執筆:リズム研究所、NFT Labs
クリプトの世界は暗い森のようなもので、あなたの周りには無数の危機が潜んでいるかもしれません。数日前、ハッカーが OpenSea 契約のアップグレードを利用して、すべてのユーザーのメールボックスにフィッシングメールを送信しました。多くのユーザーがそれを公式メールと誤って受け取り、ウォレットを認証したため、ウォレットが盗まれました。統計によると、このメールにより、少なくとも 3 つの BAYC、37 つのアズキ、25 つの NFT Worlds およびその他の NFT が盗まれ、最低価格に基づくと、ハッカーの収入は 416 万米ドルに達しました。
そしてちょうど今日、ジェイ・チョウが所有していた1つのMAYCと2つのDoodleが相次いで盗まれ、トップのNFTプロジェクトであるBAYCとDoodlesのDiscordコミュニティが同時にハッキングされ、ハッカーによって引き起こされた損失はまだ確定していません。
今日、私たちが防御する必要があるハッカー攻撃は、技術レベルで存在するだけでなく、ソーシャルエンジニアリングからのものでもあり、さらに、多くのNFTプロジェクトの価格が上昇しており、注意しないと巨額の資産を失うことになります。資産。最近、NFT分野で詐欺が多発していることを踏まえ、リズムではよくある詐欺手口を数種類まとめ、読者の皆様には常に警戒して騙されないようお願いいたします。
詐欺:
1. Discordのプライベートメッセージを介した詐欺Webサイトのリンク
Discord のプライベート メッセージ リンクは、ハッカーによる一般的な欺瞞手段です。ハッカーは、さまざまな Discord コミュニティを通じてメンバーにプライベート メッセージをまとめて送信したり、問題解決に協力するという理由でプライベート メッセージ ユーザーにコミュニティ管理者のふりをして、ウォレットの秘密キーを騙したりすることがよくあります。 。または、偽のフィッシング Web サイトを送信し、ユーザーに NFT を無料で受け取れるなどと伝えます。ハッカーがコピーした偽の Web サイトをユーザーが承認すると、ユーザーに多大な損失が生じます。
2.Discordサーバーを攻撃する
Discordサーバーのハッキングは、ほとんどすべての人気のあるNFTプロジェクトが経験するものであり、ハッカーはサーバー管理者のアカウントを攻撃し、サーバーのさまざまなチャネルに偽のアナウンスを投稿し、コミュニティメンバーをだまして偽のWebサイトにアクセスさせます。ハッカーが長い間構築してきた偽のNFT。現在のハッカーは、不正な Web サイトを送信するなどしてサーバー管理者のトークンをだまし取るため、管理者が 2FA の 2 要素認証を有効にしても役に立ちません。また、ハッカーによって構築された詐欺的な Web サイトがユーザーのウォレットの承認を必要とする場合、ユーザーにはさらに深刻な財産的損失がもたらされます。
3. 偽のトランザクションリンクを送信する
このタイプの欺瞞は、詐欺師がユーザーと非公開で交渉する NFT トランザクション プロセスでよく見られます。 Sudoswap や NFTtrader などの取引プラットフォームは、ユーザーがプライベートな交渉を通じてお互いの NFT またはトークンを「交換」することを奨励しており、これらのプラットフォームはプライベートな交渉による取引のセキュリティも提供します。これは NFT 市場にとって良いことですが、現在一部のハッカーが攻撃を開始しています。偽の Sudoswap および NFTtrader ウェブサイトを通じて詐欺を行います。
Sudoswap と NFTtrader では、ユーザーは交渉完了後に取引を開始する必要があります。このステップにより注文確認 Web サイトが生成され、取引は双方の確認後にスマート コントラクトを通じて自動的に実行されます。初めに、詐欺師はどの NFT を交換するかを交渉するふりをして、最初に実際の Web サイトのリンクを示し、次に取引の変更を提案します。トレーダーが警戒を緩めた後、詐欺師は詐欺的なリンクを送信します。ユーザーがクリックしてトランザクションを確認すると、ウォレット内の対応する NFT が詐欺師のウォレットに送信されます。
4. ニーモニックワード
詐欺師は、詐欺的な Web サイトを構築したり、管理者になりすましてユーザーを支援したりするなど、さまざまな手段を使ってユーザーが自分自身に秘密キーやニーモニック ワードを送信するように誘導します。これらの行為はすべて、ユーザーの警戒心を弱め、待機することを目的としています。秘密鍵とニーモニックを騙す機会。
5. 偽のコレクションを作成し、プロジェクトの Discord パブリック チャネルで取引を求める
偽のNFTコレクションは、多くの人気アイテムがリリースされる前に最も簡単に遭遇できます。 NFTブラインドボックスが正式に開始される前に、詐欺師はOpenSeaなどのNFT取引プラットフォームに類似した名前のNFTコレクションを事前にアップロードし、事前に公開された公式情報を通じてこのコレクションを美しく「装飾」します。実際の NFT コレクションがオンラインにない場合、ユーザーはまず最も近い名前のコレクションを検索します。一部の詐欺師は、ユーザーにさらにいくつかのトランザクションを作成するように説得するために、現在注文が保留中の偽の NFT にオファー入札を送信します。
プラットフォームとプロジェクト側のロイヤルティを節約するために、コミュニティメンバー間で個人取引が行われ、上記の Sudoswap や NFTtrader の Web サイトを模倣したほか、最低価格よりわずかに低い偽の資金を送金する詐欺師も存在します。コミュニティチャンネルのNFTコレクションリンク。ユーザーは、最低価格以下で NFT を購入しようと急ぐ際に、NFT の信頼性を無視することで騙されることがよくあります。
6. 偽メール
ほとんどの NFT プラットフォームでは、ユーザーが最初に NFT の取引ステータスを知ることができるようにメールボックスをバインドする必要があるため、メールボックスは詐欺の溜まり場にもなっています。詐欺師は通常、OpenSea プラットフォームの公式アカウントになりすまして、契約アドレスの変更やウォレットの再確認などの方法でフィッシング Web サイトのリンクをユーザーに送信します。最近、OpenSea が契約のアップグレードを発表した後、ハッカーはこの方法でユーザーから 400 万ドル近くをだまし取られました。この記事の執筆時点で、OpenSea チームは侵害されたユーザーのトラブルシューティングを行っています。
詐欺対策ガイド
1. URLスクリーニング
ハッカーがどのような派手なパッケージを使用していても、言語の説明がどれほどわかりにくくても、ハッカーが最終的に暗号化された資産を盗むときは、常にウォレットと対話する方法が必要です。一般のユーザーには契約のリスクを特定する能力がないかもしれませんが、幸いなことに、私たちは依然として web2 が支配するインターネットの世界にいます。ほとんどすべての暗号化された契約には、ユーザーと対話するために web2 フロントエンド Web ページが必要です。
したがって、ユーザー (プロジェクト関係者ではなく) に対する暗号化資産の盗難のほとんどは、偽のフィッシング Web サイトで発生します。フィッシング Web サイトの特定方法を理解すれば、暗号化された資産の盗難を 99% 回避するのに十分です。
スマートフォンとともに育ったZ世代にとって、彼らは次々とアプリが作り出す「エコロジー」の中で生きており、Webページという古いものを無視しているのかもしれない。 Web2 時代では、DNS ドメイン ネーム システムにより、各 Web サイトにネットワーク全体で一意の ID が与えられるため、ドメイン名の構成の基本ルールを知っていれば、ほぼすべての偽のフィッシング Web サイトに対処できます。
従来の DNS ドメイン名では、ドメイン名の階層は 3 つのレベルに分かれています。最初の区切り文字 (/) から始めて右から左に読むと、各ピリオドがレベルを区切ります。 https://www.opensea.io/ を例にとると、「.io」はトップレベルドメイン名と呼ばれる「.com」や「.cn」に似ており、このフィールドはカスタマイズできません。 「opensea」はセカンドレベル ドメイン名、つまりドメイン名のサブジェクトと呼ばれ、このフィールドを同じトップレベル ドメイン名 (.io など) の下で繰り返すことはできません。 「www」の部分は第3レベルのドメイン名で、Webサイト運営者が自分でこのフィールドを設定できます。オペレーターでも、引き続き「www」の前に第 4 レベルのドメイン名と第 5 レベルのドメイン名を追加できます。
ドメイン名の階層順序は直観に反しています。右から左に向かって階層が減少します。この設計は、ほとんどの人の読書習慣とは正反対であり、攻撃者に機会を与えます。たとえば、アドレス https://www.opensea.io.example.com は opensea アドレスによく似ていますが、実際のドメイン名は「opensea.io」ではなく「example.com」です。
Web3 上でフィッシング攻撃が行われるかどうかを予測することは依然として困難です。しかし、Web2 の世界では、DNS ドメイン ネーム システムによってドメイン名 (または URL) の一意性が保証されており、ドメイン名が正しい場合にユーザーが偽の Web サイトを開くことはほとんど不可能です。
2. 秘密鍵やニーモニックワードを公開しないでください
暗号ウォレットは Web2 の電子メールやその他のアカウントとは異なります。秘密キーとニーモニックは変更または取得できません。一度漏洩すると、ウォレットはあなたとハッカーに同時に属することになります。ウォレット内のすべての資産は、イーサリアムアドレスはいつでもハッカーによって転送される可能性があり、イーサリアムアドレスの匿名性によりハッカーが誰であるかを知ることができず、当然損失は回復できず、このウォレットは使用できなくなります。
3. 時間内にウォレットの承認をキャンセルします
詐欺的な Web サイトでウォレットを承認した場合は、次の 3 つのアドレスにアクセスしてウォレットの承認ステータスを確認し、適時にキャンセルできます。
https://etherscan.io/tokenapprovalchecker
https://revoke.cash/
https://debank.com/
