Web3セキュリティの初心者ガイド:エアドロップ詐欺を回避する方法

初級編9/15/2024, 6:25:09 PM
エアドロップは、プロジェクトを無名から一躍有名にすることができ、ユーザーベースを急速に構築し、市場での可視性を高めるのに役立ちます。 ただし、偽のウェブサイトからバックドアが仕込まれたツールまで、ハッカーはエアドロップの過程全体に罠を仕掛けています。このガイドでは、一般的なエアドロップ詐欺を分析し、これらの落とし穴を回避するのに役立ちます。

バックグラウンド

私たちの前のWeb3セキュリティガイドでは、マルチシグフィッシングのトピックを取り上げ、マルチシグウォレットの仕組み、攻撃者がそれらを悪用する方法、および悪意のある署名からウォレットを保護する方法について説明します。このインストールでは、伝統的な産業と暗号産業の両方で広く使用されているマーケティング戦略であるエアドロップについて詳しく説明します。

エアドロップは、プロジェクトを無名から一躍有名にし、ユーザーベースを急速に構築し、市場での可視性を高めるのに役立ちます。一般的に、ユーザーはWeb3プロジェクトに参加し、リンクをクリックしてプロジェクトとやり取りし、エアドロップされたトークンを請求します。しかし、偽のウェブサイトからバックドアが仕込まれたツールまで、ハッカーはエアドロッププロセス全体にトラップを仕掛けています。このガイドでは、一般的なエアドロップ詐欺を分析し、これらの落とし穴を避けるのに役立つでしょう。

エアドロップとは何ですか?

Web3プロジェクトが特定のウォレットアドレスに無料トークンを配布して、その可視性を高め、早期ユーザーを引き付けるときにエアドロップが発生します。これはプロジェクトがユーザーベースを獲得するための最も直接的な方法の1つです。エアドロップは、一般的に次のような方法に基づいて以下のタイプに分類できます:

  • Task-Based: プロジェクトによって指定されたタスクを完了すること、例えばコンテンツの共有や投稿のいいね。

  • インタラクションベース:トークンスワップ、トークンの送受信、またはクロスチェーン操作などのアクションを実行すること。

  • Holding-Based: プロジェクトから指定されたトークンを保持してエアドロップの対象となるようにする。

  • ステーキングベース:シングルまたはデュアルアセットのステーキング、流動性の提供、または長期的なトークンロックアップを通じてエアドロップされたトークンを獲得する。

エアドロップの請求におけるリスク

偽のエアドロップ詐欺

これらの詐欺はいくつかのタイプに分けることができます。

  1. 公式アカウントが乗っ取られました: ハッカーはプロジェクトの公式アカウントを乗っ取り、偽のエアドロップ発表を投稿する可能性があります。例えば、ニュースプラットフォームで「プロジェクトYのXまたはDiscordアカウントがハッキングされました;ハッカーによって共有されたフィッシングリンクをクリックしないでください」という警告がよく見られます。弊社の2024年上半期ブロックチェーンセキュリティおよびマネーロンダリング防止レポートによると、2024年上半期だけでこのような事件が27件発生しました。公式アカウントを信頼するユーザーは、これらのリンクをクリックし、エアドロップページを装ったフィッシングサイトにリダイレクトされるかもしれません。彼らがプライベートキー、シードフレーズを入力したり、権限を付与したりすると、ハッカーは彼らの資産を盗むことができます。

  1. コメントセクションのなりすまし:ハッカーはしばしば偽のプロジェクトアカウントを作成し、実際のプロジェクトのソーシャルメディアチャンネルのコメントに投稿して、エアドロップを提供すると主張します。注意を怠ると、ユーザーはこれらのリンクをファイッシングサイトにたどり着く可能性があります。たとえば、SlowMistセキュリティチームは以前、これらの戦術を分析し、「コメントセクションでのなりすましに注意してください」という記事で推奨事項を提供しています。さらに、正当なエアドロップが発表された後、ハッカーはすぐに偽の公式アカウントを使用してフィッシングリンクを投稿し、多くのユーザーが悪意のあるアプリをインストールしたり、フィッシングサイトでトランザクションに署名したりするように誘導されています。

  1. ソーシャルエンジニアリング攻撃:場合によっては、詐欺師がWeb3プロジェクトグループに潜入し、特定のユーザーを標的にし、ソーシャルエンジニアリング技術を使って彼らをだますことがあります。彼らはサポートスタッフや役立つコミュニティメンバーを装い、エアドロップの請求手続きを案内すると称し、ユーザーの資産を盗むことがあります。ユーザーは用心し、公式代表者を名乗る個人からの申し出を受け入れないようにする必要があります。

"無料" エアドロップ トークン

エアドロップのほとんどはユーザーがタスクを完了する必要がありますが、時にはトークンがあなたのウォレットに何の手続きもなく現れる場合があります。ハッカーはしばしば、あなたが分散型取引所でトークンを売買しようとして、送金や閲覧などの操作を行うことを望んで、価値のないトークンをエアドロップすることがあります。しかし、これらのスキャムNFTに対処しようとすると、「アイテムをアンロックする」ためにウェブサイトを訪問するよう促されるエラーメッセージが表示される場合があります。これはフィッシングサイトにつながる罠です。

ユーザーが詐欺NFTにリンクされたフィッシングウェブサイトを訪れると、ハッカーは次のようなアクションを実行する可能性があります:

  • 貴重なNFTの「ゼロコスト購入」を実施します(「ゼロコスト購入」NFTフィッシングの分析を参照)。

  • Approve承認またはPermit署名を通じて高価値のトークンを盗む。

  • ネイティブ資産を取り去る。

次に、ハッカーが慎重に設計された悪意のある契約を通じてユーザーのガス料金を盗む方法を調査しましょう。

ハッカーはまず、Binance Smart Chain(BSC)(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)にGPTという名前の悪意のある契約を作成し、トークンをエアドロップすることでユーザーを誘惑して、それとやり取りするように仕向けました。

ユーザーがこの悪意のある契約とやり取りすると、その契約が彼らのウォレット内のトークンの使用を承認するよう促されます。ユーザーがこのリクエストを承認すると、悪意のある契約は自動的にユーザーのウォレット残高に基づいてガスリミットを増やし、それにより後続の取引でガス消費量が増加します。

ユーザーが提供する高いガスリミットを利用して、悪意のある契約は余分なガスを使用してCHIトークンを鋳造します(CHIトークンはガスの補償に使用できます)。多くのCHIトークンを蓄積した後、ハッカーはこれらのトークンを燃やして契約が破壊された際にガスの払い戻しを受け取ることができます。

https://x.com/SlowMist_Team/status/1640614440294035456

この方法により、ハッカーはユーザーのガス料金から巧妙に利益を得ますが、ユーザーは追加のガス料金を支払ったことに気付かない可能性があります。ユーザーは当初、エアドロップされたトークンを販売することで利益を得ることを期待していましたが、代わりにネイティブ資産を失うことになりました。

バックドアツール

https://x.com/evilcos/status/1593525621992599552

エアドロップを請求する過程で、一部のユーザーは、トークンの翻訳やレア度のチェックなどのタスクのためにプラグインをダウンロードする必要があります。しかし、これらのプラグインのセキュリティは疑わしいものであり、一部のユーザーは公式のソースからダウンロードせずに、バックドアがあるプラグインをダウンロードするリスクが大幅に増加しています。

また、エアドロップの請求のためのスクリプトを販売するオンラインサービスがあることに気付きました。これらのスクリプトはバッチ処理を効率的に自動化することを謳っていますが、未承認かつ未審査のスクリプトをダウンロードして実行することは非常に危険です。なぜなら、スクリプトの出典や実際の機能が確認できないからです。これらのスクリプトには悪意のあるコードが含まれている可能性があり、秘密鍵やシードフレーズを盗む、または他の権限のない操作を行うなどの潜在的な脅威をもたらすかもしれません。さらに、このようなリスクのある操作を行う一部のユーザーは、ウイルス対策ソフトウェアをインストールしていないか、無効にしていることがあり、これによりマルウェアによるデバイスの侵害を検出できず、さらなる被害を招く可能性があります。

結論

このガイドでは、一般的な詐欺手法を分析してエアドロップを請求する際のさまざまなリスクに焦点を当てました。エアドロップは人気のあるマーケティング戦略ですが、次の注意を払うことでユーザーはアセットの損失リスクを軽減することができます。

  • 徹底的に検証してください:エアドロップのウェブサイトを訪れる際は、常にURLをダブルチェックしてください。公式アカウントや公式発表を通じて確認し、Scam Snifferのようなフィッシングリスク検出プラグインをインストールすることを検討してください。

  • SegreGated Walletsを使用してください:エアドロップに使用するウォレットには少額の資金のみを保管し、大きな金額は冷たいウォレットに保管してください。

  • 未知のエアドロップには注意してください:未知のソースからのエアドロップトークンに関わらないでください。

  • ガスリミットを確認してください:取引を確認する前に常にガスリミットを確認してください、特に異常に高く見える場合は。

  • 信頼できるウイルス対策ソフトを使用してください:リアルタイム保護を有効にして、定期的にウイルス対策ソフトを更新して、最新の脅威がブロックされるようにしてください。

免責事項:

  1. この記事は再印刷されています[サンセック], すべての著作権は元の著者に帰属します [SlowMist]. If there are objections to this reprint, please contact the Gate Learnチームにお任せください、すぐに対応いたします。
  2. 責任の免除:この記事で表現されている見解や意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
  3. 記事の翻訳は、Gate Learnチームによって他の言語に翻訳されます。特に言及されていない限り、翻訳された記事の複製、配布、盗作は禁止されています。

Web3セキュリティの初心者ガイド:エアドロップ詐欺を回避する方法

初級編9/15/2024, 6:25:09 PM
エアドロップは、プロジェクトを無名から一躍有名にすることができ、ユーザーベースを急速に構築し、市場での可視性を高めるのに役立ちます。 ただし、偽のウェブサイトからバックドアが仕込まれたツールまで、ハッカーはエアドロップの過程全体に罠を仕掛けています。このガイドでは、一般的なエアドロップ詐欺を分析し、これらの落とし穴を回避するのに役立ちます。

バックグラウンド

私たちの前のWeb3セキュリティガイドでは、マルチシグフィッシングのトピックを取り上げ、マルチシグウォレットの仕組み、攻撃者がそれらを悪用する方法、および悪意のある署名からウォレットを保護する方法について説明します。このインストールでは、伝統的な産業と暗号産業の両方で広く使用されているマーケティング戦略であるエアドロップについて詳しく説明します。

エアドロップは、プロジェクトを無名から一躍有名にし、ユーザーベースを急速に構築し、市場での可視性を高めるのに役立ちます。一般的に、ユーザーはWeb3プロジェクトに参加し、リンクをクリックしてプロジェクトとやり取りし、エアドロップされたトークンを請求します。しかし、偽のウェブサイトからバックドアが仕込まれたツールまで、ハッカーはエアドロッププロセス全体にトラップを仕掛けています。このガイドでは、一般的なエアドロップ詐欺を分析し、これらの落とし穴を避けるのに役立つでしょう。

エアドロップとは何ですか?

Web3プロジェクトが特定のウォレットアドレスに無料トークンを配布して、その可視性を高め、早期ユーザーを引き付けるときにエアドロップが発生します。これはプロジェクトがユーザーベースを獲得するための最も直接的な方法の1つです。エアドロップは、一般的に次のような方法に基づいて以下のタイプに分類できます:

  • Task-Based: プロジェクトによって指定されたタスクを完了すること、例えばコンテンツの共有や投稿のいいね。

  • インタラクションベース:トークンスワップ、トークンの送受信、またはクロスチェーン操作などのアクションを実行すること。

  • Holding-Based: プロジェクトから指定されたトークンを保持してエアドロップの対象となるようにする。

  • ステーキングベース:シングルまたはデュアルアセットのステーキング、流動性の提供、または長期的なトークンロックアップを通じてエアドロップされたトークンを獲得する。

エアドロップの請求におけるリスク

偽のエアドロップ詐欺

これらの詐欺はいくつかのタイプに分けることができます。

  1. 公式アカウントが乗っ取られました: ハッカーはプロジェクトの公式アカウントを乗っ取り、偽のエアドロップ発表を投稿する可能性があります。例えば、ニュースプラットフォームで「プロジェクトYのXまたはDiscordアカウントがハッキングされました;ハッカーによって共有されたフィッシングリンクをクリックしないでください」という警告がよく見られます。弊社の2024年上半期ブロックチェーンセキュリティおよびマネーロンダリング防止レポートによると、2024年上半期だけでこのような事件が27件発生しました。公式アカウントを信頼するユーザーは、これらのリンクをクリックし、エアドロップページを装ったフィッシングサイトにリダイレクトされるかもしれません。彼らがプライベートキー、シードフレーズを入力したり、権限を付与したりすると、ハッカーは彼らの資産を盗むことができます。

  1. コメントセクションのなりすまし:ハッカーはしばしば偽のプロジェクトアカウントを作成し、実際のプロジェクトのソーシャルメディアチャンネルのコメントに投稿して、エアドロップを提供すると主張します。注意を怠ると、ユーザーはこれらのリンクをファイッシングサイトにたどり着く可能性があります。たとえば、SlowMistセキュリティチームは以前、これらの戦術を分析し、「コメントセクションでのなりすましに注意してください」という記事で推奨事項を提供しています。さらに、正当なエアドロップが発表された後、ハッカーはすぐに偽の公式アカウントを使用してフィッシングリンクを投稿し、多くのユーザーが悪意のあるアプリをインストールしたり、フィッシングサイトでトランザクションに署名したりするように誘導されています。

  1. ソーシャルエンジニアリング攻撃:場合によっては、詐欺師がWeb3プロジェクトグループに潜入し、特定のユーザーを標的にし、ソーシャルエンジニアリング技術を使って彼らをだますことがあります。彼らはサポートスタッフや役立つコミュニティメンバーを装い、エアドロップの請求手続きを案内すると称し、ユーザーの資産を盗むことがあります。ユーザーは用心し、公式代表者を名乗る個人からの申し出を受け入れないようにする必要があります。

"無料" エアドロップ トークン

エアドロップのほとんどはユーザーがタスクを完了する必要がありますが、時にはトークンがあなたのウォレットに何の手続きもなく現れる場合があります。ハッカーはしばしば、あなたが分散型取引所でトークンを売買しようとして、送金や閲覧などの操作を行うことを望んで、価値のないトークンをエアドロップすることがあります。しかし、これらのスキャムNFTに対処しようとすると、「アイテムをアンロックする」ためにウェブサイトを訪問するよう促されるエラーメッセージが表示される場合があります。これはフィッシングサイトにつながる罠です。

ユーザーが詐欺NFTにリンクされたフィッシングウェブサイトを訪れると、ハッカーは次のようなアクションを実行する可能性があります:

  • 貴重なNFTの「ゼロコスト購入」を実施します(「ゼロコスト購入」NFTフィッシングの分析を参照)。

  • Approve承認またはPermit署名を通じて高価値のトークンを盗む。

  • ネイティブ資産を取り去る。

次に、ハッカーが慎重に設計された悪意のある契約を通じてユーザーのガス料金を盗む方法を調査しましょう。

ハッカーはまず、Binance Smart Chain(BSC)(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)にGPTという名前の悪意のある契約を作成し、トークンをエアドロップすることでユーザーを誘惑して、それとやり取りするように仕向けました。

ユーザーがこの悪意のある契約とやり取りすると、その契約が彼らのウォレット内のトークンの使用を承認するよう促されます。ユーザーがこのリクエストを承認すると、悪意のある契約は自動的にユーザーのウォレット残高に基づいてガスリミットを増やし、それにより後続の取引でガス消費量が増加します。

ユーザーが提供する高いガスリミットを利用して、悪意のある契約は余分なガスを使用してCHIトークンを鋳造します(CHIトークンはガスの補償に使用できます)。多くのCHIトークンを蓄積した後、ハッカーはこれらのトークンを燃やして契約が破壊された際にガスの払い戻しを受け取ることができます。

https://x.com/SlowMist_Team/status/1640614440294035456

この方法により、ハッカーはユーザーのガス料金から巧妙に利益を得ますが、ユーザーは追加のガス料金を支払ったことに気付かない可能性があります。ユーザーは当初、エアドロップされたトークンを販売することで利益を得ることを期待していましたが、代わりにネイティブ資産を失うことになりました。

バックドアツール

https://x.com/evilcos/status/1593525621992599552

エアドロップを請求する過程で、一部のユーザーは、トークンの翻訳やレア度のチェックなどのタスクのためにプラグインをダウンロードする必要があります。しかし、これらのプラグインのセキュリティは疑わしいものであり、一部のユーザーは公式のソースからダウンロードせずに、バックドアがあるプラグインをダウンロードするリスクが大幅に増加しています。

また、エアドロップの請求のためのスクリプトを販売するオンラインサービスがあることに気付きました。これらのスクリプトはバッチ処理を効率的に自動化することを謳っていますが、未承認かつ未審査のスクリプトをダウンロードして実行することは非常に危険です。なぜなら、スクリプトの出典や実際の機能が確認できないからです。これらのスクリプトには悪意のあるコードが含まれている可能性があり、秘密鍵やシードフレーズを盗む、または他の権限のない操作を行うなどの潜在的な脅威をもたらすかもしれません。さらに、このようなリスクのある操作を行う一部のユーザーは、ウイルス対策ソフトウェアをインストールしていないか、無効にしていることがあり、これによりマルウェアによるデバイスの侵害を検出できず、さらなる被害を招く可能性があります。

結論

このガイドでは、一般的な詐欺手法を分析してエアドロップを請求する際のさまざまなリスクに焦点を当てました。エアドロップは人気のあるマーケティング戦略ですが、次の注意を払うことでユーザーはアセットの損失リスクを軽減することができます。

  • 徹底的に検証してください:エアドロップのウェブサイトを訪れる際は、常にURLをダブルチェックしてください。公式アカウントや公式発表を通じて確認し、Scam Snifferのようなフィッシングリスク検出プラグインをインストールすることを検討してください。

  • SegreGated Walletsを使用してください:エアドロップに使用するウォレットには少額の資金のみを保管し、大きな金額は冷たいウォレットに保管してください。

  • 未知のエアドロップには注意してください:未知のソースからのエアドロップトークンに関わらないでください。

  • ガスリミットを確認してください:取引を確認する前に常にガスリミットを確認してください、特に異常に高く見える場合は。

  • 信頼できるウイルス対策ソフトを使用してください:リアルタイム保護を有効にして、定期的にウイルス対策ソフトを更新して、最新の脅威がブロックされるようにしてください。

免責事項:

  1. この記事は再印刷されています[サンセック], すべての著作権は元の著者に帰属します [SlowMist]. If there are objections to this reprint, please contact the Gate Learnチームにお任せください、すぐに対応いたします。
  2. 責任の免除:この記事で表現されている見解や意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
  3. 記事の翻訳は、Gate Learnチームによって他の言語に翻訳されます。特に言及されていない限り、翻訳された記事の複製、配布、盗作は禁止されています。
Start Now
Sign up and get a
$100
Voucher!
It seems that you are attempting to access our services from a Restricted Location where Gate is unable to provide services. We apologize for any inconvenience this may cause. Currently, the Restricted Locations include but not limited to: the United States of America, Canada, Cambodia, Thailand, Cuba, Iran, North Korea and so on. For more information regarding the Restricted Locations, please refer to the User Agreement. Should you have any other questions, please contact our Customer Support Team.