばれたりします)
- 企画にっもよりますが、抽選や当選について公式から直接DMMが届くことはほぼありません。公式に確認するなどDMに直接返信するのは控えましょう。
シードフレーズはなにより重要です。安易な入力はNG。
これを失うと誰も復元できません。サポートに問い合わせても基本的には不可能です。
ニセサイトの詐欺に注意。ドメインを確認しよう。
- Google広告は基本信じない。検索結果の「広告」は詐欺ばかりです。あなたが公式サイトと思ってクリックしても偽物であることが多い。
- 必ず「公式サイトのURL」と「公式TwitterがリンクするURL」をダブルチェックし、間違いないか確認しよう。
- 頻繁に利用する本物のサイトはブックマークしておき、次回以降はそこからアクセスしよう。
- アプリストアの広告も同様に信じてはいけない。詐欺師が「偽アプリ」を作り広告費を出すことで検索1位を獲得している場合がある。
- アプリのインストールする際も同様に必ず「公式サイトからのリンク」を辿って下さい。
偽サイトに接続するとそれだけであなたの大切な資金が盗まれてしまいます。
詐欺師は色々な手法(手口)を使って、ニセサイトに誘導してくるので注意しましょう。
検索結果上位の広告サイトに注意
Google検索をした時にとりあえず上位表示されているモノから見る。という人は少なくないのではないでしょうか。
「検索上位に表示されているから安全でしょ」と安易に考えている人は要注意です。
今日からは気を付けましょう。
✔事例紹介
これはずっと初期からある手法で、「検索サイトからニセモノにアクセスしてしまって、盗まれた」という事例がある。
NFTに限らずネットショップECサイトでも見られる事例なので耳にしたことがあるよ。という方もいるのではないでしょうか。
例えば(正)Amazon(誤)Anazonといったように、よく見たら微妙に違うぞコレ、みたいなやつですね。
これらニセサイトを詐欺師どもはGoogleの広告で出します。
基本的にはお金を払えば出来てしまう。色々対策というかルールはあるんだろうけど意外とザルで出来てしまうわけです。
このザルをついて、ハッカーがお金を払ってGoogle広告を出す。
そうすると、特に知識のない人とかだと”1番上に出てたらそれをクリックしてしまう”そこからウォレットをつないでしまいう。というパターンです。
これは定番。ずっとある手法なのでNFTに限らず気を付けたい詐欺事例です。
✔対策
では、具体的にどのように対策すれば良いか3つの方法を紹介します。
- 極力検索エンジンは使わず、公式TwitterなどがリンクするURLからアクセスするようにしましょう。
- 頻繁に利用するサイトはブックマークしておき、次回以降はそこからアクセスしよう。
- 必ず「公式サイトのURL」と「公式TwitterがリンクするURL」をダブルチェックし、間違いないかドメインを確認しよう。
上記の通り。
「検索エンジンの広告からは絶対に踏まない」・「必ずリンクをチェックする」・「基本ブックマークしておく。そこからしかアクセスしないようにする」
これらをしておくだけで「間違えてうっかりニセサイトにアクセスしてしまう」ということが激減できます。
※既に述べているように、そもそもTwitterアカウントがニセモノの可能性もあるので十分注意しましょう。
NFT世界は落とし穴がたくさんです。疑い、慎重過ぎるぐらいで問題なしです。注意していきましょう。
メールで届くフィッシング詐欺に注意
自ら検索しなくても、本物を装ったメールが届いてニセサイトに誘導されるケースがあります。
✔事例紹介
過去にはOpenSea(オープンシー)を装ったメールが届き、そこからニセサイトに誘導され被害にあったという事例があります。
具体的には下記の通りです。
- 送信元が偽装されたメールが届く
- 公式発表と同じ内容のメールが届く
下記に図解でも示しておくので参考にして下さい。
メールによるフィッシング詐欺は、OpenSeaに限らず行われる可能性がある手法です。
詐欺られるポイントを押さえておくことで防御力を高めましょう。
✔対策
- 送られてきたメールのリンクは触らない。
- メール内容を確認したらリンクはいったん無視して、自分のブックマークからOpenSeaを開きなおして確認する
- 安易な返信はNG
過去にOpenSea(オープンシー)が公式でアナウンスしていた注意事項についてまとめています。
【OpenSea(オープンシー)公式アナウンス NFT詐欺から身を守る方法10選
普通の投資家だと思ったら実は詐欺師だった件
どのような流れでニセサイトを案内されてポチってしまうのか、巧妙な手口を一例で示します。
✔事例紹介
海外の投資家からDMなどを使って英語でダイレクトにオファーメッセージを送られてくる。そして提示価格も高めでいい感じ。
あなたのCNPを買わせて下さい。
あなたのレアなやつが欲しいので1ETHまでなら出せます。私に売ってくれませんか?
良いですよ。じゃあオープンシーでオファーくれたら承認するから宜しくお願いします。
オープンシーより、Looks Rareていう別のマーケットプライスのが手数料が安くて使いやすくてからそっちで頼みたいんだどいいかな?
(実際Looks Rareのが手数料も安いし、まぁそうなのかも。)分かりました。ではLooks Rareで売買しましょう。
ありがとうございます。じゃあこっちの方からリンク張っといたから出品しておいて下さい。待ってます。
【結論】最後のリンクがニセサイトで、これでトランザクションを送ると見事に全部抜き取られてしまう。という手法です。
この最後の”リンク先がおかしい”以外はやり取りも含めて普通にあり得る流れ。
上記一例では投資家を装った人気CNPの売買依頼だったが、クリエイターを装った仕事の依頼で内容など概要を添付ファイルにまとめたので確認して欲しいとウィルス入りファイルを送り付けてくるなど、詐欺師は様々な人を装い悪質なサイトへの誘導方法も色々です。
※フリーランスの方は仕事依頼を装った詐欺に騙されるケースがあるので特に注意しましょう。
✔対策
では、これらに引っかからないようにするにはどうすればよいのか。
- ドメインを確認する
- 色々な導線があるが、「起点」はDM<なのでこの時点で疑う。
ドメインを見て確認することで「ニセドメインだな=こいつ詐欺師だなこのやろう」と判断できます。
サイトのデザインはニセモノもホンモノも同じです。だからドメインを見ないと違いは分かりません。
(例)(正)Looks Rare(誤)Loooks Rare
ドメインを確認する人は少なく、分からないでトランザクションを送っちゃうと自分のお金とか手に入れたNFTとかを全部抜き取られるというコントラクトが仕込まれているわけです。
そして対策として「ドメインの確認」と述べましたが、悪質なサイトへの誘導はDMが「起点」となっているケースが多い。
つまり、TwitterとかディスコードのDMが起点になっているので「その時点で基本全部無視した方がいい」という点では結局対策としては同じになりますというお話。
※だからDM時点でブロック設定したり無視することが徹底できていれば、実はたったそれだけでほとんどの詐欺被害を抑えられるわけです。
OpenSeaにも出現ニセコレクション
2022年7月17日。openSea内にてニセコレクションの出現が確認されたので紹介します。
✔事例紹介
⚠️注意喚起
早くもCNPJの偽コレクションが出てきた様子。
正)CNPJ Jobs
偽)CNPJ Jobs.
最後の「.」有無に違いがあります。
※公式HPとdiscordへのリンクは正式なものが使われているようです。皆さん気をつけましょう。#CNPJ #NFT https://t.co/fjOxnKk3yu
— タカオ (@TKO417happy) July 17, 2022
投稿の通りですが、主な注意点は2ツ。
- コレクション名の酷似
- ニセコレクション内で使用しているリンクでは正式なモノが使われている
✔対策
今回紹介している詐欺は悪質です。
- 販売所(opensea)自体は本物。しかし、そこに並んでいるコレクションがニセモノだった。
- ニセコレクション内で使用しているリンク先は本物。
上記の通り、「コレクション名」が違うだけ。
しかも、紹介しているケースでは違いが「.」fが着いているかどうか。
Qではどうすれば良いのでしょうか?
A今回の件に限れば、公式ディスコ―ド内のリンクからopenseaのコレクションへいく。が1番安全です。
今回CNPJのケースに限れば、NinjaDAO公式ディスコ―ド内にて「ミントサイト(プレセール用)」「opensea(2次流通用」公式リンクが案内されていました。
プロジェクト、コミュニティも大きく前回のCNPによる盛り上がりからニセサイトの出現はある程度予想されていたことなので対策はされてていたわけです。
【結論】公式が発表しているリンクからたどりましょう。
とはいえ、「CNPJのように公式から細かな対策や案内が無い場合はどうすれば見分けられるの?」
と不安に思う方もいるのではないでしょうか。
【結論】見分けて判別するのは極めて困難です。
悲しいけれどこれが事実です。
しかし、CNPJの場合のように”販売開始から20分で即完売”し”3時間後には2次流通取引で世界ランク5位”になるような規模だからこそ詐欺師に目を付けられてニセコレクションが当日中に現れている。
つまり、人気が高く大規模な盛り上がりがなければ詐欺師もわざわざニセコレクションを作らない可能性が高い。
そしてこれほど人気ある大きなプロジェクトであれば公式でコミュニティなどがあり事前にミントサイトなど公式の案内などある程度の対策が準備されているはずなわけです。
なので可能な限り、公式など信頼できるリンクから辿りましょう。
※もちろんドメイン確認を忘れずに!
【悲報】盗品とは知らずに買ってしまった問題について
- ハッカーウォレットはただで手に入れているので激安で売る傾向がある。
- 盗まれた人がOpenSea(オープンシー)に報告することで、OpenSea(オープンシー)上で作品が凍結される。
- 凍結された作品は2次流通(売買)ができず、盗品フラグ(印)が付けられてしまう。
- 凍結解除するには、大元のオーナーさんに戻した状態で再度OpenSeaに報告して解除をお願いするという手続きが必要
- もともとのオーナーが報告しなければ凍結されず。実態として凍結されている例は少ない
- 凍結措置はOpenSea(オープンシー)上での話であり、Looks Rareなど別のマーケットプライスで普通に売買ができてしまうなど多くの課題がある。
盗まれたモノと知らずに買ってしまっている人もぶっちゃけいると思いますが、
知らずとはいえ盗品を購入することで犯罪に加担したとみなされ”罰金”や”刑罰”が課されることはないのでひとまずは安心してください。
とはいえ、【結論】「これはもうどうしようもない」というのが事実です。
具体的には後述していくのでご覧ください。
盗品を買ってしまった時のリスク
早速ですが、知らずとはいえ盗品を買ってしまった時に起こるリスクについてです。
【結論】”罰金”や”刑罰”が課されることはないので問題無しです。
とはいえ、下記のような不都合が発生する可能性があります。
- 盗まれた元々のオーナーがOpenSea(オープンシー)に報告することで作品が凍結されてしまう。
- OpenSea(オープンシー)上で凍結された作品は売買が出来なくなる
- 盗品フラグ(印)が付くので、個人差はあるが気分的に不愉快になる。
- 凍結解除するには、元々のオーナーさんに戻した状態で再度OpenSeaに報告して解除をお願いするという手続きが必要
✔実態
上記のような不都合が発生する可能性が考えられますが、実態としては凍結されている例は少ないようです。
理由としては下記が考えられます。
- もともとのオーナーが報告しなければ凍結されない。
- 「買っている人も盗品と知らない」「盗まれた人もオープンシーへの被害届のような報告システムを知らない」というのが背景としてあるのかもしれない。
- 凍結された作品が売買が出来なくなるのはOpenSea(オープンシー)上での対策なので、Looks Rareなど別のマーケットプライスで普通に売買ができてしまう。
✔課題
上記では、盗品やその被害に対して”凍結”という措置があると紹介したが実際問題「はたして効果があるのか」という課題がある。
もちろんブロックチェーン上にある自分のモノであるということは変わらないんだけど、オープンシーで凍結されているともう売れない。
しかし、
- 「そもそも欲しいだけで売らないから別に凍結されてもべつにいいや」という風に考える人もいる。
- 「別のマーケットプライスで売ればいいや」とも思える。
一定の不快感というか「気持ち悪さ」はあるものの、抑止力としてどの程度効果があるのか疑問が残るのが事実です。
盗品だったことが発覚!?凍結解除したい
Q凍結解除するにはどうすればいいのか。
A一旦オーナーさんに戻す必要があります。そのうえでもう一度オープンシーに報告して解除をお願いするという手続きが必要になる。
✔実態と課題
とはいえ、これが必ずしも通るとは限らない。
仮に通ったとしても時間がかかるはず。
そして凍結解除の方法はあるけれど、性善説的なモノであり本当に実行されるのかは疑問です。
理由は下記の通り。
【仮に凍結解除のためオーナー様に作品を返したとして、オーナー様からすれば自分の大切な作品が無事に帰って来た状態】
凍結解除した後で取り戻してくれた人に作品をわざわざ返しますか?
もちろん感謝はされると思います。
しかし作品はオーナー様が持ち続けるのではないでしょうか。と僕は思います。
上記の通り、もし仮に凍結されたとして元々のオーナー様に返ってくるとは思えないのが事実です。
盗品を買わないようにする方法
ここまでは、盗品を買ってしまうと起こる不都合や今後の課題について述べました。
では、「そもそも盗品を買わないためにはどうすれば良いのでしょうか?」」
✔盗品を買わされないために
もちろん全部がそうとはいえないけど”怪しい”を見つける方法は下記の通り2つ
- 不自然に安い
- 履歴で不自然な動きがある。!マークがついているなど。
ハッカーウォレットは作品をただで手に入れているので激安で売る傾向がある。
妙に安いのが並んでいたら疑いましょう。
また、アイテムアクティビティで履歴が確認できる。
ここで明らかに不振なトランザクションが無いか見ましょう。
Q不審なトランザクションとは?
Aトランスファーが重なっていると怪しいです。
とはいえ、必ずしもそうとは限らない。
なぜなら安全に保管するために別のウォレットに移しただけの可能性もあるから。
※全部がそうとは確定はできないので悪魔でも参考程度の情報として見て下さい。
【つまり、こんなのは買いたくない】
変に安く売られていて、トランスファーが動いていて、盗まれた人がTwitterなどやっていて「あー盗まれちゃった~」と投稿していたらそれはもう買わない方が良いと思います。
✔今できる最善
「正直どうしようもない」というのが現状ではあるが、詐欺師共に好き勝手させたくはないので正当な方法で少しでも嫌がらせする抵抗方法です。
今できる最善は盗まれたらすぐにそのオーナーさんがオープンシーに報告して凍結してもらうしかない。(2次被害の拡大を抑える)
しかし、ハッカーも人気のモノを狙うし格安で並べてすぐ売れなかったらさらに価格を下げるなどしてくるので時間の問題で、誰かが知らずに買ってしまうという課題がある。
盗品を買ってしまうと凍結されてしまうリスクがあるし、凍結解除するためにはその人に連絡とって1回送り返さないといけないし、1度は自分が買ったモノだから送り返してもらえるか分からない。返品して終了の可能性もある。だから誰もしないという現状がある。
つまり上記を逆手にとれば、情報共有や盗品の見極めなど皆がリテラシーを高め盗品の2次被害の拡大を抑えつつ凍結していけば詐欺師共はOpensea以外のマーケットプライスで売買せざるを得なくなるわけです。
かなり難しいけれど自分たちで地道にコツコツと環境を整えるしかない。
そして、「Openseaはすぐ凍結されて売買できねぇわ」と認知が広がれば詐欺師自身から離れてくれるだろう。
【結論】安全なマーケットプライス(環境)は自分たちで地道に築き上げていこう。です。
知っておきたいApprove(アプルーブ)とRevoke(リボーク)について
詐欺の手法としても使われているApprove(アプルーブ)と、ハッキング対策に役立つRevoke(リボーク)について、
@omochibigakuさんの投稿ががめちゃくちゃ分かりやすくまとまっているので紹介します。
🔰NFT講座🔰
詐欺の手法でよくつかわれる『Approve(アプルーブ)』についてまとめました【アプルーブ(承認)とは】
✅ウォレットからNFTを送って🆗
👉スムーズに売買するために必要【詐欺サイトで承認すると】
⚠️ウォレットから勝手に送付されるメタマスクで『承認』ボタンおすときは要注意です🙌 pic.twitter.com/JGOQTu6GER
— おもち💎omochi.eth (@omochibigaku) June 25, 2022
🔰NFT講座🔰
ハッキング対策に役立つ『Revoke(リボーク)』についてまとめました。引用RTのつづきです!【リボークとは】
✅アプルーブ(送付許可)の取り消し
👉NFTを送って🆗を中止できるあやしいサイトへの送付許可は即リボークしておこう🙌
🔽くわしいやり方はこちらhttps://t.co/zF42GZPQle https://t.co/aSens27Bkj pic.twitter.com/woDDnb5MgZ
— おもち💎omochi.eth (@omochibigaku) June 26, 2022
✔上記の深堀り「Approve(アプルーブ)=承認(許可)」は慎重に
詐欺の手法は功名になってきていて、怖いのがトランザクションを求めてくる手法です。
具体的には下記の通り
DM等を起点に悪意あるサイトへ誘導し「シードフレーズ」の入力を促す。というのがこれまでの手法(手口)でした。
しかし、「シードフレーズの入力を促す。」というあからさま過ぎる手口が通用しなくなってきたからだろう、現在は「トランザクションを求めてくる」手法に変わりつつあります。
✔事例
トランザクションが悪意あるやつに対する同意だった場合。
- 「ただメタマスク立ち上げて、トランザクション送って下さい」
- 「ポチッてしまう」
上記の通り、たったこれだけで「全部のお金が無くなる」ということがあります。
自分でApproveしてしまっているので「シードフレーズ入力していないとか」「ハードウエアウォレット使ってるとか」関係なく被害にあいます。
これは多少の知識が必要になってくる。
※「ハードウェアウォレットさえ使っとけば大丈夫」と安易に考えている人が一定数いると思うが、悪意あるトランザクションに対して「同意」とか送ってしまったら全然抜かれます。
✔対策
「シードフレーズ入力していないくても」「ハードウエアウォレット使っていても」関係なく被害にあいます。
これをを聞いて「えー!?じゃあ無理じゃん」と絶望するかもですが、大丈夫です。
下記の通り、対策は超簡単で誰でもできる。
- DMを無視する。
- ミントサイトが大体ニセモノなので、ちゃんと公式のミントサイトからする。
- トランザクションする前に内容を確認する
DMが起点となっているパターンが多く、導線も似ている。
よく考えてみたら「シードフレーズの入力を促す」のが「トランザクションの許可を促す」に変わっているだけなのです。
つまり、この記事前半から何度も紹介しているような「DMを無視する」など超簡単な対策を徹底するだけで実は超簡単に防げるわけです。
とはいえ、「間違えて悪意あるトランザクションにApproveしちゃった」「悪意あるトランザクションかは分からないけどApproveして不安」という方もいるだろう。
そんな時はRevoke(リボーク)すれば問題なしです。
そして、これら超簡単にまとまっているのが上記で紹介した@omochibigakuさんの投稿だったよというお話。
【中・上級者向け】実際にあった怖い事例とシビアな確認方法を紹介
- イーサスキャンを使うことで安全なものかどうか調べるという方法がある。とはいえ、大半の人はそこまでしていない。
- 普段であれば求められないシーンでトランザクションの承認を求められたら詐欺を疑うことができる。
- 「ドメインハイジャック」という恐ろしい事例もあり詐欺に気づくのは非常に難しい。
- 詐欺ではないけれど、後からバグの発生が見つかるケースがある。
見出しに【中・上級者向け】と記したのは、何度か取引をしたことがある人なら理解できる少し踏み込んだ内容だからです。
※上記で解説「Approve(アプルーブ)」について理解しておかないと意味不明になると思います。
NFTとかブロックチェーンというのは慣れてるひとですら詐欺被害にあってしまう。
それくらい実は難しいものなのだと、不安をあおるような感じになってしまうが、やられる導線は基本的にはDMがほとんどです。
「DMで何か怪しいメッセージが来て」というのが起点になっているので、これまでに何度も述べている超簡単な対策ができいれば基本的には問題なしです。
まだ始めるか迷っている方や実際に取引をしたことが無い方には「???」と感じるかもですが知っておいて損はないはず。
「こんなのがあるのか~、へぇ~」程度の理解で問題なしです。
実際に取引を始めた時には必ず役立つ情報なので流し読みしておきましょう。
功名な罠、いつもよりトランザクション多くね?
これは普段から売買などで頻繁に取引などをしている人たち経験者でしか気づけないような事ですが、
たとえニセモノのOpenSeaなどを利用しようとすると「もう一回トランザクションでApprove(承認)させようとして来たりする」
つまり「普段であれば求められないシーンで、なぜか”トランザクションを承認してください”みたいなのが出てきたらこれで詐欺を疑うこともできます」
✔公式がトランザクションの承認を求める場合もある
上記で詐欺の可能性に気づくのはすごいですが100%詐欺だとは言えず、ホンモノのOpenSeaがコントラクトをアップデートしたために新しく承認が必要になっただけというケースもある。
Qではどうやって安全かどうか確認するの?
Aイーサスキャンを使います。
具体的には下記の通り
メタマスクでトランザクション(著名)を送る時に、どのコントラクトに著名をするのかがちゃんと書いてある(0X~)
このコントラクトにイーサスキャンでアクセスすると、そのコントラクトを誰が発行したのかがでるわけです。
つまり、ちゃんとブロックチェーンに情報が刻まれているのでイーサスキャンに書かれている情報は正しい。
少なくとも新しく署名を求められているモノ自体というのはOpenSeaがしたものだということがわかる。
上記まで分かればOpenSeaが盛大にハッキングされていないかぎり大丈夫。
コントラストがデフロイするというのは相当重大なハッキングです。
見知らぬコントラクトから勝手にコントラクトされていて、しかもそれでOpenSeaのUIにまで繁栄されているというようなことがもし仮にあった場合、それはもうOpenSeaが終わるレベルの緊急事態です。
「秘密鍵を全部盗まれたうえに、OpenSeaのサーバーまでハッキングされて公式サイトが書き換えられている」
上記の通り「さすがにそれはないでしょうよ」という判断ができるわけです。
✔ここまで確認している人は少数派
上記の通り、順番に調べていけば、
- オープンシーがアップデートされていて
- cポートというモノになっていて
- だからその新しいコントラクトに同意が求められている
ということが分かるわけです。
とはいえ、大半の人はここまでやらない。
イーサスキャンをみて、このコントラクトは誰が作ったのかなど。そこまで見ないし、そもそも見方も分からない人が大半なのではないだろうか。
以上、気になる方は見てみたら良いし、こういう方法があるよというお話でした。
恐怖のドメインハイジャック
「ドメインハイジャック」というのがあり、これはとても恐ろしい事例です。
✔事例
これは、同じドメインでニセサイトにすり変わっているという事例。
具体的には「パンケーキスワップ」がこれをされて被害を受けています。
手法としては下記の通り
ちゃんと公式と同じドメインに、いつもどうりブックマークからアクセスする。
しかし、中身が実は違うというハッキングの手法があるわけです。
パンケーキスワップの時の事例では、「メタマスクをつなぎなおしてください」というポップアップがでて、そこでシードフレーズを入力させるという手法だったようです。
✔対策
この事例では「シードフレーズを聞いてきたから詐欺だと気づけた」人もいるようです。
とはいえ、多くの人が被害に会いました。
もしこれがシードフレーズではなくて、悪意あるコントラクトに差し替えられていたら気づける人がいでしょうか。
なぜか新規で署名を求められるから「あれ?おかしいなぁ?」というところでごく一部の人は気づけるのかもしれない。
しかし、上記で述べているように大半の人はイーサスキャンで調べるまではしていないわけです。
なおかつ、普段から頻繁にトレードするなどしている人ならもしかすると「違和感に気づけるのかもしれない」が”署名を求められただけ”で違和感を感じる初心者はまずいませんよね。
正直このレベルにまでなると絶望ですが、全く対策が無いわけではありません。
紹介します。
- シードフレーズを聞かれたら、問答無用でまずは詐欺を疑う。
- 不安を感じたら大変だけどイーサスキャンで調べられる。方法はあると知っておこう。
- トランザクションする前に内容を確認しよう
- Revokeしよう
トークンなどを交換する時には必ず全部著名が必要です。
そして、1回与えた署名は基本的にはずっと有効。
つまり、1回許可を与えていれば基本的には再度許可を求められません。
だから、慎重派でシビアな人は再度許可を求められた時点で必ず何かを疑っている。
しかし、コントラクトが新しくなっていたりするると、当然その新しいコントラクトへの許可が必要になるので求めてきます。
この時に、その新しいコントラクトは一体だれがデプロイしたのかというのを確認するわけです。
「1回与えた署名は基本的にはずっと有効」と聞いて、間違えて悪意あるコントラクトにapprove(著名)してしまった許可してしまったかもしれないと不安になる方もいるでしょう。
そんな時はRevokeで許可の取り消しができるので問題なしです。
とはいえ、Revokeツール自体にもニセモノが潜んでいたりするので注意しましょう。
具体的には「ドメインの確認」「上位表示されるgoggles広告への注意」です。
後からバグが発覚するケース
これは詐欺ではないけれど、approvalしたコントラクトにあとからバグが発生していたということが判明するケースがあります。
✔事例
過去にマルチチェーンというブリッジするサービスで発生しています。
ある日突然「普段使用しているスマートコントラクトにバグが見つかったのですぐに取り消してください」と警告アナウンスが出る。
つまり「このバグをこのまま放置してしまうとあなたのお金が盗まれるかもしれないから急いでapproveの許可を取り消して、その新しいそのコントラストに移行してください。」とアナウンスがでてくるわけです。
そして、こうした事例はopenseaなどでもあり得ることです。
僕たちはopenseaで売買するためにapprovalをたくさん与えていて自分たちのNFTが送付できるようにしている。
でも「実はここに重大なバグがありました」とあとから発覚する。
かなり厳密なチェックをして、色んな検証をしたうえでもちろん監査もしたうえでリリースはしているんだろうけれど、正直こればっかりは分からない。
✔対策
「バグの発覚」こればっかりは誰にも分からない。
しかし、対策はあります。
それが「revoke」
急いで少なくとも判明した時点でapproveの許可を取り消す。という作業をすれば問題なしです。
※revokeしないといつ盗まれてもおかしくないっていう状況があるので、後回しにせず出来るだけ早く対応しましょう。
1度許可を与えてしまうとそれは取り消さないと取り消せない。
だから、「applebum」というのは重要なキーワードとして覚えておくといいかもしれません。
人によっては定期的にapproveを精査して、場合によってはrevoke(取り消し)をこまめにしている人もいるそうです。
※revokeにも費用が必要です。
主要なサービスではそうそう上記のように事故ることはないと思いますが、場合によってはパッと使って。
その後はすぐにリrevokeしておくとわりと安心です。
マニアックな対策なのかもしれないが、そこまでしている慎重派の人もいる。
とはいえ、revokeにも費用が必要だったり、approve毎にいちいち確認するなど煩わしいのも事実です。
どこまで慎重に対策するかはあなた次第ですが、色々な方法があるよというお話です。
安全な保管方法
- 高額なNFTなどはメタマスクにつないでいない専用のウォレットを用意して保管(管理)することで、詐欺被害にあった場合のセーフティネットになる。
- 国内ではコインチェックだけで、暗号資産取引所(コインチェック)でNFTを買えるような動きがみられる。
- もし取引所に保管できれば、メタマスクが繋がっていないのでトランザクションを承認するとか関係なくなるので詐欺被害から身を守れる
- オプションなどで保管する用のウォレットを取引所が作ってくれる未来に期待
ここまでは、詐欺被害に会わないための事例や対策を紹介してきました。
ここからは、万が一被害にあってしまっても大丈夫なように事前にできる準備を紹介します。
専用ウォレットを準備しよう
高額なNFTなどは専用のウォレットを用意しておいてそこで保管(管理)しておきましょう。
具体的には下記の通り
例えばハードウェアウォレットとかに格納してしまって、それを金庫に置いておく。
普段からそれは「もうこれは動かさない」という風に決めてしまうわけです。
せどりや転売といった販売目的でなけば、NFTは頻繁に動かすモノでもないと思います。
「コレクション目的なので1年くらいはガチホで動かしません」というようであれば、ハードウェアウォレットを買っておいて、その中にいれておいて、余計なことはしないで塩漬けにしておく。
逆に、普段ゲームなどで頻繁に使うのなら別のウォレットを作ってそっちでやっておく。
上記の通り、自分の使用用途に合わせて完全に分けてしまうというは身を守る上で有効な手段です。
ちなみに、頻繁に使う人はいわゆるマルウェア。ウィルスが入ってしまって、それがメタマスクの内容を全部抜く。という詐欺もあるので可能であれば使用する端末も変えてしまうという方法もあります。
【結論】メタマスクにつないでいないウォレットも用意しておいて、その繋いでないウォレットで大切なNFTなどを保管(管理)する。
ハードウェアウォレットを準備するならは「Ledger NanoS」か「TREZOER」です。買い方を間違えると詐欺被害に会います。注意しましょう。
ハードウェアウォレットとは?絶対にしてはいけない注意点と仕組みを解説
【余談】コインチェック(暗号資産取引所)への期待
上記では、保管用にハードウェアウォレットを用意する方法を紹介しました。
そして、実はまだ実現していないがもう一つ安全に保管(管理)する方法が考えられるので紹介しておきたい。
今コインチェック(取引所)でNFTを買えるような動きがでてきている。
おそらく国内ではコインチェックだけしかNFTのマーケットをやっている所はないし、人気のCNPなどもまだ取り扱いも無いので買えない。
とはいえ、もし取引所が販売ではなく保管。
つまり保管する用のウォレットを取引所が作ってくれたならば、メタマスクが繋がっていないからトランザクションを承認するなど関係なくなるので被害を抑えられるだろうと思う。
残念ながら現状ではまだ出来ていないのでタラレバの話ではあるが、購入時はメタマスクに入れて、そこからコインチェックなどがオプションで用意した所へ移して保管する。
上記のような動きになれば詐欺などのリスクにおびえ過ぎずに、皆が今より安心して買いやすくなるのではないだろうか。
以上、今後に期待しているという余談でした。
総括
いろいろな所にハッキングの罠があり、ニセモノがたくさんいる。
HUNTER×HUNTERのトンパの如く初心者を狙う者もいれば、慣れてる人たちですらやられることがある。
NFTやブロックチェーンというのはこれくらい実は難しいもの、NFT世界は恐ろしい世界なのです。
そして盗まれてしまうと正直どうしようもない。
「何とかなりませんか?」という気持ちは分かる。
しかし、「本当になんともならないのが現実」
なぜならそれがブロックチェーンだからです。
むしろ逆に運営で何とかできてしまうとそれこそ危ない。
というか、できたらおかしい。
すでに被害にあってしまった人たちには申し訳ないけれど、「今後は気を付けてね」としか言いようがないわけです。
✔被害者たちの勇気ある告白が皆を救う
日々新しハッキングの手法がまだ色々あって、出てきたりしている。
ある種のトレンドもあるがあったりもするだろう。
NFT世界は難しく恐ろしい世界だけれど、皆で情報を共有することで被害者を減らしたい。
被害にあった方にいはつらいかもしれないが、ぜひ勇気を出して被害状況などを投稿して貰いたい。
情報共有することで皆の防御力が上がります。
この記事や被害者たちの勇気ある投稿が、詐欺被害の防止に役立てば幸いです。
