NFTが盗まれた!
ウォレットの中身を全部抜かれました…
仮想通貨やNFTをはじめると、このような悲痛な叫びに出会うことがあります。
残念ながら、世の中には騙して儲けようとする悪意のある人々が存在します。
オレオレ詐欺の手口を知ることで被害が減ったように、「知識で武装する」ことが最善の対策です。
この記事を読んで、防御力を高めましょう。
- 実際のハッキング事例を見て学べる
- メタマスクのハッキング対策方法
この記事を読むことで、詐欺・ハッキングの被害にあう確率を減らすことができます。
他人ごとではなく、自分ごととして捉えましょう。
後悔しても遅いので、防御力をしっかりと高めてください。
をつかえば無料にできます。
- NFTコレクター
- NFT投資で含み益200万円超
- NFT保有数:600点以上
- 音楽NFTコレクションを運営
- バンドマンでギターリスト
- 元ECサイト運営マネージャー:年商10億
2021年7月から1年間で盗まれたNFTは140億円以上
🚨Over $100 million worth of NFTs were publicly reported as stolen through scams between July 2021 and July 2022, netting perpetrators $300,000 per scam on average.
— elliptic (@elliptic) August 24, 2022
Head to https://t.co/u6iPLjXgpR to read our NFTs and Financial Crime Report.#nft #crypto #aml
1年間で140億円以上の価値のあるNFTが盗難被害にあいました。 この驚異的な数字は、ブロックチェーン調査会社Ellipticが発表しています。
少なくない被害額。他人ごとではありません。
なぜ詐欺が多いのか
歴史の浅いweb3では、利用者の多くが初心者です。
まだ十分な知識がないことを逆手に取り、詐欺師がだましてきます。
メタマスクをつかったことがある方ならご存知かもしれませんが、ウォレットは個人情報ナシで何個でもつくれます。
メールアドレスすら不要です。
「自分は気をつけているから大丈夫」は過信かもしれません。
騙されないためには、知識を身につけて防御力を高めることが重要です。
ハッキング事例を見て学ぶ
ハッキング事例は、知っておくことで被害にあう確率を下げることができます。
目を通しておきましょう!
DMは詐欺
標語のように使われている「DMは詐欺」という言葉。 大袈裟ではなく、DMによる詐欺が多発しています。
- すぐにウォレット接続して!→英語に焦って接続したらOUT
- あなただけ24時間で購入できる特別なサイトを教えます→偽サイト
- 限定セール!5体上限で777個のみのNFTを販売します→偽サイト
- 初心者を助ける内容で、メタマスクのシードフレーズを聞き出す
など、DMで公式サイトや親切な人を装って近づいてきますが、
Discord(ディスコード)のDMを受け取らない設定
「DMは詐欺」なので、そもそもDMを受け取らない設定にしましょう
スマホの場合
下のメニューから自分の画像をタップして「プライバシー・安全」を選択
「安全第一」を選択し、 「サーバーにいるメンバーからのダイレクトメッセージを許可する」をOFFにしてください
PCの場合
左下の設定マークをクリック
プライバシー・安全で「安全第一」を選び 「サーバーにいるメンバーからのダイレクトメッセージを許可する」をOFFにしてください
Discordの詳しい使い方は「Discordの使い方」で解説しています。
X(Twitter)のDMも詐欺
知り合いとX(Twitter)のDMでやり取りすることはあると思いますが、知らない人からのDMは詐欺を疑いましょう。
特に、「今だけ安くNFTが手に入りますよ」というメッセージには注意!
DMのURLからウォレットを接続して盗まれるケースが多発しています。
X(Twitter)で怪しい誘いをブロックする設定を紹介します。
X(Twitter)の「設定とプライバシー」をタップ
「プライバシーと安全」をタップ
「ミュートとブロック」をタップ
「ミュートしている通知」をタップ
「メールアドレスが未認証のアカウント」をONにする 詐欺アカウントは大量に作って実行してくるので、メールアドレス認証をしてない場合が多いです。 この設定をしておくことで、怪しい通知が減ります。
NFT画像をアイコンにしてフォローしてくる詐欺アカウントも増えています。 リプライ(返信)をする中で、偽URLを教えてくる手口にも注意!
X(Twitter)認証マークに騙されない
2023年以降、増えている手口「X(Twitter)ブルーから、詐欺サイトへの誘導」 課金すれば「X(Twitter)ブルー」をつけられるようになったため、
本物のアカウントのリプ(返信)で、
ニセモノが、詐欺リンクを貼るという手口。
長文ツイートは連投で投稿されることも多く、油断していると騙されます。
こういう手口があることを知っているだけで、被害にあう確率を下げられます。
X(Twitter)のメンションで誘導
X(Twitter)でメンションをつけて、詐欺サイトにウォレット接続をさせる手口があります。 うまい話はないので注意!
Voicyコメントで詐欺サイトへ誘導
Voicyコメント欄に、偽アカウントが詐欺サイトへ誘導するリンクが貼られる場合があります。
チャプターや放送概要のリンクは、発信者本人が書き込んだものです。
コメント欄は誰でも書き込み可能なので、注意しましょう。
安易にインストールしない
まずは原因から。
— シシン (@Sisin_Blog) February 10, 2024
2/9AMにXのDMで見かけた「AIを活用したミーティングツール」的なアプリをDL→インストールしたことが原因ぽいです。
心当たりがそれしかない。
PC(Mac)にインストールしてみるも、うまくできず「あれ?なんでかな?」と思いつつ流してしまった。
※添付画像はiPhoneですが作業はPC pic.twitter.com/pSJuD3qZPw
AIサービスが乱立し、オモシロそうだから使ってみたいアプリがたくさんあります。
ただし、インストールするのは注意が必要。
こればっかりは、後から詐欺と気づくだけなので、
- 発信者の身元・経歴がわかれば確認
- ウォレットをインストールしていない端末で操作
- 口コミをチェック
- 発信者の身元・経歴がわかれば確認
- ウォレットをインストールしていない端末で操作
をしないと防ぐのは難しいです。
ウォレットの知らないNFTは触らない
NFTを買うと、嬉しくて自分の買った画像を眺めてしまいますよね。
その中に買った覚えのない見知らぬNFTを見たら注意。
OpenSeaだと、「Hidden」の中に隠れています。
ウォレットアドレスはだれでも見れるため、送られてくるのを防ぐことはできません。 自宅の郵便ポストにいらないチラシを入れられるのと一緒です。
ハイディー家のポストにチラシが入ってるのと一緒
勝手に送ってくるだけでなく、「そのNFTを買います」とオファーをされることも。
「2万円くらいで売れるなら」なんて考えたらアウトです。
「さわらず放置」することが1番の手です。
Discordのリンクも疑う
コミュニティでつかうDiscord。 オフィシャルサイト的な役割を持つ反面、管理者のアカウントが乗っ取られて「詐欺サイトへ誘導」の手口があります。 管理者のアカウントからアナウンスされるので、信じてしまうのもしょうがないですが
・NFTをプレゼント(エアドロ)しますは疑う
・知らないサイトへのURLは確認する
・ウォレット(メタマスク)を簡単に接続しない
・怪しいと思ったら、複数人に確認する
以上のことは注意します。 うまい話はすべて詐欺と思ってください。
Discordのテキストリンク機能に注意
2023年9月のアップデートで、テキストにリンクが貼れるようになりました。
しかし、リンク先を偽装できるので注意が必要です。
表示させるテキストとリンク先のURLを、画像のように入力すると
OpenSeaのURLに見せかけて、違うサイトを表示するリンクがつくれます。
リンクをタップしないように注意し、タップした場合は「移動先のURL」をしっかり確認しましょう。
サーバー管理者の対策
サーバー管理者は、詐欺リンクを作られないように対策をしましょう。
サーバー設定から
AutoMod→カスタムワードをブロックを追加します。
「高度なマッチングのための正規表現を使用(任意)」に以下の文字列を入力します。
コピペでOK。
管理者はルールが適用できないので、動作確認は一般ユーザーでしてください。
キンコン西野さんのNFT詐欺事件
キンコン西野さんが監修しているチムニータウンDAOで、乗っ取り詐欺が発生しました。 ハロウィンプペルNFTが完売して、お祭り状態になっているところを狙われています。
- X(Twitter)からのリンクはふまないこと
- 購入するときはDiscordの公式アナウンスのURLから
と注意喚起はされていたところ、公式アカウントが乗っ取られるという事件。 常に警戒しておかないと防ぐのが難しいケースでした。
被害にあった方への対応は、さすがキンコン西野さん
DAOは「自己責任」の世界です。 本来、被害にあっても補償をされません。 被害者に補償をすることはリーダーがいることになってしまい、リーダーがいらないDAOという考えとは逆になります。
今回の被害者は、あまりにもかわいそうなのでNFTがプレゼントされました。
あくまで今回限り。キンコン西野さんの計らいです。
アニメ「ルパン3世」がお宝を盗んだとき、「ルパン参上!」のカードが現場に置いてあることに着眼。
お宝はいくらでもあるけど、ルパン参上のカードはほぼ手に入らない。
「お宝よりも、ルパンのカードの方が貴重でしょう」と、「22人のNFT盗まれた人にだけ、詐欺にあったとわかるNFT」がプレゼントされました。
被害にあったことはショックと思いますが、キンコン西野さんの対応はさすがです。
とはいえ、「公式リンクも疑うぐらい慎重にしないといけない」という貴重なハッキングケースでした。
音声リンクに詐欺を仕掛ける
新手のスキャム手口が出ているようす🚨
— palpal🎟 (@palpalNFT) February 1, 2024
⚠️このように音声リンクのDM送ってきた場合、絶対にこのボタンをクリックしないでください
隠しリンクを使って、ウォレットからお金を抜き取る新しい方法かもしれません pic.twitter.com/AsjbUF3aGD
(この時点で署名がキャンセルできていない!?)
手口が巧妙で、引っかかってしまう人は多そうです。
- むやみにタップ(クリック)しない
- ウォレットを分けておく
- ウォレットのないブラウザで開く
など、自己防衛していきましょう。
Google検索のリンク先が偽サイト
Googleなど、ブラウザは偽サイトでも広告を出すと検索上位に表示されます。
知らずに見た目はほんものと区別がつかない偽サイトでウォレットをつなぐと…
検索表示は偽サイトの可能性があるので、
公式サイトからのリンクか、ブックマークからサイトを訪問しましょう。
広告がブロックできるBraveブラウザの利用で防御力UP
詐欺リンクを踏まないためには、セキュリティレベルが高い「Braveブラウザ」を使いましょう。
Braveブラウザは、第三者機関である「ダブリン大学トリニティ・カレッジ(アイルランド最古の国立大学)」の調査で、ChromeやFirefox、Safariなどと比べ「最もプライバシーが確保されたブラウザ」に選ばれています。
Brave Browserは初期設定ではIPアドレスの追跡をさせるような識別子は確認できず、バックエンドサーバと訪れたWebページの詳細を共有することもなかった。Chrome,Firefox,Safariではバックエンドサーバとページの詳細を共有していた。
引用元:Web Browser Privacy
広告ブロック機能とともに、マルウェアなどの有害プログラムをブロックする機能も搭載されています。 デフォルトで広告がブロックされる、セキュリティレベルの高い次世代高速ブラウザです。
例えばGoogle Chromeで「ビットコイン」と検索すると「広告」が多数表示されるところ、
Braveの場合、「広告」なし。 Braveは、広告が表示されない以外にもメリットだらけのブラウザなので、正直つかわないと損します。
- 広告が表示されない(YouTubeも!)
- セキュリティレベルが高い
- 表示速度が高速
- 他ブラウザからの移行が簡単
- つかうだけで仮想通貨がもらえる
「無料でYouTube広告もブロックされる」というだけで使う理由になるのに、つかうだけで稼げちゃうブラウザなので、この機会に導入しましょう。
Braveについては、「Braveブラウザとは」で詳しく解説しています。
送金履歴をつくってお金を送金させる(アドレスポイズニング詐欺)
- 詐欺師が狙ったウォレットと前後が同じアドレスのウォレットをつくる
- ゼロ価値の送金・受信をし、履歴を残す
- 狙われた人が送金履歴からお金を送ると、詐欺師のウォレットに送金してしまう
ウォレットアドレスは長いので、前後の数桁だけ表示されることが多いです。
詐欺師は省略されることを利用して、前後が同じウォレットアドレスを作成した上で、送金履歴を作ります。
知っておくべきポイントは
- 詐欺師はアドレスを作成することができる
- 受信履歴だけでなく、送金履歴もつくられる
アドレスポイズニング詐欺に引っかからないようにするには
- 履歴から送金しない
- ウォレットアドレスは前後だけでなく、全部確認する
手口を知っておくだけで、引っかかる確率を下げられます。
リボークをさせてガス代に見せかけたお金を送金させる
webウォレット「Rabby」で使われた手口。 ウォレットに「ハッキングされてるから、リボーク(承認取り消し)をすぐにして!」とメッセージを出し、リボークするとガス代に見せかけてお金が送金されてしまいます。 メタマスクではないですが、ウォレットに警告を出す詐欺があることを知っておきましょう。
運営がお金を持って逃げる|ラグプル
⚠️注意⚠️
— 空水(Kuusui).shm | 🐐 | ⚙️ | (🎮, 🚢) | 🛸 (@invest_kuusui) August 31, 2022
私がMODをしていた@GearverseNft #Gearverse
のDiscordが突如消えました…
恐らくRugだと思われます…
ホルダーの方は申し訳ありません…
購入を検討されてる方は購入しないでください‼️
拡散お願いします🙇♂️
運営が売上を持ち逃げする詐欺「ラグプル」があります。 ・初めから詐欺のために仕込んだ ・運営が難しくなったので持ち逃げした 上記2パターンがありますが、特に後者の場合は見破るのが難しいです。 運営が実名を出して、しっかりしたプロジェクトなのかはチェックした上で購入しましょう。
オークションの入札詐欺
オークション販売は、最高額の入札者がNFTを購入できます。 ・まだ入札額が少額の時に、最高額で入札(例:0.1ETH) ・すぐに、かなり高値で入札(例:5ETH) ・価格が高いので、他の入札者は諦める ・オークション終了間際でキャンセルし(5ETHの入札)、次の最高額(0.1ETH)で落札 騙されてお金が盗まれる詐欺ではありませんが、そういう例もあることは知っておきましょう。
Ninja DAOで被害の実例をみて学ぶ
Ninja DAOには被害事例を報告するチャンネルがあります。
コチラから だれでも無料でDiscordに入ることができます。 Ninja DAOは10万人以上の人が参加している国内最大級のDAO組織。 多くのチャンネルがありますが
#ハッキング駆け込み寺-被害の手口共有 に被害者にあわれた方が手口を書き込み、対策方法を教えてもらっています。 チャンネルのやり取りを読むだけでも、防御力が上がるのでオススメです。
【防御】ハッキング対策はメタマスクのアカウントを複数作る
ハッキングは、次々と新しい手口でおこなわれています。 自分は大丈夫と過信することが危険。 ハッキングにあうことを前提の心構えで、 「ハッキングされた時に被害を最小限にする」行動をしていきましょう。
Braveで3つのアカウントをつくる
メタマスクが使えるBraveブラウザはプロフィールをわけることができます。 プロフィールの追加方法は
上メニューのプロフィールから「プロフィールを追加」をクリック
名前をつけて「完了」します。
プロフィールの切り替えは、右上からできます。
3つのアカウントの使い分け
- 購入用:購入する最小限の資金で運用(被害にあってもOK)
- メイン:安全なサイトだけに接続。メインの資金とDiscordのロールで必要なNFTを保管
- 保管用:大切なNFTを保管
- 購入用→小銭入れ
- メイン→財布
- 保管用→金庫
とイメージしてもらえれば、わかりやすいかと。 金庫を持ち歩いて、買い物をしないですよね? 札束の入った財布を持ち歩くのも、ちょっと怖いですね。 必要最低限のお金だけ持って、買い物しましょう!
ハイディー多過ぎても管理が大変なので3つくらいが丁度いいよ
メタマスク内のアカウント追加はNG
メタマスク内でアカウントを作成できますが、オススメしません。 ハッキングされた場合、同じメタマスク内ウォレットの中身も盗まれる可能性が高いです。 メタマスクを3つ作って運用しましょう。
フリーWi-FiをつなぐときはVPN接続
フリーWi-Fiは、悪い人からすると情報が丸見えなので危険です。
ID・パスワードなど、大事なデータが盗まれることも。
ハイディーホテルやレストランでフリーWi-Fi使っていたら注意!
VPN接続は情報を暗号化するので、セキュリティレベルが上がります。
といったVPNサービスを利用して、情報漏洩を防ぎましょう。
VPNについては、「フリーWi-Fi使うならVPNでセキュリティ対策しよう」を参考にしてください。
定期的なRevokeで安全性を上げる
「あやしいサイトにウォレットをつなげてしまった!」
そんな時は、リボーク(承認取り消し)をしましょう。
Revoke(リボーク)とは、NFTや暗号資産の送付許可(Approve)を取り消すこと。
詳しい手順は、「リボークのやり方」で解説しています。
むずかしくないので、過去に接続したサイトとのつながりは解除しておきましょう。
ウォレットが外部サイトとつながっている状態は、危険でもあるのです。
ウォレットを接続する時は慎重に
ハッキング事例を紹介してきましたが、 実際に被害にあうタイミングは次の2パターンがほとんど。
- シードフレーズを教えてしまった
- 偽サイトに接続してしまった
シードフレーズは誰にも教えない
あの手この手でシードフレーズを聞き出そうとしてきますが、絶対ダメ。 財布を渡すのと同じ行為です。
偽サイトに接続してしまった
どんなに気をつけていても、偽サイトのリンクをふんでしまうことはあります。 でも、ウォレット接続をする前なら、まだ大丈夫。
メタマスク接続するときは、内容を必ず確認すること! 確認画面で繋げてはダメな内容
- 転送
- Transfer
- ETHを送信中
ハイディー英語も翻訳して、内容を確認してから接続!
NFTの詐欺被害にあった時の対応マニュアル
被害に気づいたら、なるべく早く行動することで被害を抑えることができます。
- リボークで承認を取り消す
- 接続済みサイトを切断
- NFTを別ウォレットに退避
まだ救出できるかもしれないので、落ち着いて順に対処しましょう。
詐欺にあってしまったら、「NFT詐欺被害の対応マニュアル」を見て対応してください。
まとめ:メタマスクの中身を抜かれる前に!事例を見てハッキング対策しよう
100%ハッキング被害を防ぐことはできません。
ビクビクしているぐらいで、ちょうどよいと思います。
- DMは詐欺
- ブックマークでサイトを表示
- ウォレット内の見知らぬNFTは無視
- ウォレットは使い分けて被害を最小限に
- メタマスクのシードフレーズは誰にも教えない
- ウォレット接続は、内容を確認してから
そんなに用心しなくてはいけないの? というぐらい防御してください。 せっかく買ったNFTが盗まれたら悲しいし、被害にあってNFTをやめてしまうのももったいない。 NFTは楽しいものなので、防御力を高めてエンジョイしましょう!
