エアドロップ詐欺防止ガイド
導入
エアドロップはWeb3プロジェクトにおける人気のあるマーケティング戦略です。通常、トークンは特定のウォレットアドレスに無料で配布され、ユーザーの参加や相互作用を促進し、新しいプロジェクトのユーザーベースを成長させ、可視性を高めるのに役立ちます。しかし、エアドロップのオープンな性質から、トラップを仕掛けるハッカーの主要なターゲットとなっています。フィッシング詐欺に引っかかることで、多くのユーザーが相当な資産を失っています。
近年、暗号市場の急速な成長が多くの投資家を惹きつけています。 ビットコインの時価総額は数千億ドルに達し、数十億ドルの代替コインプロジェクトが一般的になってきています。 多くのユーザーは、特に市場の変動があり、高いリターンの約束がさらに魅力的になった時に、投資機会を逃さないようにエアドロップに参加したがっています。 詐欺師やハッカーはこの熱意をすぐに利用し、エアドロップ詐欺が広まっています。
この記事では、一般的なエアドロップ詐欺を探求し、それらを避けるための実用的なアドバイスを提供します。さまざまな詐欺を分析し、予防的なヒントを提供することで、ユーザーはエアドロップに参加しながら資産をよりよく保護し、警戒心を持つことができます。
エアドロップとは何ですか?
Airdropの定義
エアドロップは、プロジェクトが特定のウォレットアドレスに無料でトークンを配布し、ユーザーを引き付けて市場露出を増やすためのWeb3マーケティング戦略です。
このアプローチは、プロジェクトのユーザーベースを拡大し、プロジェクトのエコシステムへのユーザー参加を促進し、相互作用とアクティビティを高めるのに役立ちます。エアドロップは、新しいプロジェクトに注目を集めるためのプロモーションキャンペーンとしばしば組み合わされており、ブランド認知度を高めるために重要なツールとなっています。
エアドロップの種類
ユーザーはさまざまな方法でエアドロップを受け取ることができ、一般的にいくつかのカテゴリに分類されます:
タスクベースのエアドロップ:ユーザーは特定のタスクを完了する必要があります。たとえば、コンテンツの共有、ソーシャルメディアの投稿のいいね、またはアンケートの回答などです。このタイプのエアドロップはユーザーの参加を促進し、プロジェクトに追加のプロモーション効果をもたらします。
インタラクションベースのエアドロップ:ユーザーはトークンのスワップ、送受信、またはクロスチェーン操作を行うことでトークンを請求することができます。これらのエアドロップは、ユーザーがプロジェクトとの関わりを深め、その機能とサービスを理解するのを支援することを目的としています。
ホールディングベースのエアドロップ:一部のプロジェクトは、特定のトークンを保有するユーザーに追加のトークンを与えることで報酬を提供します。これにより、プロジェクトのトークンの長期保有が促進され、市場の需要が増加します。
ステーキングベースのエアドロップ:ユーザーはステーキングや流動性の提供によってトークンを受け取ります。これらのエアドロップは、プロジェクトのエコシステムへの参加を促進し、トークンの流動性を向上させ、ユーザーに潜在的な収益を提供します。
全体的に、エアドロップは柔軟で多様なマーケティング戦略です。プロジェクトの可視性を迅速に高め、ユーザーの多様な興味に合わせて、Web3エコシステムとの関わりをより可能性を高めます。ただし、ユーザーは慎重であり、資産を脅かす可能性のある詐欺に注意する必要があります。
エアドロップ詐欺とは何ですか?
エアドロップ詐欺は、詐欺師がトークンやコインのプレゼントイベントとして偽装し、ユーザーを騙して相互作用させる不正な手口です。彼らは偽のエアドロップの機会を提供してユーザーを誘惑し、無料のトークンの魅力を利用して、疑う余地のない個人が悪意のあるウェブサイトにウォレットを接続するようにします。接続後、詐欺師は資産や機密情報を盗むことができ、データの漏洩や財務上の損失につながることがあります。
リアルな例
2024年1月、ソラナエコシステムの取引集約者であるJupiterは、早期のユーザーに報酬として7億ドルのエアドロップを発表しました。しかし、イベント前に、イーサリアムベースのトークンであるJUPが市場で異常な価格変動を示し、不正活動を示唆しました。
1月30日、エアドロップが始まる前日、JUPの価格は0.005ドルから0.026ドルまで急騰し、430%以上上昇し、市場の注目を集めました。その後すぐに価格は0.007ドルに戻りました。これはJupiterのエアドロップの直前に起こったことであり、詐欺師たちはこの状況を利用し、ユーザーを説得してウォレットを接続させ、偽のトークンと引き換えにすると言いました。
ソース: CoinmarketCap
その後、詐欺師たちはジュピターの人気を利用して公式チャネルをなりすまし、偽のエアドロップリンクと情報を共有しました。彼らはユーザーをフィッシングサイトに誘導し、彼らの暗号財布を接続させるように騙しました。ユーザーが接続すると、自動取引が実行され、彼らの財布から資金が抜き取られ、被害者はそれが遅すぎるまで気づかずに放置されました。
エアドロップ中にソラナネットワークの印象的なパフォーマンスを発揮したにもかかわらず、Phantom WalletやSolflareなどのサードパーティアプリを使用する際に多くのユーザーが問題に直面しました。ソラナ財団の戦略責任者であるオースティン・フェデラによれば、問題はリモート手続き呼び出し(RPC)ノードによって引き起こされ、一部のユーザーから広範な不満が出て、将来のエアドロップに対する信頼が損なわれました。
ジュピターエアドロップは最終的に成功を収めましたが、詐欺事件がイベントを陰で覆いました。この事例は、暗黙のうちに潜んでいる有害な詐欺が暗号市場でどれほど深刻なものであるかを示しており、暗号活動に参加する際にはユーザーが警戒する必要があることを強く印象づけます。
ソース: Jupiter/ X
一般的なエアドロップ詐欺
エアドロップがより人気を集めるにつれて、さまざまな詐欺も増えています。ハッカーや詐欺師は、ユーザーの信頼と無料トークンへの熱望を悪用して罠を仕掛けます。以下に、一般的なエアドロップ詐欺のタイプと詳細な説明を示します。
フェイクソーシャルメディアアカウント
これは最も一般的な詐欺の1つであり、特にハッカーがプロジェクトの公式ソーシャルメディアアカウント(Twitterなど)を乗っ取った場合には特にそうです。彼らはしばしばこれらのアカウントを制御したり、有名なプロジェクトやキーオピニオンリーダー(KOL)のソーシャルメディアスタイルを模倣した偽のプロジェクトアカウントを作成し、偽のエアドロップ情報を投稿します。
この詐欺の成功は、ユーザーが公式チャンネルへの信頼と無料トークンへの興奮を利用し、彼らの警戒心を低く保つ能力にあります。たとえば、有名なプロジェクトがエアドロップを発表すると、ハッカーはすぐに公式とほとんど同じように見える偽のアカウントを作成し、「公式のエアドロップ」情報のように見えるものを投稿するかもしれません。これにより、ユーザーは本物のものに見せかけたフィッシングウェブサイトに誘導されます。ユーザーがこれらのサイトから個人情報を入力したりファイルをダウンロードしたりすると、マルウェアが発動され、ウォレット資産が盗まれる可能性があります。
これらの詐欺は、特にエアドロップキャンペーン中に、ユーザーが無料のトークンを手に入れたいと熱望し、潜在的なリスクを見落とすことを利用しています。有名人や公式チャンネルから出たとされるエアドロップ情報に直面した場合、KOLに盲目的に信頼してはいけないことを思い出させるものです。ユーザーは常にプロジェクトの公式チャンネルを通じて情報を検証し、仮想資産が安全であることを確認すべきです。
偽のトークン
この詐欺では、ハッカーは無価値なトークンをユーザーのウォレットに送り、それらとやり取りすることを誘惑します。ユーザーはしばしばフィッシングウェブサイトにリダイレクトされ、これらのトークンをチェックまたは転送しようとすると、個人情報や資産を盗むことがあります。例えば、ハッカーはユーザーに「偽のエアドロップ通知」を送り、トークンを「アンロック」するためにフィッシングウェブサイトを訪れる必要があると主張し、ユーザーを本物のプロセスだと信じ込ませます。知らずに、ユーザーはプライベートキーまたはシードフレーズを入力し、資産が盗まれる可能性があります。
この詐欺の危険性は、ユーザーが取引を試みるまで、ウォレットが侵害されたことにすぐに気付かず、資産がすでに消えていることに気付く可能性があることです。このタイプの詐欺は、新しいトークンに対するユーザーの好奇心と無料の資産への欲求を食い物にし、潜在的な利益を追い求めながら警戒心を緩めることが多く、詐欺の被害に遭う可能性が高くなります。このようなリスクを回避するには、特にエアドロップ通知を受信するときは、常に警戒を怠らず、リンクをクリックしたり、添付ファイルをやみくもにダウンロードしたりしないでください。また、ユーザーはウォレットの取引履歴を定期的にチェックして、疑わしいアクティビティを早期に検出し、資産を保護するために必要な措置を講じることをお勧めします。
ソース:medium.com
悪意のある契約
他の詐欺手法とは異なり、悪意のある契約攻撃は、ユーザーが契約とやり取りする際にGas手数料を操作することに焦点を当てています。ハッカーは一見普通の契約を設計しますが、ユーザーを知らずに過剰なGas手数料を承認させるように騙します。
これらの攻撃は検出が難しく、ほとんどのユーザーが予期せずに高額な取引手数料を支払った後に気づくことがあります。たとえば、悪意のある契約では、ユーザーの残高に基づいてGasリミットを動的に増やし、ユーザーが通常の取引中に予想以上のGas手数料を支払わせることがあります。これにより、財務上の損失が生じることがあり、時にはハッカーが余分なGas手数料を得る一方で取引が失敗することもあります。
悪意のある契約とのやり取りのリスクを最小限に抑えるために、ユーザーは特に「ゼロコストの購入」や「自動化されたやり取り」を約束するものには特に注意する必要があります。
バックドア盗難
「バックドア」とは、デバイスやネットワーク上の標準的な認証手順をバイパスすることを可能にする方法を指し、ハッカーがデータベースやファイルサーバーなどのリソースにリモートでアクセスするための代替エントリーポイントを作成します。
暗号通貨では、一部のエアドロップは、トークンの希少性を表示したり、翻訳タスクを完了するために特定のプラグインのダウンロードをユーザーに求める場合があります。しかし、これらのプラグインは十分なセキュリティチェックを受けていない可能性があり、「バックドアプログラム」が含まれているかもしれません。インストールされると、ハッカーがリモートでユーザーの秘密鍵、シードフレーズを盗んだり、ウォレットを完全に制御したりすることができます。
別のシナリオでは、一部のユーザーが自動化されたスクリプトを使用して一括でエアドロップを請求し、時間を節約しようとしています。これらのスクリプトは便利に見えますが、重大なセキュリティリスクを伴います。多くのものは非公式のチャンネルを通じて配布され、未検証のコードが含まれており、ハッカーが悪意のあるプログラムを隠すことができます。これらのプログラムはユーザーの操作を記録し、データをリモートサーバーにアップロードし、最終的に機密情報を盗みます。
ソース:X
例えば、2022年12月24日には、Monkey Drainerというハッカーグループがエアドロッププラグインを偽装して攻撃を行い、ユーザーをプラグインのダウンロードや機密情報の入力に誘導しました。ユーザーが取引を完了するかスクリプトをダウンロードすると、プラグインは直ちにユーザーの秘密鍵やウォレットの認証情報を送信し、ハッカーが彼らの暗号資産を完全に制御し、最終的に何百万ドルもの暗号資産を盗むことができました。
このようなリスクを回避するために、ユーザーは公式のソースからのみプラグインをダウンロードし、未確認のサードパーティースクリプトを避けるべきです。また、ウォレットソフトウェアを常に最新の状態に保ち、インストール前にダウンロードしたファイルを信頼できるウイルス対策ソフトウェアでスキャンして、さらなるリスクを軽減するべきです。
警告サイン
非現実的な約束
エアドロッププロジェクトが、努力や投資を必要とせずに高いリターンを約束する場合、それはしばしば警戒すべき兆候です。詐欺師はしばしば、投資詐欺やプレゼントなど魅力的な機会を宣伝することで、ユーザーの速い利益を望む欲望を悪用します。しかし、彼らの本当の目的はユーザーを参加させ、最終的には資産を盗むことです。ユーザーはあまりにも良すぎると思われる約束には懐疑的でいるべきです。
不審なリクエスト
ユーザーにウォレットを不明なウェブサイトに接続させたり、個人情報を提供するよう求めるエアドロップは注意が必要です。正当なエアドロップは、ユーザーに秘密鍵、リカバリフレーズ、またはその他の個人情報を開示するよう求めることはありません。詐欺師はしばしば偽の要求を使用して機密情報を盗み、資産の窃盗につながるため、疑わしい要求を受け取ることは重大な警戒信号です。
透明性の欠如
エアドロップに参加する前に、プロジェクトに明確な文書、ホワイトペーパー、信頼できるチームメンバーがあるかどうかを常に確認してください。プロジェクトに透明性が欠如しているか、情報が検証しにくい場合、それは詐欺である可能性が高いです。
フィッシングの手口
ユーザーは、正規のプロジェクトやインフルエンサーを装った偽のWebサイト、電子メール、ソーシャルメディアアカウントなどのフィッシング戦術に警戒する必要があります。詐欺師は、ソーシャルメディアのスピードとユーザーの信頼を利用して偽の情報を迅速に拡散し、ユーザーを誘惑して悪意のあるリンクをクリックさせ、個人情報を盗み、それを悪用して不正な利益を得ます。
予防措置
ユーザー向け
情報源を確認する
エアドロップに参加する前に、詐欺を避けるためには、情報源の信憑性を確認することが重要です。ユーザーは、ソーシャル メディアでランダムに共有されるリンクに注意し、代わりに公式チャネルを通じてエアドロップの詳細を取得する必要があります。エアドロップのWebサイトにアクセスするときは、URLを注意深くチェックして、プロジェクトの公式サイトと一致していることを確認してください。さらに、ユーザーは公式発表や信頼できるニュースソースを確認することで、エアドロップの正当性を確認できます。
独立したウォレットを使用してください
潜在的なリスクを減らすために、ユーザーは、メインの資産を別のウォレットに保管しながら、エアドロップの活動のために特別なウォレットを作成することを検討すべきです。
この別のウォレットは、相互作用型エアドロップへの参加や新しいプロジェクトのテストなどの高リスクな活動にのみ使用するべきです。メインの資産は冷たいウォレットに安全に保管しながら、この方法はエアドロップの相互作用中に貴重な資産をハッカーに失うリスクを最小限に抑えるのに役立ちます。
ガス料金をチェック
異常に高いガス制限は、取引のいくつかのパラメータが不正に操作されて手数料を違法に増やして利益を得るための兆候であることがしばしばあります。これは特に、エアドロップ後のやり取りの際によく見られます。いくつかの契約は、ユーザーがガス手数料に注意を払っていないことを利用し、予想よりもはるかに高い手数料を支払わせます。ガス手数料が異常に高い場合、ユーザーは注意が必要です。悪意のある契約が関与している可能性があります。
不明なトークンとのやり取りを避けてください
ハッカーはしばしば価値のないトークンをユーザーのウォレットにエアドロップし、これらのトークンとのやり取りを誘導します。これらのトークンは合法的に見えるかもしれませんが、その存在は「無料の報酬」の幻想を作り出し、ユーザーにトークンの送金を許可したり、秘密鍵情報を公開したりする誘惑を与えます。
ユーザーが要求したことのないトークンをウォレットで見つけた場合、最も安全な対応はこれらの不明なトークンを無視し、何のやり取りも行わないことです。悪意のある契約を引き起こす可能性があるため、決してトランザクションを承認したり、そのようなトークンを転送しようとしないでください。
アンチウイルスソフトウェアを使用してください
ユーザーは、エアドロップ関連のプラグインやスクリプトをダウンロードする際に、常にリアルタイムの保護の下にデバイスがあることを確認するため、信頼できるアンチウイルスソフトウェアをインストールしてアクティベートする必要があります。これにより、マルウェア攻撃が早期にブロックされることで、攻撃を防ぐのに役立ちます。
さらに、Scam Snifferのようなフィッシングリスク検出ツールを使用することをお勧めします。これらのツールは、既知のフィッシングウェブサイトや悪意のあるアドレスを自動的に識別し、ユーザーに警告し、オンライン脅威に対するより良い保護を提供します。
プロジェクトについて
エアドロップ詐欺を防ぐために、プロジェクトチームは次のような包括的なセキュリティ対策も採用する必要があります:
セキュリティ監査
プロジェクトチームは定期的に包括的なセキュリティ監査を実施する必要があります。特に重要なユーザーインタラクションポイントでの監査を行うことで、コードやプロセスをシステム的に評価し、潜在的な脆弱性を迅速に特定して修正することができ、ユーザーの信頼性を高めることができます。
定期的な監査は、プロジェクトチームが常に最新のセキュリティ基準に合致し、常に変化する仮想通貨エコシステムにおいてユーザーデータと資金の安全性を確保するのに役立ちます。
効果的なリスクアラート
取引を行う前に、ウォレットはユーザーに対してターゲットアドレスの再確認を促すようにする必要があります。類似の末尾を持つアドレスがある詐欺からの保護のためです。さらに、プロジェクトチームはホワイトリスト機能を実装することができます。ユーザーは頻繁に使用するアドレスをホワイトリストに追加して、そのような攻撃のリスクを減らすことができます。
プロジェクトは、コミュニティ内で既知のフィッシングウェブサイトに関する情報を収集および共有することもできます。これにより、ユーザーはこれらのサイトとやり取りする際に警告を受け取り、セキュリティ意識を高め、より良い保護を提供できます。
署名認識と警告
ウォレットには、特にブラインド署名に関して、危険な署名要求を認識し、ユーザーに警告する機能が備わっているべきです。これにより、ユーザーはどのような行動をしようとしているのかをよりよく理解し、取引を確認する際により注意深くなることができます。
トランザクションの透明性向上
ユーザーがトランザクションを実行する前に、プロジェクトチームは関連する契約を開示し、DAppトランザクションの構造などの明確な詳細を提供する必要があります。この透明性により、ユーザーは情報を得て判断を下すことができ、意図しないセキュリティの問題のリスクを低減することができます。
この情報を提供することで、プロジェクトはユーザーの信頼を築き、プラットフォームの信頼性を向上させ、ユーザーが誤った操作による資産の損失を防ぐためにエコシステムをよりよく理解できるようにすることができます。
事前実行メカニズム
取引が実行される前に取引の結果をシミュレートするプリエグゼキューションメカニズムを使用すると、ユーザーは可能な結果をプレビューできます。これにより、取引が合理的かつ安全かどうかを評価できます。プリエグゼキューションフィードバックに基づいて、ユーザーは取引が期待に応じているかどうかを決定し、より慎重になり衝動的な決定のリスクを減らすことができます。
AMLコンプライアンスアラート
送金前に、プロジェクトチームは、取引先のアドレスをマネーロンダリング防止(AML)メカニズムを通じて監視する必要があります。トランザクション前にコンプライアンスチェックを完了し、アドレスがAMLルールに違反した場合はユーザーに警告を表示し、疑わしい口座や制裁対象のエンティティからの資金を保護し、潜在的な法的および金融リスクを軽減するようにします。
結論
Web3エコシステムが成長するにつれて、エアドロップはプロジェクトやユーザーにとって大きな可能性を秘めた非常に柔軟なマーケティング戦略のままです。ただし、詐欺のリスクを無視してはなりません。この記事では、エアドロップの定義、一般的なタイプ、詐欺の手法について分析し、エアドロップ活動に従事する際のユーザーの警戒が必要であることを強調しています。同時に、プロジェクトチームがユーザーの信頼とセキュリティを向上させる責任を強調しています。
将来の技術革新とエコシステムの改善により、エアドロップ活動はより高度なセキュリティ対策と統合され、より透明で信頼性のある市場を作り出す可能性が高いです。革新的な保護メカニズムとユーザー教育を通じて、プロジェクトとユーザーはリスクを効果的に緩和しながらエアドロップの恩恵を享受し、Web3エコシステムの健全な発展と繁栄を推進することができます。
関連記事
ゲートペイとは何ですか?
PolygonScanとは何か、どのように使うのか?
エアドロップ詐欺防止ガイド
導入
エアドロップはWeb3プロジェクトにおける人気のあるマーケティング戦略です。通常、トークンは特定のウォレットアドレスに無料で配布され、ユーザーの参加や相互作用を促進し、新しいプロジェクトのユーザーベースを成長させ、可視性を高めるのに役立ちます。しかし、エアドロップのオープンな性質から、トラップを仕掛けるハッカーの主要なターゲットとなっています。フィッシング詐欺に引っかかることで、多くのユーザーが相当な資産を失っています。
近年、暗号市場の急速な成長が多くの投資家を惹きつけています。 ビットコインの時価総額は数千億ドルに達し、数十億ドルの代替コインプロジェクトが一般的になってきています。 多くのユーザーは、特に市場の変動があり、高いリターンの約束がさらに魅力的になった時に、投資機会を逃さないようにエアドロップに参加したがっています。 詐欺師やハッカーはこの熱意をすぐに利用し、エアドロップ詐欺が広まっています。
この記事では、一般的なエアドロップ詐欺を探求し、それらを避けるための実用的なアドバイスを提供します。さまざまな詐欺を分析し、予防的なヒントを提供することで、ユーザーはエアドロップに参加しながら資産をよりよく保護し、警戒心を持つことができます。
エアドロップとは何ですか?
Airdropの定義
エアドロップは、プロジェクトが特定のウォレットアドレスに無料でトークンを配布し、ユーザーを引き付けて市場露出を増やすためのWeb3マーケティング戦略です。
このアプローチは、プロジェクトのユーザーベースを拡大し、プロジェクトのエコシステムへのユーザー参加を促進し、相互作用とアクティビティを高めるのに役立ちます。エアドロップは、新しいプロジェクトに注目を集めるためのプロモーションキャンペーンとしばしば組み合わされており、ブランド認知度を高めるために重要なツールとなっています。
エアドロップの種類
ユーザーはさまざまな方法でエアドロップを受け取ることができ、一般的にいくつかのカテゴリに分類されます:
タスクベースのエアドロップ:ユーザーは特定のタスクを完了する必要があります。たとえば、コンテンツの共有、ソーシャルメディアの投稿のいいね、またはアンケートの回答などです。このタイプのエアドロップはユーザーの参加を促進し、プロジェクトに追加のプロモーション効果をもたらします。
インタラクションベースのエアドロップ:ユーザーはトークンのスワップ、送受信、またはクロスチェーン操作を行うことでトークンを請求することができます。これらのエアドロップは、ユーザーがプロジェクトとの関わりを深め、その機能とサービスを理解するのを支援することを目的としています。
ホールディングベースのエアドロップ:一部のプロジェクトは、特定のトークンを保有するユーザーに追加のトークンを与えることで報酬を提供します。これにより、プロジェクトのトークンの長期保有が促進され、市場の需要が増加します。
ステーキングベースのエアドロップ:ユーザーはステーキングや流動性の提供によってトークンを受け取ります。これらのエアドロップは、プロジェクトのエコシステムへの参加を促進し、トークンの流動性を向上させ、ユーザーに潜在的な収益を提供します。
全体的に、エアドロップは柔軟で多様なマーケティング戦略です。プロジェクトの可視性を迅速に高め、ユーザーの多様な興味に合わせて、Web3エコシステムとの関わりをより可能性を高めます。ただし、ユーザーは慎重であり、資産を脅かす可能性のある詐欺に注意する必要があります。
エアドロップ詐欺とは何ですか?
エアドロップ詐欺は、詐欺師がトークンやコインのプレゼントイベントとして偽装し、ユーザーを騙して相互作用させる不正な手口です。彼らは偽のエアドロップの機会を提供してユーザーを誘惑し、無料のトークンの魅力を利用して、疑う余地のない個人が悪意のあるウェブサイトにウォレットを接続するようにします。接続後、詐欺師は資産や機密情報を盗むことができ、データの漏洩や財務上の損失につながることがあります。
リアルな例
2024年1月、ソラナエコシステムの取引集約者であるJupiterは、早期のユーザーに報酬として7億ドルのエアドロップを発表しました。しかし、イベント前に、イーサリアムベースのトークンであるJUPが市場で異常な価格変動を示し、不正活動を示唆しました。
1月30日、エアドロップが始まる前日、JUPの価格は0.005ドルから0.026ドルまで急騰し、430%以上上昇し、市場の注目を集めました。その後すぐに価格は0.007ドルに戻りました。これはJupiterのエアドロップの直前に起こったことであり、詐欺師たちはこの状況を利用し、ユーザーを説得してウォレットを接続させ、偽のトークンと引き換えにすると言いました。
ソース: CoinmarketCap
その後、詐欺師たちはジュピターの人気を利用して公式チャネルをなりすまし、偽のエアドロップリンクと情報を共有しました。彼らはユーザーをフィッシングサイトに誘導し、彼らの暗号財布を接続させるように騙しました。ユーザーが接続すると、自動取引が実行され、彼らの財布から資金が抜き取られ、被害者はそれが遅すぎるまで気づかずに放置されました。
エアドロップ中にソラナネットワークの印象的なパフォーマンスを発揮したにもかかわらず、Phantom WalletやSolflareなどのサードパーティアプリを使用する際に多くのユーザーが問題に直面しました。ソラナ財団の戦略責任者であるオースティン・フェデラによれば、問題はリモート手続き呼び出し(RPC)ノードによって引き起こされ、一部のユーザーから広範な不満が出て、将来のエアドロップに対する信頼が損なわれました。
ジュピターエアドロップは最終的に成功を収めましたが、詐欺事件がイベントを陰で覆いました。この事例は、暗黙のうちに潜んでいる有害な詐欺が暗号市場でどれほど深刻なものであるかを示しており、暗号活動に参加する際にはユーザーが警戒する必要があることを強く印象づけます。
ソース: Jupiter/ X
一般的なエアドロップ詐欺
エアドロップがより人気を集めるにつれて、さまざまな詐欺も増えています。ハッカーや詐欺師は、ユーザーの信頼と無料トークンへの熱望を悪用して罠を仕掛けます。以下に、一般的なエアドロップ詐欺のタイプと詳細な説明を示します。
フェイクソーシャルメディアアカウント
これは最も一般的な詐欺の1つであり、特にハッカーがプロジェクトの公式ソーシャルメディアアカウント(Twitterなど)を乗っ取った場合には特にそうです。彼らはしばしばこれらのアカウントを制御したり、有名なプロジェクトやキーオピニオンリーダー(KOL)のソーシャルメディアスタイルを模倣した偽のプロジェクトアカウントを作成し、偽のエアドロップ情報を投稿します。
この詐欺の成功は、ユーザーが公式チャンネルへの信頼と無料トークンへの興奮を利用し、彼らの警戒心を低く保つ能力にあります。たとえば、有名なプロジェクトがエアドロップを発表すると、ハッカーはすぐに公式とほとんど同じように見える偽のアカウントを作成し、「公式のエアドロップ」情報のように見えるものを投稿するかもしれません。これにより、ユーザーは本物のものに見せかけたフィッシングウェブサイトに誘導されます。ユーザーがこれらのサイトから個人情報を入力したりファイルをダウンロードしたりすると、マルウェアが発動され、ウォレット資産が盗まれる可能性があります。
これらの詐欺は、特にエアドロップキャンペーン中に、ユーザーが無料のトークンを手に入れたいと熱望し、潜在的なリスクを見落とすことを利用しています。有名人や公式チャンネルから出たとされるエアドロップ情報に直面した場合、KOLに盲目的に信頼してはいけないことを思い出させるものです。ユーザーは常にプロジェクトの公式チャンネルを通じて情報を検証し、仮想資産が安全であることを確認すべきです。
偽のトークン
この詐欺では、ハッカーは無価値なトークンをユーザーのウォレットに送り、それらとやり取りすることを誘惑します。ユーザーはしばしばフィッシングウェブサイトにリダイレクトされ、これらのトークンをチェックまたは転送しようとすると、個人情報や資産を盗むことがあります。例えば、ハッカーはユーザーに「偽のエアドロップ通知」を送り、トークンを「アンロック」するためにフィッシングウェブサイトを訪れる必要があると主張し、ユーザーを本物のプロセスだと信じ込ませます。知らずに、ユーザーはプライベートキーまたはシードフレーズを入力し、資産が盗まれる可能性があります。
この詐欺の危険性は、ユーザーが取引を試みるまで、ウォレットが侵害されたことにすぐに気付かず、資産がすでに消えていることに気付く可能性があることです。このタイプの詐欺は、新しいトークンに対するユーザーの好奇心と無料の資産への欲求を食い物にし、潜在的な利益を追い求めながら警戒心を緩めることが多く、詐欺の被害に遭う可能性が高くなります。このようなリスクを回避するには、特にエアドロップ通知を受信するときは、常に警戒を怠らず、リンクをクリックしたり、添付ファイルをやみくもにダウンロードしたりしないでください。また、ユーザーはウォレットの取引履歴を定期的にチェックして、疑わしいアクティビティを早期に検出し、資産を保護するために必要な措置を講じることをお勧めします。
ソース:medium.com
悪意のある契約
他の詐欺手法とは異なり、悪意のある契約攻撃は、ユーザーが契約とやり取りする際にGas手数料を操作することに焦点を当てています。ハッカーは一見普通の契約を設計しますが、ユーザーを知らずに過剰なGas手数料を承認させるように騙します。
これらの攻撃は検出が難しく、ほとんどのユーザーが予期せずに高額な取引手数料を支払った後に気づくことがあります。たとえば、悪意のある契約では、ユーザーの残高に基づいてGasリミットを動的に増やし、ユーザーが通常の取引中に予想以上のGas手数料を支払わせることがあります。これにより、財務上の損失が生じることがあり、時にはハッカーが余分なGas手数料を得る一方で取引が失敗することもあります。
悪意のある契約とのやり取りのリスクを最小限に抑えるために、ユーザーは特に「ゼロコストの購入」や「自動化されたやり取り」を約束するものには特に注意する必要があります。
バックドア盗難
「バックドア」とは、デバイスやネットワーク上の標準的な認証手順をバイパスすることを可能にする方法を指し、ハッカーがデータベースやファイルサーバーなどのリソースにリモートでアクセスするための代替エントリーポイントを作成します。
暗号通貨では、一部のエアドロップは、トークンの希少性を表示したり、翻訳タスクを完了するために特定のプラグインのダウンロードをユーザーに求める場合があります。しかし、これらのプラグインは十分なセキュリティチェックを受けていない可能性があり、「バックドアプログラム」が含まれているかもしれません。インストールされると、ハッカーがリモートでユーザーの秘密鍵、シードフレーズを盗んだり、ウォレットを完全に制御したりすることができます。
別のシナリオでは、一部のユーザーが自動化されたスクリプトを使用して一括でエアドロップを請求し、時間を節約しようとしています。これらのスクリプトは便利に見えますが、重大なセキュリティリスクを伴います。多くのものは非公式のチャンネルを通じて配布され、未検証のコードが含まれており、ハッカーが悪意のあるプログラムを隠すことができます。これらのプログラムはユーザーの操作を記録し、データをリモートサーバーにアップロードし、最終的に機密情報を盗みます。
ソース:X
例えば、2022年12月24日には、Monkey Drainerというハッカーグループがエアドロッププラグインを偽装して攻撃を行い、ユーザーをプラグインのダウンロードや機密情報の入力に誘導しました。ユーザーが取引を完了するかスクリプトをダウンロードすると、プラグインは直ちにユーザーの秘密鍵やウォレットの認証情報を送信し、ハッカーが彼らの暗号資産を完全に制御し、最終的に何百万ドルもの暗号資産を盗むことができました。
このようなリスクを回避するために、ユーザーは公式のソースからのみプラグインをダウンロードし、未確認のサードパーティースクリプトを避けるべきです。また、ウォレットソフトウェアを常に最新の状態に保ち、インストール前にダウンロードしたファイルを信頼できるウイルス対策ソフトウェアでスキャンして、さらなるリスクを軽減するべきです。
警告サイン
非現実的な約束
エアドロッププロジェクトが、努力や投資を必要とせずに高いリターンを約束する場合、それはしばしば警戒すべき兆候です。詐欺師はしばしば、投資詐欺やプレゼントなど魅力的な機会を宣伝することで、ユーザーの速い利益を望む欲望を悪用します。しかし、彼らの本当の目的はユーザーを参加させ、最終的には資産を盗むことです。ユーザーはあまりにも良すぎると思われる約束には懐疑的でいるべきです。
不審なリクエスト
ユーザーにウォレットを不明なウェブサイトに接続させたり、個人情報を提供するよう求めるエアドロップは注意が必要です。正当なエアドロップは、ユーザーに秘密鍵、リカバリフレーズ、またはその他の個人情報を開示するよう求めることはありません。詐欺師はしばしば偽の要求を使用して機密情報を盗み、資産の窃盗につながるため、疑わしい要求を受け取ることは重大な警戒信号です。
透明性の欠如
エアドロップに参加する前に、プロジェクトに明確な文書、ホワイトペーパー、信頼できるチームメンバーがあるかどうかを常に確認してください。プロジェクトに透明性が欠如しているか、情報が検証しにくい場合、それは詐欺である可能性が高いです。
フィッシングの手口
ユーザーは、正規のプロジェクトやインフルエンサーを装った偽のWebサイト、電子メール、ソーシャルメディアアカウントなどのフィッシング戦術に警戒する必要があります。詐欺師は、ソーシャルメディアのスピードとユーザーの信頼を利用して偽の情報を迅速に拡散し、ユーザーを誘惑して悪意のあるリンクをクリックさせ、個人情報を盗み、それを悪用して不正な利益を得ます。
予防措置
ユーザー向け
情報源を確認する
エアドロップに参加する前に、詐欺を避けるためには、情報源の信憑性を確認することが重要です。ユーザーは、ソーシャル メディアでランダムに共有されるリンクに注意し、代わりに公式チャネルを通じてエアドロップの詳細を取得する必要があります。エアドロップのWebサイトにアクセスするときは、URLを注意深くチェックして、プロジェクトの公式サイトと一致していることを確認してください。さらに、ユーザーは公式発表や信頼できるニュースソースを確認することで、エアドロップの正当性を確認できます。
独立したウォレットを使用してください
潜在的なリスクを減らすために、ユーザーは、メインの資産を別のウォレットに保管しながら、エアドロップの活動のために特別なウォレットを作成することを検討すべきです。
この別のウォレットは、相互作用型エアドロップへの参加や新しいプロジェクトのテストなどの高リスクな活動にのみ使用するべきです。メインの資産は冷たいウォレットに安全に保管しながら、この方法はエアドロップの相互作用中に貴重な資産をハッカーに失うリスクを最小限に抑えるのに役立ちます。
ガス料金をチェック
異常に高いガス制限は、取引のいくつかのパラメータが不正に操作されて手数料を違法に増やして利益を得るための兆候であることがしばしばあります。これは特に、エアドロップ後のやり取りの際によく見られます。いくつかの契約は、ユーザーがガス手数料に注意を払っていないことを利用し、予想よりもはるかに高い手数料を支払わせます。ガス手数料が異常に高い場合、ユーザーは注意が必要です。悪意のある契約が関与している可能性があります。
不明なトークンとのやり取りを避けてください
ハッカーはしばしば価値のないトークンをユーザーのウォレットにエアドロップし、これらのトークンとのやり取りを誘導します。これらのトークンは合法的に見えるかもしれませんが、その存在は「無料の報酬」の幻想を作り出し、ユーザーにトークンの送金を許可したり、秘密鍵情報を公開したりする誘惑を与えます。
ユーザーが要求したことのないトークンをウォレットで見つけた場合、最も安全な対応はこれらの不明なトークンを無視し、何のやり取りも行わないことです。悪意のある契約を引き起こす可能性があるため、決してトランザクションを承認したり、そのようなトークンを転送しようとしないでください。
アンチウイルスソフトウェアを使用してください
ユーザーは、エアドロップ関連のプラグインやスクリプトをダウンロードする際に、常にリアルタイムの保護の下にデバイスがあることを確認するため、信頼できるアンチウイルスソフトウェアをインストールしてアクティベートする必要があります。これにより、マルウェア攻撃が早期にブロックされることで、攻撃を防ぐのに役立ちます。
さらに、Scam Snifferのようなフィッシングリスク検出ツールを使用することをお勧めします。これらのツールは、既知のフィッシングウェブサイトや悪意のあるアドレスを自動的に識別し、ユーザーに警告し、オンライン脅威に対するより良い保護を提供します。
プロジェクトについて
エアドロップ詐欺を防ぐために、プロジェクトチームは次のような包括的なセキュリティ対策も採用する必要があります:
セキュリティ監査
プロジェクトチームは定期的に包括的なセキュリティ監査を実施する必要があります。特に重要なユーザーインタラクションポイントでの監査を行うことで、コードやプロセスをシステム的に評価し、潜在的な脆弱性を迅速に特定して修正することができ、ユーザーの信頼性を高めることができます。
定期的な監査は、プロジェクトチームが常に最新のセキュリティ基準に合致し、常に変化する仮想通貨エコシステムにおいてユーザーデータと資金の安全性を確保するのに役立ちます。
効果的なリスクアラート
取引を行う前に、ウォレットはユーザーに対してターゲットアドレスの再確認を促すようにする必要があります。類似の末尾を持つアドレスがある詐欺からの保護のためです。さらに、プロジェクトチームはホワイトリスト機能を実装することができます。ユーザーは頻繁に使用するアドレスをホワイトリストに追加して、そのような攻撃のリスクを減らすことができます。
プロジェクトは、コミュニティ内で既知のフィッシングウェブサイトに関する情報を収集および共有することもできます。これにより、ユーザーはこれらのサイトとやり取りする際に警告を受け取り、セキュリティ意識を高め、より良い保護を提供できます。
署名認識と警告
ウォレットには、特にブラインド署名に関して、危険な署名要求を認識し、ユーザーに警告する機能が備わっているべきです。これにより、ユーザーはどのような行動をしようとしているのかをよりよく理解し、取引を確認する際により注意深くなることができます。
トランザクションの透明性向上
ユーザーがトランザクションを実行する前に、プロジェクトチームは関連する契約を開示し、DAppトランザクションの構造などの明確な詳細を提供する必要があります。この透明性により、ユーザーは情報を得て判断を下すことができ、意図しないセキュリティの問題のリスクを低減することができます。
この情報を提供することで、プロジェクトはユーザーの信頼を築き、プラットフォームの信頼性を向上させ、ユーザーが誤った操作による資産の損失を防ぐためにエコシステムをよりよく理解できるようにすることができます。
事前実行メカニズム
取引が実行される前に取引の結果をシミュレートするプリエグゼキューションメカニズムを使用すると、ユーザーは可能な結果をプレビューできます。これにより、取引が合理的かつ安全かどうかを評価できます。プリエグゼキューションフィードバックに基づいて、ユーザーは取引が期待に応じているかどうかを決定し、より慎重になり衝動的な決定のリスクを減らすことができます。
AMLコンプライアンスアラート
送金前に、プロジェクトチームは、取引先のアドレスをマネーロンダリング防止(AML)メカニズムを通じて監視する必要があります。トランザクション前にコンプライアンスチェックを完了し、アドレスがAMLルールに違反した場合はユーザーに警告を表示し、疑わしい口座や制裁対象のエンティティからの資金を保護し、潜在的な法的および金融リスクを軽減するようにします。
結論
Web3エコシステムが成長するにつれて、エアドロップはプロジェクトやユーザーにとって大きな可能性を秘めた非常に柔軟なマーケティング戦略のままです。ただし、詐欺のリスクを無視してはなりません。この記事では、エアドロップの定義、一般的なタイプ、詐欺の手法について分析し、エアドロップ活動に従事する際のユーザーの警戒が必要であることを強調しています。同時に、プロジェクトチームがユーザーの信頼とセキュリティを向上させる責任を強調しています。
将来の技術革新とエコシステムの改善により、エアドロップ活動はより高度なセキュリティ対策と統合され、より透明で信頼性のある市場を作り出す可能性が高いです。革新的な保護メカニズムとユーザー教育を通じて、プロジェクトとユーザーはリスクを効果的に緩和しながらエアドロップの恩恵を享受し、Web3エコシステムの健全な発展と繁栄を推進することができます。
関連記事
ゲートペイとは何ですか?