ウォレットに予期しないNFTや資産がある場合、それらはすべての資金を盗む可能性があるため注意してください
この記事では、NFTホルダーがハッカーの主な標的となった理由について探求し、急激なウォレット資産の増加など、一般的なNFT盗難の手法を分析します。実際の事例を通じて、NFT詐欺の隠れた脅威を明らかにし、資産を保護しウォレットセキュリティを強化するための実用的なセキュリティのヒントを提供します。概要
暗号通貨とブロックチェーン技術の急速な発展に伴い、NFT(非代替性トークン)はユニークなデジタル資産として、多くの投資家やコレクターの注目を集めています。しかし、急成長する市場と共に、増加するリスクも存在します。
あなたのウォレットに突然現れる予期しないNFTや他の資産に気付いたことはありますか?これらのように見える無害なデジタルアイテムには、深刻なセキュリティの脅威が潜んでいることがあり、資金の完全な損失につながる可能性さえあります。この記事では、これらのシナリオの裏に潜む危険性を明らかにし、デジタル資産をより効果的に保護するための実用的なセキュリティアドバイスを提供します。
現在、仮想通貨とNFTの総時価総額は3兆ドルを超え、世界中で3億人以上の参加者がいます。しかし、市場が繁栄するにつれ、ハッカーや詐欺師の主要な標的にもなっています。Comparitechのデータ(2025年3月13日現在)によると、暗号通貨とNFT関連の詐欺は既に270億ドルの損失をもたらしており、その数は依然として増加しています。
出所: https://www.comparitech.com/crypto/cryptocurrency-scams/(2025年3月13日)
NFTホルダーはハッカーの主な標的となっています
1. 高価値資産の魅力
NFTはしばしば著しい価値を持ちます — 特にBored Ape Yacht ClubやCryptoPunksのような希少またはハイプされたコレクションからのものは、1つの作品が数十万ドル、場合によっては数百万ドルの価値があることもあります。
これらの高価値のデジタル資産は仮想世界で「金鉱」のように機能し、自然とハッカーの注目を集めます。従来の金融資産と比較して、NFT取引は迅速で追跡が難しいです。一度盗まれると、ハッカーは迅速に資産をキャッシュアウトすることができます。
ソース: https://opensea.io/collection/boredapeyachtclub
2. ブロックチェーンの匿名性と不可逆性
ブロックチェーンの匿名性はユーザーにプライバシーを提供しますが、ハッカーにとっては隠れ家を提供します。 NFTやトークンが盗まれると、泥棒は迅速に他のウォレットに送金したり、Tornado Cashのようなミキサーを使って洗浄することができます。
ブロックチェーン取引は不可逆的であるため、被害者はハッカーが資産を自発的に返却するか、法執行機関によって捕まるまで、ほとんど回復のチャンスがない。これにより、NFT所有者を攻撃することは、サイバー犯罪者にとって低リスクで高リターンな戦略となっています。
3. 一般的に、ユーザーのセキュリティ意識が低い
多くのNFTユーザーは、ブロックチェーンや暗号技術に未経験の人が多く、適切なセキュリティ意識が不足しています。彼らはプライベートキーまたはシードフレーズの重要性を完全に理解していないかもしれず、フィッシングサイトや悪意のある契約をどのように認識すればよいかを知らないかもしれません。
例えば、一部のユーザーは疑わしいリンクをためらわずにクリックしたり、プライベートキーを電話のメモやクラウドサービスのような安全でない場所に保存したりすることがあります。これらの行為はすべてハッカーに侵入の道を開くことにつながります。
4. 複雑なエコシステムは露出を増やします
NFTエコシステムはウォレット、取引プラットフォーム(OpenSeaなど)、スマートコントラクト、およびソーシャルメディア(DiscordやTwitterなど)にまたがっています。各コンポーネントは潜在的な攻撃ベクトルです。
5. 非常に活発なコミュニティと情報の迅速な拡散
NFTユーザーは通常、TwitterやDiscordのようなプラットフォームで活発に活動し、自分のコレクションを共有したり、取引記録を共有したり、イベントに参加したりします。このような公開された可視性は、彼らを狙いやすいターゲットにします。例えば、Twitterで100万ドルのNFTを自慢する人は、すぐにハッカーの標的になり、フィッシングリンクを送ったり、偽のサポートエージェントを装ったりする可能性があります。
6. 間違いを招く高い技術的障壁
NFTとのやり取りには、MetaMaskの使用、ガス手数料の理解、スマートコントラクトの署名など、ある程度の技術的な知識が必要です。これらのプロセスに慣れていないユーザーにとっては、重大なエラーを簡単に comit することがあります。悪意のある契約に許可を無意識に与えたり、保護されていないネットワーク環境で操作することになり、それが盗難につながる可能性があります。
7. ハッカーにとって低コストで高リターン
従来の銀行システムへの侵入などの従来のサイバー攻撃と比較して、NFTユーザーを標的とすることは比較的低コストです。ハッカーは単に偽のウェブサイトを設定したり、フィッシングメールを送ったり、ソーシャルメディアに悪意のあるリンクをばらまくだけで、貴重なウォレットにアクセスできるかもしれません。一度成功すれば、報酬は数千ドルから数百万ドルになる可能性があります。この高リターン、低リスクの設定は、NFTユーザーを主要な標的とします。
一般的なNFTの盗難手法
悪意のあるスマートコントラクト
NFTは通常、所有権、転送、およびさまざまなインタラクションを規定するスマートコントラクトに結び付けられています。ユーザーは、ソーシャルメディア、エアドロップ、ウェブサイトなど、未知のソースからNFTを受け取ることがよくあります。
NFT自体は無害に見えるかもしれませんが、その基になるスマートコントラクトには悪意のあるコードが含まれている可能性があります。ハッカーはこのコードを悪用して、あなたの知識外にウォレットの権限を取得することができ、結果的にはあなたのウォレットからすべての資産を抜き取ることができます。
Source: https://trezor.io/support/a/malicious-smart-contracts
フィッシング攻撃とソーシャルエンジニアリング
ハッカーはしばしば、ユーザーをだまして、プライベートキーまたはシードフレーズを入力させたり、未知のスマートコントラクトを承認させたりするために、偽のウェブサイト、電子メール、またはソーシャルメディアメッセージを作成します。たとえば、偽の「OpenSea Notification」を受け取り、「ウォレットを確認してください」と依頼されることがあります。しかし、リンクをクリックしてアクセスを許可すると、あなたのNFTやトークンがすぐに盗まれる可能性があります。
さらに、ハッカーはフィッシングやソーシャルエンジニアリングの戦術を使用して、悪意のあるNFTをユーザーのウォレットに直接送信します。これらのNFTのいずれかを単に表示したり操作したりするだけで、ハッカーがスマートコントラクトの脆弱性を悪用し、ウォレットを制御したり、ユーザーに高リスク取引に署名させる可能性があります。常にNFTの送信元を確認してください — 未知のまたは怪しい資産とは決してやり取りしないでください。
DiscordやTelegramなどのプラットフォームでは、ハッカーがサポートスタッフ、開発者、またはコミュニティメンバーをなりすまし、「ウォレットの問題を修正できる」と主張します。その後、ユーザーにシードフレーズを開示するよう説得し、最終的には資産を盗みます。
ほとんどの主要なNFTプロジェクトは、現在、サーバー内に「詐欺報告」チャンネルを含めています。2021年7月以降、さまざまなNFTプラットフォーム全体でこれらのチャンネルにログが記録されたメッセージは75,000件以上あり、そのうち76%が2022年にのみ送信されました。
ソース: https://beinsure.com/nft-thefts-and-financial-crime-7-types-of-scams-in-non-fungible-tokens/
ハッカーは、資産を盗むためにeth_signを介して「ブラインド署名」技術も使用しています。従来のフィッシング取引とは異なり、明確な取引データを表示し、ガス手数料を発生させるものではなく、ブラインド署名は不明瞭なテキストの列のみを表示します。ユーザーが署名すると、ハッカーはすぐにウォレットからトークンを転送できます。
フェイクNFTプロジェクト
一部のハッカーは、人気のあるNFTプロジェクトをなりすまして、ユーザーを誘い込み、偽のプラットフォームで購入やインタラクションを行わせることがあります。これらの悪質なウェブサイトのいずれかにウォレットを接続すると、あなたの資産を盗むように設計されたスマートコントラクトがトリガーされる可能性があります。
詐欺師はしばしばERC-721およびERC-1155標準のSetApprovalForAll()関数を悪用し、被害者を騙してNFTの完全なコントロールを無意識に提供させます。 一度承認されると、ハッカーは追加のユーザー入力なしにいつでも資産を転送できます。 したがって、NFTプロジェクトとやり取りする前に、常にその正当性を確認し、定期的になどのツールを使用してくださいRevoke.cash不要な承認を確認し、削除します。
悪意のあるコード、ソフトウェア、および隠れた盗難
未知のソフトウェアやブラウザ拡張機能(偽のMetaMaskプラグインなど)をインストールすると、プライベートキーを盗むことができるマルウェアや、あなたのアクティビティを追跡することができるマルウェアがデバイスに感染する可能性があります。
悪意のあるスマートコントラクトを超えて、一部のNFTやデジタルアセットには、表示や操作を行うと実行されるスクリプトが含まれていることがあります。例えば、これらのNFTを単にクリックするだけで、ハッカーが制御するアドレスに資産を転送するコードが実行される可能性があります。これらのスクリプトは通常、デバイスのセキュリティを直接的には危険にさらすことはありませんが、あなたのウォレットを静かに空にすることがあります。
NFTバンドル詐欺と偽物
ハッカーはしばしば、高品質な贋作を含むNFTバンドルや悪意のある契約が埋め込まれたNFTを含む偽のNFTバンドルを作成します。 これらのバンドルは低価格とガス手数料の節約の約束でユーザーを誘惑します。 ただし、取引を開始すると、SetApprovalForAll()が静かに承認され、ハッカーがユーザーのウォレットを完全に制御することができるようになります。
例えば、OpenSeaでNFTバンドルを購入する際には、常に各NFTと関連契約の出所を確認してください。そのガス料金の「節約」は高額な間違いになる可能性があります。
ソース: https://opensea.io/collection/boredapeyachtclub
ポンプアンドダンプ詐欺
詐欺師は、ソーシャルメディアやセレブの支持を煽ることで、NFTの価格を人工的に吹き上げ、需要の偽の感覚を作り出します。価格がピークに達すると、内部者たちは保有資産を売り飛ばし、市場を崩壊させ、買い手を評価を下げた資産で残します。
そのような計画を回避するためには、常にNFTの取引履歴を確認してください。正当なNFTは通常、多様な購入者ベースと有機的な活動を持っています。
ラグプル
これらの詐欺では、開発者がユーザーを大きな約束でNFTの購入に誘い込み、資金を集めた後に消えてしまいます。これらはしばしば派手なロードマップを持つ匿名のチームが関与し、実際には提供する意図がないことがよくあります。
例えば、2021年には、Evil Apeの創造者が約300万ドルを調達した後に姿を消しました。同様に、2022年には、Frosties NFTプロジェクトが130万ドルを投資家から詐取しました。犯人は最終的に逮捕され起訴されましたが、盗まれたNFTと資金は決して回収されませんでした。
ラグプルを避けるためには、透明で責任あるチームと現実的なロードマップを優先させることが重要です。開発が約束された通りに進行していることを確認してください。
ソース: https://www.cbr.com/evolved-apes-nft-disappears-3-million/
偽のNFTオファー
詐欺師は正規のプラットフォームをなりすまし、NFT保有者にフィッシングメールを送信し、偽のオファーや割引を宣伝する場合があります。これらのメールは、ログイン資格情報やシードフレーズを盗むように設計されたフィッシングサイトにつながります。
自分を守るためには、常に送信元のメールアドレスを確認し、ブラウザーで公式プラットフォームに手動でアクセスしてください。メールからの怪しいリンクをクリックしないでください。それが正当なものに見えても。
実世界NFT詐欺事件
1. 疑わしいNFTとのやりとり―AJが$41,300を失う(2021年)
2021年9月21日、ユーザーAJさん(@babbler_dabbler) は、ウォレットが侵害され、著名なアーティストであるダミアン・ハーストによるNFTである通貨が盗まれたとツイートしました。AJによると、彼の唯一の間違いは、突然彼のウォレットに現れた見知らぬNFTとやり取りしたことです。 その行動がウォレットの侵害を引き起こし、13.75 ETH(約41,300ドル)の損失につながりました。
ソース: https://x.com/babbler_dabbler/status/1439987074594217986
2. 周杰倫のBored Ape NFTが盗まれる(2022年)
2022年4月、台湾のポップスターである周杰倫(Jay Chou)がSNSで発表しました。彼のBored Ape Yacht Club NFTが盗まれたことを。そのNFTの価値は約50万ドルと推定されています。周氏は、盗難が知らずにフィッシングリンクをクリックした後に発生したと述べています。
ハッカーはおそらくソーシャルエンジニアリングを使用し、ファンやプロジェクトスタッフをなりすまして悪意のあるリンクを送信した可能性があります。それをクリックした後、Chouは無意識に悪意のあるスマートコントラクトを承認し、ハッカーがNFTを転送することを許可しました。その資産は迅速に複数回転売され、追跡が非常に困難になりました。
ソース:https://cnalifestyle.channelnewsasia.com/entertainment/jay-chou-bored-ape-nft-stolen-308766
3.OpenSeaフィッシング攻撃(2022年)
2022年初頭、NFTマーケットプレイスのOpenSeaのユーザーが大規模なフィッシングキャンペーンの被害に遭いました。ハッカーは偽の電子メールを送信し、偽のウェブサイトを設定して、ユーザーを悪意のあるスマートコントラクトに署名させるよう誘いました。数時間以内に、攻撃者はBored Ape Yacht ClubやDecentralandの高価なアイテムを含む約2.5百万ドル相当の254個のNFTを盗みました。
ハッカーは、メールでOpenSeaをなりすまして、ユーザーに「アカウントのセキュリティに関する問題」について警告し、「検証」や「移行」を促しました。多くのユーザーがリンクの正当性を検証できず、フィッシングサイトにリダイレクトされ、悪意のある契約に承認したことで資産が盗まれる結果となりました。
ソース:https://www.halborn.com/blog/post/explained-the-opensea-phishing-hack-february-2022
4. Moonbirds NFT詐欺ー$1.5百万盗まれた(2022年5月)
ハッカーは悪意のあるリンクを拡散し、ユーザーを署名させるトランザクションに騙しました。これにより、推定750 ETH(当時の約150万ドル)相当の29匹のMoonbirds NFTが盗まれました。
ソース: https://x.com/CirrusNFT/status/1529296043547865088
5.AI音声ディープフェイク詐欺(2023年)
2023年中頃、ハッカーたちはAIを使用して企業の幹部の声を模倣し、財務チームのメンバーを騙して大金を振り込ませました。TRM Labsとブロックチェーン分析会社Chainalysisの2023年の報告によると、数百万ドルに及ぶ資金は、暗号通貨ミキサーを通じて洗浄されました。
6. Orbit Bridge Cross-Chain Protocol Hack — $80 Million Stolen (Dec 31, 2023)
2023年の大晦日、ハッカーはクロスチェーンブリッジOrbit Bridgeの脆弱性を悪用し、ETHやUSDCを含む約8000万ドル相当の暗号資産を盗みました。この侵害は内部者の鍵の漏洩が原因であると疑われています。盗まれた資金の一部は分散型プロトコルを通じて資金洗浄されました。
ソース:https://x.com/bitinning/status/1741783830372155620
7. DMM Bitcoin Private Key Leak — $300 Million Heist (May 31, 2024)
日本の長年の取引所であるDMM ビットコインは、ハッカーが漏洩した秘密鍵を使用して3億ドル相当のビットコインを10以上の別々のアドレスに転送したときに歴史的な侵害に見舞われました。取引所はオンチェーン追跡と資産凍結を試みましたが、攻撃者はミキサーを使用して資金洗浄を行い、秘密鍵のセキュリティと保管慣行の深刻な弱点を浮き彫りにしました。
ソース:https://www.elliptic.co/blog/dmm-bitcoin-loses-308-million-in-unauthorized-leak
デジタル資産を保護する方法
ブロックチェーンの世界では、セキュリティの脅威がいたるところにあります。物理的な孤立、運用上の安全対策、緊急対応からなる層状の防御システムを構築することで、資産の盗難リスクを大幅に低減することが可能です。
レイヤー1:物理的な孤立(ハードウェアウォレット&資産の分散化)
- 高額な資産を保管するためにハードウェアウォレット(例:Ledger、Trezor)を使用してください。
- ハードウェアウォレットはインターネットから隔離され、物理的に接続して確認された場合にのみ取引を承認し、リモートハッキングのリスクを大幅に低減します。
- 長期間にわたってホットウォレット(例:MetaMask)に大量の暗号通貨を保管しないでください。
- シングルポイントの障害を防ぐために、複数のウォレットに資産を分散させます。
- 使用目的に基づいてウォレットを分ける(例:取引ウォレット、長期保管ウォレット、日常利用ウォレット)
- 重要な資産をオンライン攻撃から守るために、コールドウォレット(オフラインストレージ)に保管してください。
Layer 2: 操作上の安全対策(慎重な承認&スマートコントラクトのチェック)
リンクには注意し、詐欺には注意してください
フィッシング攻撃に注意してください:
公式チームは、Telegram、Discord、またはX(Twitter)DMを介して秘密鍵やシードフレーズを要求することはありません。この情報の要求は詐欺です。プロジェクトの信頼性を確認する:
インタラクションをする前に、プロジェクトのソーシャルメディア、公式発表、情報源を二重チェックして、正当性を確認してください。スマートコントラクトの承認を慎重に管理してください
ウォレットを接続する前や取引に署名する前に、ウェブサイトのURLや契約アドレスを再度確認してください。偽のウェブサイトや悪意のある契約は重大な脅威です。
不要なスマートコントラクトの権限を定期的に取り消し、ハッカーが事前承認された契約を悪用する可能性を制限するために、Revoke.cashやEtherscanのトークン承認チェッカーなどのツールを使用してください。スマートコントラクトセキュリティ監査
NFTミントやDeFiプロジェクトに参加する前に、監査ツール(CertiK、PeckShield、SlowMistなど)を使用してスマートコントラクトのセキュリティを評価してください。これにより、悪意のあるコードや悪用可能な脆弱性にさらされるのを防ぐことができます。
ソース: https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d
レイヤー3:緊急対応(ウォレットが侵害された場合)
不審な活動や資産が盗まれたことに気づいた場合は、即座に行動を取る。
- 新しいウォレットを作成します:新しいプライベートキーを生成し、ハードウェアウォレットを使用して新しいウォレットのシードフレーズを安全に保存します。
- 悪意のある契約承認を取り消す:使用Revoke.cashまたはEtherscanのトークン承認ページで、疑わしい契約の承認をキャンセルし、さらなる損失を防ぎます。
- 残りの資産を移動します:不正アクセスされたウォレットから残高を素早く新しく作成したセキュアなウォレットに移動します。
- デバイスにマルウェアがないかどうかを確認してください: コンピューターと携帯電話で徹底的なウイルスおよびマルウェアスキャンを実行して、デバイスが感染していないことを確認してください。
- 2段階認証(2FA)を有効にする:取引所やウォレットサービスを含むすべての暗号通貨関連アカウントに2段階認証を有効にして、追加のセキュリティ層を追加します。
冷静になる — FOMOの罠を避ける
盲目にハイプに追随しないでください。市場の感情だけでなく、プロジェクトの長期的な価値を評価してから参加してください。
署名情報を注意深く確認してください:取引に署名する際は常に署名の内容を確認し、それがプライベートキーを公開したり悪意のある権限を付与しないことを確認してください。
仮想通貨の世界では、セキュリティが最優先事項です。この 3 層構造の防御システムをマスターすることで、資産の保護が大幅に強化され、不要なリスクが最小限に抑えられます。
結論
非代替性トークン(NFT)とデジタル資産は、これまでにない機会をもたらしますが、深刻なセキュリティ上の懸念も伴います。このデジタル領域では、財布を保護することは、物理的な世界で銀行口座を保護することと同じくらい重要です。ハッカーは常に戦術を進化させていますが、警戒を怠らず、基本的なセキュリティ慣行を理解することで、リスクを効果的に軽減できます。
ハッカーは、高値の資産の魅力、ブロックチェーン取引の不可逆性、および一般的に弱いユーザーセキュリティ意識のために、主にNFTユーザーを標的にしています。これらのリスクに対抗するためには、堅固なセキュリティ基盤を構築することが不可欠です。冷たいウォレットを使用し、定期的に権限を監査し、秘密鍵を安全に保管してください。セキュリティは、NFTエコシステムにおける最も重要な防衛ラインです。警戒心を持つことで、デジタル資産を真に保護することができます。
Related articles
ソラナとは何ですか?
ウォレットに予期しないNFTや資産がある場合、それらはすべての資金を盗む可能性があるため注意してください
概要
暗号通貨とブロックチェーン技術の急速な発展に伴い、NFT(非代替性トークン)はユニークなデジタル資産として、多くの投資家やコレクターの注目を集めています。しかし、急成長する市場と共に、増加するリスクも存在します。
あなたのウォレットに突然現れる予期しないNFTや他の資産に気付いたことはありますか?これらのように見える無害なデジタルアイテムには、深刻なセキュリティの脅威が潜んでいることがあり、資金の完全な損失につながる可能性さえあります。この記事では、これらのシナリオの裏に潜む危険性を明らかにし、デジタル資産をより効果的に保護するための実用的なセキュリティアドバイスを提供します。
現在、仮想通貨とNFTの総時価総額は3兆ドルを超え、世界中で3億人以上の参加者がいます。しかし、市場が繁栄するにつれ、ハッカーや詐欺師の主要な標的にもなっています。Comparitechのデータ(2025年3月13日現在)によると、暗号通貨とNFT関連の詐欺は既に270億ドルの損失をもたらしており、その数は依然として増加しています。
出所: https://www.comparitech.com/crypto/cryptocurrency-scams/(2025年3月13日)
NFTホルダーはハッカーの主な標的となっています
1. 高価値資産の魅力
NFTはしばしば著しい価値を持ちます — 特にBored Ape Yacht ClubやCryptoPunksのような希少またはハイプされたコレクションからのものは、1つの作品が数十万ドル、場合によっては数百万ドルの価値があることもあります。
これらの高価値のデジタル資産は仮想世界で「金鉱」のように機能し、自然とハッカーの注目を集めます。従来の金融資産と比較して、NFT取引は迅速で追跡が難しいです。一度盗まれると、ハッカーは迅速に資産をキャッシュアウトすることができます。
ソース: https://opensea.io/collection/boredapeyachtclub
2. ブロックチェーンの匿名性と不可逆性
ブロックチェーンの匿名性はユーザーにプライバシーを提供しますが、ハッカーにとっては隠れ家を提供します。 NFTやトークンが盗まれると、泥棒は迅速に他のウォレットに送金したり、Tornado Cashのようなミキサーを使って洗浄することができます。
ブロックチェーン取引は不可逆的であるため、被害者はハッカーが資産を自発的に返却するか、法執行機関によって捕まるまで、ほとんど回復のチャンスがない。これにより、NFT所有者を攻撃することは、サイバー犯罪者にとって低リスクで高リターンな戦略となっています。
3. 一般的に、ユーザーのセキュリティ意識が低い
多くのNFTユーザーは、ブロックチェーンや暗号技術に未経験の人が多く、適切なセキュリティ意識が不足しています。彼らはプライベートキーまたはシードフレーズの重要性を完全に理解していないかもしれず、フィッシングサイトや悪意のある契約をどのように認識すればよいかを知らないかもしれません。
例えば、一部のユーザーは疑わしいリンクをためらわずにクリックしたり、プライベートキーを電話のメモやクラウドサービスのような安全でない場所に保存したりすることがあります。これらの行為はすべてハッカーに侵入の道を開くことにつながります。
4. 複雑なエコシステムは露出を増やします
NFTエコシステムはウォレット、取引プラットフォーム(OpenSeaなど)、スマートコントラクト、およびソーシャルメディア(DiscordやTwitterなど)にまたがっています。各コンポーネントは潜在的な攻撃ベクトルです。
5. 非常に活発なコミュニティと情報の迅速な拡散
NFTユーザーは通常、TwitterやDiscordのようなプラットフォームで活発に活動し、自分のコレクションを共有したり、取引記録を共有したり、イベントに参加したりします。このような公開された可視性は、彼らを狙いやすいターゲットにします。例えば、Twitterで100万ドルのNFTを自慢する人は、すぐにハッカーの標的になり、フィッシングリンクを送ったり、偽のサポートエージェントを装ったりする可能性があります。
6. 間違いを招く高い技術的障壁
NFTとのやり取りには、MetaMaskの使用、ガス手数料の理解、スマートコントラクトの署名など、ある程度の技術的な知識が必要です。これらのプロセスに慣れていないユーザーにとっては、重大なエラーを簡単に comit することがあります。悪意のある契約に許可を無意識に与えたり、保護されていないネットワーク環境で操作することになり、それが盗難につながる可能性があります。
7. ハッカーにとって低コストで高リターン
従来の銀行システムへの侵入などの従来のサイバー攻撃と比較して、NFTユーザーを標的とすることは比較的低コストです。ハッカーは単に偽のウェブサイトを設定したり、フィッシングメールを送ったり、ソーシャルメディアに悪意のあるリンクをばらまくだけで、貴重なウォレットにアクセスできるかもしれません。一度成功すれば、報酬は数千ドルから数百万ドルになる可能性があります。この高リターン、低リスクの設定は、NFTユーザーを主要な標的とします。
一般的なNFTの盗難手法
悪意のあるスマートコントラクト
NFTは通常、所有権、転送、およびさまざまなインタラクションを規定するスマートコントラクトに結び付けられています。ユーザーは、ソーシャルメディア、エアドロップ、ウェブサイトなど、未知のソースからNFTを受け取ることがよくあります。
NFT自体は無害に見えるかもしれませんが、その基になるスマートコントラクトには悪意のあるコードが含まれている可能性があります。ハッカーはこのコードを悪用して、あなたの知識外にウォレットの権限を取得することができ、結果的にはあなたのウォレットからすべての資産を抜き取ることができます。
Source: https://trezor.io/support/a/malicious-smart-contracts
フィッシング攻撃とソーシャルエンジニアリング
ハッカーはしばしば、ユーザーをだまして、プライベートキーまたはシードフレーズを入力させたり、未知のスマートコントラクトを承認させたりするために、偽のウェブサイト、電子メール、またはソーシャルメディアメッセージを作成します。たとえば、偽の「OpenSea Notification」を受け取り、「ウォレットを確認してください」と依頼されることがあります。しかし、リンクをクリックしてアクセスを許可すると、あなたのNFTやトークンがすぐに盗まれる可能性があります。
さらに、ハッカーはフィッシングやソーシャルエンジニアリングの戦術を使用して、悪意のあるNFTをユーザーのウォレットに直接送信します。これらのNFTのいずれかを単に表示したり操作したりするだけで、ハッカーがスマートコントラクトの脆弱性を悪用し、ウォレットを制御したり、ユーザーに高リスク取引に署名させる可能性があります。常にNFTの送信元を確認してください — 未知のまたは怪しい資産とは決してやり取りしないでください。
DiscordやTelegramなどのプラットフォームでは、ハッカーがサポートスタッフ、開発者、またはコミュニティメンバーをなりすまし、「ウォレットの問題を修正できる」と主張します。その後、ユーザーにシードフレーズを開示するよう説得し、最終的には資産を盗みます。
ほとんどの主要なNFTプロジェクトは、現在、サーバー内に「詐欺報告」チャンネルを含めています。2021年7月以降、さまざまなNFTプラットフォーム全体でこれらのチャンネルにログが記録されたメッセージは75,000件以上あり、そのうち76%が2022年にのみ送信されました。
ソース: https://beinsure.com/nft-thefts-and-financial-crime-7-types-of-scams-in-non-fungible-tokens/
ハッカーは、資産を盗むためにeth_signを介して「ブラインド署名」技術も使用しています。従来のフィッシング取引とは異なり、明確な取引データを表示し、ガス手数料を発生させるものではなく、ブラインド署名は不明瞭なテキストの列のみを表示します。ユーザーが署名すると、ハッカーはすぐにウォレットからトークンを転送できます。
フェイクNFTプロジェクト
一部のハッカーは、人気のあるNFTプロジェクトをなりすまして、ユーザーを誘い込み、偽のプラットフォームで購入やインタラクションを行わせることがあります。これらの悪質なウェブサイトのいずれかにウォレットを接続すると、あなたの資産を盗むように設計されたスマートコントラクトがトリガーされる可能性があります。
詐欺師はしばしばERC-721およびERC-1155標準のSetApprovalForAll()関数を悪用し、被害者を騙してNFTの完全なコントロールを無意識に提供させます。 一度承認されると、ハッカーは追加のユーザー入力なしにいつでも資産を転送できます。 したがって、NFTプロジェクトとやり取りする前に、常にその正当性を確認し、定期的になどのツールを使用してくださいRevoke.cash不要な承認を確認し、削除します。
悪意のあるコード、ソフトウェア、および隠れた盗難
未知のソフトウェアやブラウザ拡張機能(偽のMetaMaskプラグインなど)をインストールすると、プライベートキーを盗むことができるマルウェアや、あなたのアクティビティを追跡することができるマルウェアがデバイスに感染する可能性があります。
悪意のあるスマートコントラクトを超えて、一部のNFTやデジタルアセットには、表示や操作を行うと実行されるスクリプトが含まれていることがあります。例えば、これらのNFTを単にクリックするだけで、ハッカーが制御するアドレスに資産を転送するコードが実行される可能性があります。これらのスクリプトは通常、デバイスのセキュリティを直接的には危険にさらすことはありませんが、あなたのウォレットを静かに空にすることがあります。
NFTバンドル詐欺と偽物
ハッカーはしばしば、高品質な贋作を含むNFTバンドルや悪意のある契約が埋め込まれたNFTを含む偽のNFTバンドルを作成します。 これらのバンドルは低価格とガス手数料の節約の約束でユーザーを誘惑します。 ただし、取引を開始すると、SetApprovalForAll()が静かに承認され、ハッカーがユーザーのウォレットを完全に制御することができるようになります。
例えば、OpenSeaでNFTバンドルを購入する際には、常に各NFTと関連契約の出所を確認してください。そのガス料金の「節約」は高額な間違いになる可能性があります。
ソース: https://opensea.io/collection/boredapeyachtclub
ポンプアンドダンプ詐欺
詐欺師は、ソーシャルメディアやセレブの支持を煽ることで、NFTの価格を人工的に吹き上げ、需要の偽の感覚を作り出します。価格がピークに達すると、内部者たちは保有資産を売り飛ばし、市場を崩壊させ、買い手を評価を下げた資産で残します。
そのような計画を回避するためには、常にNFTの取引履歴を確認してください。正当なNFTは通常、多様な購入者ベースと有機的な活動を持っています。
ラグプル
これらの詐欺では、開発者がユーザーを大きな約束でNFTの購入に誘い込み、資金を集めた後に消えてしまいます。これらはしばしば派手なロードマップを持つ匿名のチームが関与し、実際には提供する意図がないことがよくあります。
例えば、2021年には、Evil Apeの創造者が約300万ドルを調達した後に姿を消しました。同様に、2022年には、Frosties NFTプロジェクトが130万ドルを投資家から詐取しました。犯人は最終的に逮捕され起訴されましたが、盗まれたNFTと資金は決して回収されませんでした。
ラグプルを避けるためには、透明で責任あるチームと現実的なロードマップを優先させることが重要です。開発が約束された通りに進行していることを確認してください。
ソース: https://www.cbr.com/evolved-apes-nft-disappears-3-million/
偽のNFTオファー
詐欺師は正規のプラットフォームをなりすまし、NFT保有者にフィッシングメールを送信し、偽のオファーや割引を宣伝する場合があります。これらのメールは、ログイン資格情報やシードフレーズを盗むように設計されたフィッシングサイトにつながります。
自分を守るためには、常に送信元のメールアドレスを確認し、ブラウザーで公式プラットフォームに手動でアクセスしてください。メールからの怪しいリンクをクリックしないでください。それが正当なものに見えても。
実世界NFT詐欺事件
1. 疑わしいNFTとのやりとり―AJが$41,300を失う(2021年)
2021年9月21日、ユーザーAJさん(@babbler_dabbler) は、ウォレットが侵害され、著名なアーティストであるダミアン・ハーストによるNFTである通貨が盗まれたとツイートしました。AJによると、彼の唯一の間違いは、突然彼のウォレットに現れた見知らぬNFTとやり取りしたことです。 その行動がウォレットの侵害を引き起こし、13.75 ETH(約41,300ドル)の損失につながりました。
ソース: https://x.com/babbler_dabbler/status/1439987074594217986
2. 周杰倫のBored Ape NFTが盗まれる(2022年)
2022年4月、台湾のポップスターである周杰倫(Jay Chou)がSNSで発表しました。彼のBored Ape Yacht Club NFTが盗まれたことを。そのNFTの価値は約50万ドルと推定されています。周氏は、盗難が知らずにフィッシングリンクをクリックした後に発生したと述べています。
ハッカーはおそらくソーシャルエンジニアリングを使用し、ファンやプロジェクトスタッフをなりすまして悪意のあるリンクを送信した可能性があります。それをクリックした後、Chouは無意識に悪意のあるスマートコントラクトを承認し、ハッカーがNFTを転送することを許可しました。その資産は迅速に複数回転売され、追跡が非常に困難になりました。
ソース:https://cnalifestyle.channelnewsasia.com/entertainment/jay-chou-bored-ape-nft-stolen-308766
3.OpenSeaフィッシング攻撃(2022年)
2022年初頭、NFTマーケットプレイスのOpenSeaのユーザーが大規模なフィッシングキャンペーンの被害に遭いました。ハッカーは偽の電子メールを送信し、偽のウェブサイトを設定して、ユーザーを悪意のあるスマートコントラクトに署名させるよう誘いました。数時間以内に、攻撃者はBored Ape Yacht ClubやDecentralandの高価なアイテムを含む約2.5百万ドル相当の254個のNFTを盗みました。
ハッカーは、メールでOpenSeaをなりすまして、ユーザーに「アカウントのセキュリティに関する問題」について警告し、「検証」や「移行」を促しました。多くのユーザーがリンクの正当性を検証できず、フィッシングサイトにリダイレクトされ、悪意のある契約に承認したことで資産が盗まれる結果となりました。
ソース:https://www.halborn.com/blog/post/explained-the-opensea-phishing-hack-february-2022
4. Moonbirds NFT詐欺ー$1.5百万盗まれた(2022年5月)
ハッカーは悪意のあるリンクを拡散し、ユーザーを署名させるトランザクションに騙しました。これにより、推定750 ETH(当時の約150万ドル)相当の29匹のMoonbirds NFTが盗まれました。
ソース: https://x.com/CirrusNFT/status/1529296043547865088
5.AI音声ディープフェイク詐欺(2023年)
2023年中頃、ハッカーたちはAIを使用して企業の幹部の声を模倣し、財務チームのメンバーを騙して大金を振り込ませました。TRM Labsとブロックチェーン分析会社Chainalysisの2023年の報告によると、数百万ドルに及ぶ資金は、暗号通貨ミキサーを通じて洗浄されました。
6. Orbit Bridge Cross-Chain Protocol Hack — $80 Million Stolen (Dec 31, 2023)
2023年の大晦日、ハッカーはクロスチェーンブリッジOrbit Bridgeの脆弱性を悪用し、ETHやUSDCを含む約8000万ドル相当の暗号資産を盗みました。この侵害は内部者の鍵の漏洩が原因であると疑われています。盗まれた資金の一部は分散型プロトコルを通じて資金洗浄されました。
ソース:https://x.com/bitinning/status/1741783830372155620
7. DMM Bitcoin Private Key Leak — $300 Million Heist (May 31, 2024)
日本の長年の取引所であるDMM ビットコインは、ハッカーが漏洩した秘密鍵を使用して3億ドル相当のビットコインを10以上の別々のアドレスに転送したときに歴史的な侵害に見舞われました。取引所はオンチェーン追跡と資産凍結を試みましたが、攻撃者はミキサーを使用して資金洗浄を行い、秘密鍵のセキュリティと保管慣行の深刻な弱点を浮き彫りにしました。
ソース:https://www.elliptic.co/blog/dmm-bitcoin-loses-308-million-in-unauthorized-leak
デジタル資産を保護する方法
ブロックチェーンの世界では、セキュリティの脅威がいたるところにあります。物理的な孤立、運用上の安全対策、緊急対応からなる層状の防御システムを構築することで、資産の盗難リスクを大幅に低減することが可能です。
レイヤー1:物理的な孤立(ハードウェアウォレット&資産の分散化)
- 高額な資産を保管するためにハードウェアウォレット(例:Ledger、Trezor)を使用してください。
- ハードウェアウォレットはインターネットから隔離され、物理的に接続して確認された場合にのみ取引を承認し、リモートハッキングのリスクを大幅に低減します。
- 長期間にわたってホットウォレット(例:MetaMask)に大量の暗号通貨を保管しないでください。
- シングルポイントの障害を防ぐために、複数のウォレットに資産を分散させます。
- 使用目的に基づいてウォレットを分ける(例:取引ウォレット、長期保管ウォレット、日常利用ウォレット)
- 重要な資産をオンライン攻撃から守るために、コールドウォレット(オフラインストレージ)に保管してください。
Layer 2: 操作上の安全対策(慎重な承認&スマートコントラクトのチェック)
リンクには注意し、詐欺には注意してください
フィッシング攻撃に注意してください:
公式チームは、Telegram、Discord、またはX(Twitter)DMを介して秘密鍵やシードフレーズを要求することはありません。この情報の要求は詐欺です。プロジェクトの信頼性を確認する:
インタラクションをする前に、プロジェクトのソーシャルメディア、公式発表、情報源を二重チェックして、正当性を確認してください。スマートコントラクトの承認を慎重に管理してください
ウォレットを接続する前や取引に署名する前に、ウェブサイトのURLや契約アドレスを再度確認してください。偽のウェブサイトや悪意のある契約は重大な脅威です。
不要なスマートコントラクトの権限を定期的に取り消し、ハッカーが事前承認された契約を悪用する可能性を制限するために、Revoke.cashやEtherscanのトークン承認チェッカーなどのツールを使用してください。スマートコントラクトセキュリティ監査
NFTミントやDeFiプロジェクトに参加する前に、監査ツール(CertiK、PeckShield、SlowMistなど)を使用してスマートコントラクトのセキュリティを評価してください。これにより、悪意のあるコードや悪用可能な脆弱性にさらされるのを防ぐことができます。
ソース: https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d
レイヤー3:緊急対応(ウォレットが侵害された場合)
不審な活動や資産が盗まれたことに気づいた場合は、即座に行動を取る。
- 新しいウォレットを作成します:新しいプライベートキーを生成し、ハードウェアウォレットを使用して新しいウォレットのシードフレーズを安全に保存します。
- 悪意のある契約承認を取り消す:使用Revoke.cashまたはEtherscanのトークン承認ページで、疑わしい契約の承認をキャンセルし、さらなる損失を防ぎます。
- 残りの資産を移動します:不正アクセスされたウォレットから残高を素早く新しく作成したセキュアなウォレットに移動します。
- デバイスにマルウェアがないかどうかを確認してください: コンピューターと携帯電話で徹底的なウイルスおよびマルウェアスキャンを実行して、デバイスが感染していないことを確認してください。
- 2段階認証(2FA)を有効にする:取引所やウォレットサービスを含むすべての暗号通貨関連アカウントに2段階認証を有効にして、追加のセキュリティ層を追加します。
冷静になる — FOMOの罠を避ける
盲目にハイプに追随しないでください。市場の感情だけでなく、プロジェクトの長期的な価値を評価してから参加してください。
署名情報を注意深く確認してください:取引に署名する際は常に署名の内容を確認し、それがプライベートキーを公開したり悪意のある権限を付与しないことを確認してください。
仮想通貨の世界では、セキュリティが最優先事項です。この 3 層構造の防御システムをマスターすることで、資産の保護が大幅に強化され、不要なリスクが最小限に抑えられます。
結論
非代替性トークン(NFT)とデジタル資産は、これまでにない機会をもたらしますが、深刻なセキュリティ上の懸念も伴います。このデジタル領域では、財布を保護することは、物理的な世界で銀行口座を保護することと同じくらい重要です。ハッカーは常に戦術を進化させていますが、警戒を怠らず、基本的なセキュリティ慣行を理解することで、リスクを効果的に軽減できます。
ハッカーは、高値の資産の魅力、ブロックチェーン取引の不可逆性、および一般的に弱いユーザーセキュリティ意識のために、主にNFTユーザーを標的にしています。これらのリスクに対抗するためには、堅固なセキュリティ基盤を構築することが不可欠です。冷たいウォレットを使用し、定期的に権限を監査し、秘密鍵を安全に保管してください。セキュリティは、NFTエコシステムにおける最も重要な防衛ラインです。警戒心を持つことで、デジタル資産を真に保護することができます。
Related articles