原作者:ナンシー
出典: PAニュース
暗号通貨業界の暗い森は危険と隠れた危険と罠に満ちており、資産盗難の話は頻繁に発生し、人気の NFT トラックや有名プレーヤーも免れないわけではありません。 NFTプロジェクトMoonbirdsの創設者であるケビン・ローズ氏は1月25日、個人ウォレットがハッキングされ、合計25個のクロミー・スクイグルとその他のNFTが失われたことを認めた。
NFT盗難事件とその金額が増加するにつれて、この記事PANewsでは一般的な詐欺の種類と防止テクニックを整理します。
NFT詐欺についてどれくらい知っていますか?
NFT市場の規模が日々拡大する一方、「0元購入」の盗難事件も多発しており、攻撃手法も後を絶たない。
1. 虚偽の広告ウィンドウ
最近、暗号KOL NFT神は、ハッカーがTwitter、Substack、Gmail、Discord、ウォレットにハッキングしたため、すべての暗号資産とNFTを失ったとツイートしました。ハッカーは盗まれたアカウントを通じて不正なリンクも投稿しました。ハッキングの理由は、ニーモニックがネットワークに接続されたコンピューター上のウォレットにインポートされて使用された後、ビデオ ストリーミング ソフトウェア OBS をダウンロードした後、新しいデバイス上でレジャーがコールド ウォレットではなくホット ウォレットとして設定されていたためです。ゲームのライブブロードキャストの場合、Google スポンサーリンクをクリックするとマルウェアがダウンロードされ、ハッカーが資金にアクセスできるようになります。実際、Google の広告では誰でもランキングを回避して検索結果で 1 位にランクされることができ、ユーザーがそのようなディスプレイ広告をクリックする可能性が非常に高いため、詐欺の可能性も高くなります。
2. 誤ったエアドロップ詐欺
エアドロップされた NFT を「高価格」で取得することは、新しいタイプの詐欺です。被害者が未知の NFT エアドロップを受け取った後、詐欺師はそれらを取得するために高い価格を提示します。投資家がこの NFT を取引することを選択した場合、何らかの特別な理由により取引エラー メッセージが報告されると、承認のために偽のフィッシング詐欺 Web サイトにアクセスすることになり、最終的には資産の盗難につながります。
3. 偽造NFT
今年3月、日本の東京にあるホワイトストーンは、非公式の個人がホワイトストーンギャラリーを装って有名アーティスト草間彌生のNFTを販売していると述べ、NFT関連の詐欺に関する発表を行った。実際、市場にはアーティストの作品を盗用し、偽バージョンをNFT市場に投入する詐欺師が多く存在し、多くの人が価値のない偽のNFTを購入する原因となっています。それだけでなく、似たような名前の偽のプロジェクトをNFT取引プラットフォームにアップロードし、ユーザーを混乱させるために複数のトランザクションを作成する詐欺も存在します。検索機能の使用に慣れている一部のユーザーは非常に簡単に陥ります。トラップ。
4. 偽のメール
今年2月、OpenSeaはスマートコントラクトのアップグレードを正式に開始し、ユーザーはイーサリアム上のNFTリストを新しいスマートコントラクトに移行する必要がある。ハッカーは当局者になりすます機会を利用し、アップグレードのリマインダーメールをユーザーに送信し、防止に対する強い意識を持たなかった多くのユーザーがフィッシングリンク上でウォレットを認証し、その結果、Bored Ape Yacht を含む NFT 資産が盗難されました。クラブ、クールキャッツ、らくがき、あずきが待っています。
多くの NFT プロジェクトでは、できるだけ早く情報を取得するためにユーザーが電子メール アドレスをバインドする必要があるため、多くの攻撃者は契約アドレスの変更やウォレットの再検証などの理由で、関係者になりすましてユーザーにフィッシング リンクを送信します。最も被害が大きい分野です。
5. 職員がハッキングまたはなりすましを受けた
あるいは、従業員がフィッシング攻撃を受けたり、マルウェアをダウンロードしたり、二要素認証を設定していなかったなどのさまざまな理由により、NFTプロジェクトの公式アカウントがハッキングされることがよくあります。 2022 年 4 月、Bored Ape Yacht Club の公式 Instagram アカウントがハッキングされ、ハッカーは Instagram アカウントを使用して、Bored Ape Yacht Club Web サイトを模倣した詐欺リンクを共有しました。そのリンクには、ユーザーがメタマスクを詐欺ウォレットに接続するためのリンクが含まれていました。偽のエアドロップに参加し、その後ハッカーは280万ドル相当のNFTを盗みました。同年 6 月に、Yuga Labs の Discord サーバーがハッキングされ、攻撃者はそのアカウントを使用して、公式 BAYC および Metaverse プロジェクトにフィッシング リンクを投稿して収益を上げました。
もちろん、NFT プロジェクトの公式アカウントを偽造してユーザーの信頼を獲得し、フィッシング Web サイトを送信して署名を求める詐欺師もいます。つまり、お金をかけずにアカウントで NFT を購入できます。ユーザーは、署名されたコンテンツ内の数字と文字を組み合わせた一連の問題を区別できません。さらに、プライベート メッセージ リンクは、Telegram、Discord、その他のプラットフォームのさまざまなコミュニティを通じてメンバーにプライベート メッセージを送信することがよくあり、管理者を装ってユーザーのウォレットの秘密キーを騙すこともあります。
6. 同じ末尾番号を持つアドレスを生成する
一般に、ほとんどのユーザーは、コントラクト アドレスの先頭と末尾の数字をチェックすることによってアドレスが正しいかどうかのみを確認しますが、これは攻撃者に機会を与えます。過去の取引記録にある過去のアドレスをコピーするユーザーの習慣を利用し、前後で同じ桁数の契約を偽造し、ユーザーが完全なアドレスを注意深く確認しないと、少量のトークンを継続的にエアドロップします。簡単に盗まれます。さらに、同じ仮数詐欺に加えて、ゼロ転送オンチェーン アドレス ポイズニング攻撃にも警戒する必要があるため、多くのユーザーはこのアドレスを信頼できる対話型アドレスとみなします。
資産保護のための正しい手順
オンチェーン操作は元に戻すことができません。資産が盗まれた後、ほとんどの人、特に技術的なスキルを持たない一般ユーザーにとって、資産を回復することは実際には非常に困難です。では、どうすれば資産の詐欺を防ぐことができるのでしょうか?
1. 秘密キーやニーモニックフレーズを保護する: 電子メールやソーシャルプラットフォームなどのWeb2アカウントが漏洩した場合に変更できるパスワードとは異なり、ウォレットの「鍵」である秘密キーやニーモニックフレーズは変更したり取得したりすることができません。資産が漏洩すると、略奪されてしまいます。攻撃者は、NFT エアドロップ/宝くじや Free Mint などの FOMO 感情を利用して、ユーザーに秘密キーやニーモニック フレーズを送信するよう誘導し、正式な管理者になりすまして偽のドメイン名 Web サイトを構築してユーザーの警戒心を弱めることもあります。
2.一般的に使用されるWebサイトを収集し、公式ソーシャルアカウントを選別する:フィッシングWebサイトは特定するのが最も簡単ですが、NFT資産が盗まれる主な理由の1つです。実際、このタイプの Web サイトがどれほど美しくパッケージ化されているとしても (ドメイン名、URL のスペルなどを確認できます)、最終的な目標はウォレットと対話することです。ユーザーは常に注意を払い、頻繁に使用される公式 Web サイトを収集する必要があります。公式ウェブサイトからソーシャルアカウントを入力し(ファンの数、アカウントのアクティビティ、コメントへの参加などで判断できます)、プライベートメッセージや電子メールで共有されたリンクを簡単にクリックしないことで、資産盗難の可能性を大幅に回避できます。さらに、ほとんどのユーザーは契約のリスクを特定する能力を持っていませんが、フィッシング対策プラグインをインストールすると、一部のフィッシング Web サイトを特定するのに効果的に役立ちます。
3. 資産の分離と定期的な検査: NFT 取引と鋳造に参加するには複数のウォレットを使用します。特に、大量の資金を保管するウォレットは分離する必要があります。さらに、ユーザーはウォレットが異常なコントラクトとやり取りしていないかを定期的に確認し、適時に承認をキャンセルする必要があります。
4.マルチパーティ情報の相互認証:NFTに参加してキャストする前に、デューデリジェンスは非常に重要です。ユーザーは、ソーシャルアカウントが検証されているかどうかを確認し、複数のチャネルを通じてプロジェクト情報を相互チェックすることで評価できます。
5. アドレスを注意深く確認してください: 送金動作の場合、ユーザーは完全な契約アドレスを確認するか、ウォレットのアドレス帳転送機能を使用してアドレスを直接選択して資金を送金する必要があります。さらに、プロジェクトに参加している一部の契約アドレスについては、中間攻撃者による変更を避けるために、ユーザーは公式チャネルからアドレスを取得できます。
もちろん、テクノロジーの継続的な進歩に伴い、資産盗難の手法も時代とともに進化しています。そのため、ユーザーは資産が盗まれた場合は直ちに資産を隔離し、ソーシャルアカウントのパスワードやその他の個人情報を変更する必要があります。詐欺アカウントに関連するその他の情報。ウイルス攻撃の場合は、コンピュータやその他の機器をインターネットから切断する必要があります。さらに、ユーザーは専門の証券会社に資金追跡を依頼し、資金損失の補償を最大化することもできます。
(上記内容は提携先PANewsの許可を得て抜粋転載、原文リンク)
声明: この記事は著者の個人的な見解や意見を表すものであり、ブロックチェーンの客観的な見解や立場を表すものではありません。すべての内容や意見は参考目的であり、投資アドバイスを構成するものではありません。投資家は自身の決定と取引を行う必要があり、作者とブロックチェーンクライアントは、投資家の取引によって引き起こされた直接的または間接的な損失に対して責任を負いません。
この記事 NFT 防止ガイド: 一般的な NFT 詐欺について学ぶ 1 つの記事がブロックチェーンに初めて掲載されました。
