index
index
ここからスタート
コース
記事
全てアルトコインビットコインブロックチェーンDeFiイーサリアムメタバースNFT取引チュートリアルFutures取引ボットBRC-20GameFiDAOマクロトレンドウォレットInscriptionテクノロジー「ミーム」AISocialFiDePin(ディーピン)ステーブルコインリキッド・ステーキング金融RWAモジュラー型ブロックチェーンゼロ知識証明「リステイキング」「暗号資産ツール」「エアドロップ」「Gateの商品」セキュリティプロジェクト分析CryptoPulseリサーチ TONエコシステム Layer 2Solana支払い マイニング
用語集
検索
私のコレクション
Creator Incentive
イベント
クリエイターズアリーナ
キャンパスアンバサダー
動画クリエイターコンテスト
デイリースタディチャレンジ
マスタークラスチャレンジ
ログイン
登録
QRコードをスキャンしてモバイルアプリをダウンロード
言語/地域を選択
简体中文EnglishTiếng Việt繁體中文РусскийPortuguês (Portugal)ไทยIndonesia日本語بالعربيةУкраїнськаPortuguês (Brasil)
上昇/下落カラー
変動%の開始終了時間
Learn
Web3セキュリティの初心者ガイド:エアドロップ詐欺の回避方法

Web3セキュリティの初心者ガイド:エアドロップ詐欺の回避方法

初級編11/18/2024, 5:29:56 AM
Web3プロジェクトに参加する際、ユーザーはしばしばリンクをクリックしたり、プロジェクトチームとインタラクトすることでエアドロップトークンを請求する必要があります。しかし、ハッカーたちは偽のウェブサイトからバックドアツールまで、このプロセスのすべての段階に罠を設置しています。このガイドでは、一般的なエアドロップ詐欺について説明し、それらに騙されないためのヒントを共有します。
チュートリアル「エアドロップ」セキュリティ

背景

前回のWeb3セキュリティ初心者ガイドマルチシグネチャを利用したフィッシング攻撃に焦点を当て、マルチシグネチャの動作方法、原因、およびウォレットが悪用されるのを防ぐ方法について説明しました。今回は、伝統的な産業と暗号通貨空間の両方で使用されている人気のあるマーケティング手法、エアドロップについて説明します。

エアドロップは、プロジェクトが目立ち、すばやくユーザーベースを構築するための迅速な方法です。Web3プロジェクトに参加する際、ユーザーはトークンを請求するためにリンクをクリックしたり、チームと対話したりするよう求められますが、ハッカーはプロセス全体にわたって罠を設置しています。偽のウェブサイトから隠れた悪意のあるツールまで、リスクは実際に存在します。このガイドでは、典型的なエアドロップ詐欺を解説し、自己を保護するための方法を説明します。

エアドロップとは何ですか?

エアドロップとは、Web3プロジェクトが特定のウォレットアドレスに無料のトークンを配布して、可視性を高め、ユーザーを引き付けるときのことです。これは、プロジェクトが注目を集めるための簡単な方法です。エアドロップは、どのようにして請求されるかに基づいて分類することができます。

  • Task-based: 特定のタスクを完了する、例えばシェア、いいね、その他のアクションなど。
  • インタラクティブ:トークンの交換、トークンの送受信、またはクロスチェーン操作などのアクションを完了します。
  • ホールドベース:特定のトークンを保有してエアドロップの対象になります。
  • ステーキングベース:トークンをステークし、流動性を提供し、または一定期間資産をロックしてエアドロップトークンを獲得します。

エアドロップの請求リスク

フェイクエアドロップ詐欺

以下は一般的な偽のエアドロップ詐欺の種類です:

  1. ハッカーは、プロジェクトの公式アカウントを乗っ取り、偽のエアドロップ告知を投稿します。よく「あるプロジェクトのXアカウントまたはDiscordアカウントがハッキングされました。ハッカーが投稿したフィッシングリンクをクリックしないでください。」などのアラートが表示されます。SlowMistの2024年の報告によると、年の前半には27件のハッキングされたプロジェクトアカウントがありました。公式アカウントを信頼しているユーザーは、これらのリンクをクリックして、エアドロップを装ったフィッシングウェブサイトに案内されます。これらのサイトでプライベートキーまたはシードフレーズを入力したり、権限を承認したりすると、ハッカーが資産を盗むことができます。

  1. ハッカーは、プロジェクトチームアカウントの高精度なコピーを使用して、公式プロジェクトアカウントのコメントセクションに偽のメッセージを投稿し、ユーザーを誘惑してフィッシングリンクをクリックさせます。SlowMistセキュリティチームは以前、この方法を分析し、対策を提供しました(参照フェイクプロジェクトチーム:模倣アカウントのコメントセクションでのフィッシングに注意). また、公式プロジェクトがエアドロップを発表した後、ハッカーはすぐに模倣アカウントを使用して、詐欺リンクを含む多くの更新をソーシャルプラットフォームに投稿します。偽のアカウントを識別できない多くのユーザーが、詐欺アプリをインストールしたり、フィッシングサイトを開いたりして署名認証操作を行うことになります。

(https://x.com/im23pds/status/1765577919819362702)

  1. 第三の詐欺手法はさらに悪質であり、古典的な詐欺です。詐欺師はWeb3プロジェクトグループで潜伏し、ターゲットユーザーを選び、ソーシャルエンジニアリング攻撃を行います。時には、エアドロップをおとりにして、ユーザーにトークンの送金方法を「教える」こともあります。ユーザーは用心し、彼らに「公式カスタマーサービス」であると連絡してきたり、操作方法を「教える」と主張する者を簡単に信用しないようにすべきです。これらの個人はほとんど詐欺師です。エアドロップを請求しているだけだと思うかもしれませんが、最終的には大きな損失を被ることになります。


「無料」エアドロップトークン:リスクの理解

エアドロップは、ユーザーが通常、無料のトークンを獲得するために特定のタスクを完了する必要がある仮想通貨空間で一般的です。ただし、これらの機会を悪用する悪質な慣行もあります。たとえば、ハッカーが実際の価値を持たないトークンをユーザーのウォレットに送りつける可能性があります。これにより、ユーザーはこれらのトークンとやり取りしようとしたり、価値を確認したり、分散型取引所で取引しようとしたりするかもしれません。しかし、詐欺NFT契約をリバースエンジニアリングした結果、NFTを転送したりリストしたりしようとすると失敗し、エラーメッセージが表示されます。「ウェブサイトを訪問してアイテムをアンロックしてください」とユーザーを誤解させ、フィッシングサイトを訪れるように誘導します。

もしユーザーがこれに引っかかってフィッシングサイトを訪れた場合、ハッカーはいくつかの有害な行動を取ることができます:

  • 「ゼロコスト」メカニズムを介した貴重なNFTの大量購入(「を参照してください」ゼロコストNFTフィッシング「詳細については」を参照してください。
  • 高額なトークンの承認や署名許可を盗む。
  • ユーザーのウォレットからネイティブアセットを盗む。

次に、ハッカーが注意深く作成した悪意のある契約を使用してユーザーのガス手数料を盗む方法を見てみましょう。まず、ハッカーはBSC上でGPT(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)という悪意のある契約を作成し、エアドロップされたトークンを使用してユーザーにその契約とのやり取りを行うよう誘います。ユーザーがこの悪意のある契約とやり取りすると、その契約にトークンを使用することを承認するためのリクエストが表示されます。ユーザーがこのリクエストを承認すると、悪意のある契約は自動的にユーザーのウォレット残高に基づいてガスリミットを増やし、その結果、後続の取引でより多くのガス手数料が発生します。

ユーザーが提供する高いガス制限を使用して、悪意のある契約は余分なガスを使用してCHIトークンを作成します(CHIトークンはガス補償に使用できます)。大量のCHIトークンを蓄積した後、ハッカーはこれらのトークンを燃やして契約が破棄されたときにガス補償を受け取ることができます。

(https://x.com/SlowMist_Team/status/1640614440294035456)

この方法を使って、ハッカーは巧妙にユーザーのガス料金から利益を得て、ユーザーは追加のガス料金を支払ったことに気づかないかもしれません。ユーザーは最初に、エアドロップされたトークンを売って利益を得ることができると思っていましたが、結局は自分のネイティブアセットを盗まれてしまいました。

バックドア付きツール

(https://x.com/evilcos/status/1593525621992599552)

エアドロップを請求する過程で、一部のユーザーはトークンの希少性を翻訳したり問い合わせたりするためにプラグインをダウンロードする必要があります。これらのプラグインのセキュリティは疑問視されており、一部のユーザーは非公式なソースからそれらをダウンロードするため、バックドア付きのプラグインをダウンロードするリスクが高まっています。

さらに、私たちは大量の相互作用を自動化することを謳うエアドロップスクリプトを販売するオンラインサービスがあることに気づきました。これは効率的なように聞こえますが、未検証のスクリプトをダウンロードすることは非常に危険ですので、ユーザーは注意が必要です。スクリプトのソースや実際の機能性を確認することはできません。それには悪意のあるコードが含まれている可能性があり、プライベートキーやシードフレーズを盗み出したり、他の不正な操作を実行したりする危険があります。さらに、一部のユーザーはウイルス対策ソフトウェアを実行せずにこのような危険な操作を実行するため、検出されないトロイの木馬感染につながり、デバイスに損害を与える可能性があります。

要約

このガイドは、詐欺を分析してエアドロップを主張するリスクについて説明しています。現在、多くのプロジェクトがエアドロップをマーケティングツールとして使用しています。ユーザーは、エアドロップの主張中に資産を失うリスクを減らすために次の対策を取ることができます:

  • マルチ認証:エアドロップのウェブサイトを訪れる際には、URLを注意深く確認してください。公式のプロジェクトアカウントや発表チャンネルを通じて確認してください。フィッシングサイトを特定するのにフィッシングリスクブロッキングプラグイン(Scam Snifferなど)をインストールすることもできます。
  • ウォレットセグメンテーション:エアドロップの請求には少額の資金を持つウォレットを使用し、大口の資金は冷たいウォレットに保管します。
  • エアドロップトークンには注意してください:不明な出所のエアドロップトークンには注意してください。急いで取引を承認したり署名したりすることを避けてください。
  • ガスリミットを確認してください:取引のガスリミットが異常に高い場合に注意してください。
  • アンチウイルスソフトウェアを使用する:よく知られたアンチウイルスソフトウェア(Kaspersky、AVGなど)を使用して、リアルタイムの保護を有効にし、ウイルス定義を最新の状態に保つことが重要です。

免責事項:

  1. この記事は、から転載されていますSlowMistテクノロジー, 著作権は元の作者 [SlowMist Security Team] に帰属します。この転載に異議がある場合は、お問い合わせください。ゲート レアンチームにお任せください、迅速に対応いたします。
  2. 責任の免責事項:この記事で表現されている意見はすべて著者個人のものであり、投資アドバイスを構成するものではありません。
  3. Gate Learnチームは記事を他の言語に翻訳しました。転載、配布、または翻訳された記事の盗用は、明示されていない限り禁止されています。

背景

エアドロップとは何ですか?

エアドロップのリスク

概要

Web3セキュリティの初心者ガイド:エアドロップ詐欺の回避方法

初級編11/18/2024, 5:29:56 AM
Web3プロジェクトに参加する際、ユーザーはしばしばリンクをクリックしたり、プロジェクトチームとインタラクトすることでエアドロップトークンを請求する必要があります。しかし、ハッカーたちは偽のウェブサイトからバックドアツールまで、このプロセスのすべての段階に罠を設置しています。このガイドでは、一般的なエアドロップ詐欺について説明し、それらに騙されないためのヒントを共有します。
チュートリアル「エアドロップ」セキュリティ

背景

エアドロップとは何ですか?

エアドロップのリスク

概要

背景

前回のWeb3セキュリティ初心者ガイドマルチシグネチャを利用したフィッシング攻撃に焦点を当て、マルチシグネチャの動作方法、原因、およびウォレットが悪用されるのを防ぐ方法について説明しました。今回は、伝統的な産業と暗号通貨空間の両方で使用されている人気のあるマーケティング手法、エアドロップについて説明します。

エアドロップは、プロジェクトが目立ち、すばやくユーザーベースを構築するための迅速な方法です。Web3プロジェクトに参加する際、ユーザーはトークンを請求するためにリンクをクリックしたり、チームと対話したりするよう求められますが、ハッカーはプロセス全体にわたって罠を設置しています。偽のウェブサイトから隠れた悪意のあるツールまで、リスクは実際に存在します。このガイドでは、典型的なエアドロップ詐欺を解説し、自己を保護するための方法を説明します。

エアドロップとは何ですか?

エアドロップとは、Web3プロジェクトが特定のウォレットアドレスに無料のトークンを配布して、可視性を高め、ユーザーを引き付けるときのことです。これは、プロジェクトが注目を集めるための簡単な方法です。エアドロップは、どのようにして請求されるかに基づいて分類することができます。

  • Task-based: 特定のタスクを完了する、例えばシェア、いいね、その他のアクションなど。
  • インタラクティブ:トークンの交換、トークンの送受信、またはクロスチェーン操作などのアクションを完了します。
  • ホールドベース:特定のトークンを保有してエアドロップの対象になります。
  • ステーキングベース:トークンをステークし、流動性を提供し、または一定期間資産をロックしてエアドロップトークンを獲得します。

エアドロップの請求リスク

フェイクエアドロップ詐欺

以下は一般的な偽のエアドロップ詐欺の種類です:

  1. ハッカーは、プロジェクトの公式アカウントを乗っ取り、偽のエアドロップ告知を投稿します。よく「あるプロジェクトのXアカウントまたはDiscordアカウントがハッキングされました。ハッカーが投稿したフィッシングリンクをクリックしないでください。」などのアラートが表示されます。SlowMistの2024年の報告によると、年の前半には27件のハッキングされたプロジェクトアカウントがありました。公式アカウントを信頼しているユーザーは、これらのリンクをクリックして、エアドロップを装ったフィッシングウェブサイトに案内されます。これらのサイトでプライベートキーまたはシードフレーズを入力したり、権限を承認したりすると、ハッカーが資産を盗むことができます。

  1. ハッカーは、プロジェクトチームアカウントの高精度なコピーを使用して、公式プロジェクトアカウントのコメントセクションに偽のメッセージを投稿し、ユーザーを誘惑してフィッシングリンクをクリックさせます。SlowMistセキュリティチームは以前、この方法を分析し、対策を提供しました(参照フェイクプロジェクトチーム:模倣アカウントのコメントセクションでのフィッシングに注意). また、公式プロジェクトがエアドロップを発表した後、ハッカーはすぐに模倣アカウントを使用して、詐欺リンクを含む多くの更新をソーシャルプラットフォームに投稿します。偽のアカウントを識別できない多くのユーザーが、詐欺アプリをインストールしたり、フィッシングサイトを開いたりして署名認証操作を行うことになります。

(https://x.com/im23pds/status/1765577919819362702)

  1. 第三の詐欺手法はさらに悪質であり、古典的な詐欺です。詐欺師はWeb3プロジェクトグループで潜伏し、ターゲットユーザーを選び、ソーシャルエンジニアリング攻撃を行います。時には、エアドロップをおとりにして、ユーザーにトークンの送金方法を「教える」こともあります。ユーザーは用心し、彼らに「公式カスタマーサービス」であると連絡してきたり、操作方法を「教える」と主張する者を簡単に信用しないようにすべきです。これらの個人はほとんど詐欺師です。エアドロップを請求しているだけだと思うかもしれませんが、最終的には大きな損失を被ることになります。


「無料」エアドロップトークン:リスクの理解

エアドロップは、ユーザーが通常、無料のトークンを獲得するために特定のタスクを完了する必要がある仮想通貨空間で一般的です。ただし、これらの機会を悪用する悪質な慣行もあります。たとえば、ハッカーが実際の価値を持たないトークンをユーザーのウォレットに送りつける可能性があります。これにより、ユーザーはこれらのトークンとやり取りしようとしたり、価値を確認したり、分散型取引所で取引しようとしたりするかもしれません。しかし、詐欺NFT契約をリバースエンジニアリングした結果、NFTを転送したりリストしたりしようとすると失敗し、エラーメッセージが表示されます。「ウェブサイトを訪問してアイテムをアンロックしてください」とユーザーを誤解させ、フィッシングサイトを訪れるように誘導します。

もしユーザーがこれに引っかかってフィッシングサイトを訪れた場合、ハッカーはいくつかの有害な行動を取ることができます:

  • 「ゼロコスト」メカニズムを介した貴重なNFTの大量購入(「を参照してください」ゼロコストNFTフィッシング「詳細については」を参照してください。
  • 高額なトークンの承認や署名許可を盗む。
  • ユーザーのウォレットからネイティブアセットを盗む。

次に、ハッカーが注意深く作成した悪意のある契約を使用してユーザーのガス手数料を盗む方法を見てみましょう。まず、ハッカーはBSC上でGPT(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)という悪意のある契約を作成し、エアドロップされたトークンを使用してユーザーにその契約とのやり取りを行うよう誘います。ユーザーがこの悪意のある契約とやり取りすると、その契約にトークンを使用することを承認するためのリクエストが表示されます。ユーザーがこのリクエストを承認すると、悪意のある契約は自動的にユーザーのウォレット残高に基づいてガスリミットを増やし、その結果、後続の取引でより多くのガス手数料が発生します。

ユーザーが提供する高いガス制限を使用して、悪意のある契約は余分なガスを使用してCHIトークンを作成します(CHIトークンはガス補償に使用できます)。大量のCHIトークンを蓄積した後、ハッカーはこれらのトークンを燃やして契約が破棄されたときにガス補償を受け取ることができます。

(https://x.com/SlowMist_Team/status/1640614440294035456)

この方法を使って、ハッカーは巧妙にユーザーのガス料金から利益を得て、ユーザーは追加のガス料金を支払ったことに気づかないかもしれません。ユーザーは最初に、エアドロップされたトークンを売って利益を得ることができると思っていましたが、結局は自分のネイティブアセットを盗まれてしまいました。

バックドア付きツール

(https://x.com/evilcos/status/1593525621992599552)

エアドロップを請求する過程で、一部のユーザーはトークンの希少性を翻訳したり問い合わせたりするためにプラグインをダウンロードする必要があります。これらのプラグインのセキュリティは疑問視されており、一部のユーザーは非公式なソースからそれらをダウンロードするため、バックドア付きのプラグインをダウンロードするリスクが高まっています。

さらに、私たちは大量の相互作用を自動化することを謳うエアドロップスクリプトを販売するオンラインサービスがあることに気づきました。これは効率的なように聞こえますが、未検証のスクリプトをダウンロードすることは非常に危険ですので、ユーザーは注意が必要です。スクリプトのソースや実際の機能性を確認することはできません。それには悪意のあるコードが含まれている可能性があり、プライベートキーやシードフレーズを盗み出したり、他の不正な操作を実行したりする危険があります。さらに、一部のユーザーはウイルス対策ソフトウェアを実行せずにこのような危険な操作を実行するため、検出されないトロイの木馬感染につながり、デバイスに損害を与える可能性があります。

要約

このガイドは、詐欺を分析してエアドロップを主張するリスクについて説明しています。現在、多くのプロジェクトがエアドロップをマーケティングツールとして使用しています。ユーザーは、エアドロップの主張中に資産を失うリスクを減らすために次の対策を取ることができます:

  • マルチ認証:エアドロップのウェブサイトを訪れる際には、URLを注意深く確認してください。公式のプロジェクトアカウントや発表チャンネルを通じて確認してください。フィッシングサイトを特定するのにフィッシングリスクブロッキングプラグイン(Scam Snifferなど)をインストールすることもできます。
  • ウォレットセグメンテーション:エアドロップの請求には少額の資金を持つウォレットを使用し、大口の資金は冷たいウォレットに保管します。
  • エアドロップトークンには注意してください:不明な出所のエアドロップトークンには注意してください。急いで取引を承認したり署名したりすることを避けてください。
  • ガスリミットを確認してください:取引のガスリミットが異常に高い場合に注意してください。
  • アンチウイルスソフトウェアを使用する:よく知られたアンチウイルスソフトウェア(Kaspersky、AVGなど)を使用して、リアルタイムの保護を有効にし、ウイルス定義を最新の状態に保つことが重要です。

免責事項:

  1. この記事は、から転載されていますSlowMistテクノロジー, 著作権は元の作者 [SlowMist Security Team] に帰属します。この転載に異議がある場合は、お問い合わせください。ゲート レアンチームにお任せください、迅速に対応いたします。
  2. 責任の免責事項:この記事で表現されている意見はすべて著者個人のものであり、投資アドバイスを構成するものではありません。
  3. Gate Learnチームは記事を他の言語に翻訳しました。転載、配布、または翻訳された記事の盗用は、明示されていない限り禁止されています。
今すぐ始める
登録して、
$100
のボーナスを獲得しよう!