暗号通貨分野での頻繁な詐欺と盗難:一般の人々はどのように身を守ることができますか?
コインテレグラフによると、詐欺は再び暗号資産犯罪の主要な要因となっており、2023年には46億ドルの直接的な損失を引き起こしました。
セルティックデータレポートによると、2024年第1四半期に暗号通貨セクターで223件の重要なオンチェーンセキュリティインシデントがあり、これにより5億ドルの損失が発生しました。さらに、最近のスロウミストレポートによると、先月(5月)には31件以上の注目すべきセキュリティインシデントがあり、ハッキング、フィッシング詐欺、アカウント盗難、ラグプルによる1億2400万ドルの損失が発生しました。 これは、4月と比較して約52.5%増加しています。
さらに、OKXユーザーから大量の資金が盗まれたとされる事件は、一部のユーザーから相当な資金を失わせるだけでなく、今月には6億3000万ドルのユーザー資金が取引所から引き出されたと報じられています。
これらの事件は私たちが知っているものだけです。新参者を狙った「豚肉切り」詐欺など、多くの詐欺は数量化することが難しいです。
だから私はいつもこの分野の新参者に対して2つの基本原則を強調しています。まず初めに、初期資本を守ること、そして次に、理解していないものを避けること。要するに、常にセキュリティ意識を最優先にすることです。以前の記事でセキュリティに関するいくつかのポイントをまとめました。今日は、一般的なセキュリティの問題点を強調することで、この議論を続けます。
1. defiプロトコルの脆弱性
DeFiにおける一般的な脆弱性には、フラッシュローン攻撃やオラクルの操作があり、それらはどちらもDeFiプロトコルのリソースを枯渇させる可能性があります。
フラッシュローンは、担保を提供せずにプロトコルプールから任意の量の暗号資産を借りることを可能にする革新的なDeFi製品です。元本と利子を同じ取引(1ブロック)内で返済すればよいです。フラッシュローンの利点は、市場の裁定機会を利用し、低コストで高リターンの取引を実現できることです。リスクは、指定された時間内に返済できない場合、取引がキャンセルされ、取引手数料と利子が失われることです。
フラッシュローン攻撃は、同じブロックチェーンネットワーク上で複数の借入および取引操作を迅速に実行することによって、スマートコントラクト内でエラーを引き起こし、攻撃者が不当な利益を得ることを可能にします。たとえば、5月14日には、Compoundに基づくOptimismネイティブの貸出プロトコルであるSonne Financeがフラッシュローン攻撃を受け、2000万ドル以上の損失を被りました。
オラクルは、外部情報(オフチェーンデータ)を取得、検証し、ブロックチェーン上のスマートコントラクトに送信するアプリケーションです。オラクルは、オフチェーンデータを取得してイーサリアムにブロードキャストするだけでなく、ブロックチェーンから外部システムに情報をプッシュすることもできます。たとえば、スマートロックは、ユーザーがイーサリアムトランザクションを通じて手数料を送信するとロックを解除できます。オラクルがなければ、スマートコントラクトはオンチェーンデータのみを使用するように制限されます。
オラクルの操作は、外部のイベントや実世界の状況に関する間違ったデータを報告することがあります。例えば、5つの取引所で取引される仮想通貨資産があり、そのうち2つで85%の取引量が発生しているとします。オラクルが取引量が低い他の3つの取引所のみをカバーしている場合、その範囲は不十分です。攻撃者は、これら3つの流動性の低い取引所の価格を操作し、オラクルが実際の市場価格から逸脱した価格を報告することで、操作のリスクを引き起こすことがあります。
例えば、6月10日には、貸出プラットフォームのuwu lendが攻撃を受け、約1930万ドルの損失が発生しました。この攻撃の核心は、攻撃者がcurvefinanceプールで大量の取引を行い、それによってsusdeトークンの価格に影響を与えることで価格オラクルを操作したことです。攻撃者はその操作された価格を利用して、プールから他の資産を引き出しました。
したがって、Defiプロトコルを使用する際には、投資を多様化し、監査されていないプロトコルや流動性プールが低いプロトコルを避けることが重要です。
2. 様々なフィッシングウェブサイト
多くのユーザーがおそらくフィッシングサイトに遭遇したことがあるでしょう。詐欺師は、公式の偽のウェブサイトを作成し、それをソーシャルメディア、メール、ディスカッショングループ、その他のチャネルを通じて広く拡散します。ユーザーが偽のウェブサイトを訪れ、いくつかの利点に誘惑されて、ウォレットを接続し、承認を与えると、ウォレット内の資産が自動的に盗まれる可能性があります。
これを避けるためには、ウェブサイトを訪れる際には常にDAppドメイン(URL)を二重確認することが重要です。特にウォレットの認証が必要なDEXプラットフォームなどのサイトでは、公式ウェブサイトをブックマークしておくことがベストです。毎回TwitterやGoogleで検索する代わりに、よく利用する公式ウェブサイトをブックマークすることで、検索結果が誤解を招くことがあるからです。さらに、様々なウェブサイトのプロジェクト広告をクリックすることを避けるべきです。なぜなら、詐欺師はしばしば偽の広告を掲載しているからです。
知らない人から送られてきたリンクをクリックしないでください。例えば、Discordでよくある詐欺の一つは、スパマーが偽のページやツイッター投稿のリンクを含むメッセージを送信することです(ツイッター投稿のリンクは正しいかもしれませんが、詐欺リンクを含んでいます)。
ブラウザプラグインをインストールする必要がある場合は、自分がよく知っているものだけをインストールしてください。最近、6月3日に悪意のあるChrome拡張機能であるAggrという拡張機能をインストールしたユーザーが100万ドルを失ったと報告されました。
したがって、ブラウザプラグイン(例としてChromeを使用)を取り扱う際には、未知の拡張機能を避けるためにChromeウェブストアからのみ既知のプラグインをインストールするようにしてください。また、より安全なブラウジングのためにScamSnifferのようなセキュリティチェックプラグインを使用することも検討してください。
特にセキュリティに関心がある場合は、ウォレットアクセスが必要なdappの相互作用のために、別のChromeユーザープロファイルを作成することを検討してください。このプロファイルにはプラグインをインストールせず、取引を完了した後はすぐにログアウトするようにしてください。
3. 定期的にウォレットをチェックしてください
さまざまなdappsを承認する際に、プロトコルの安全性と信頼性を確認するだけでなく、ウォレットの承認履歴を定期的にチェックし、すでにウォレットを切断していても、リスクのあるまたは不明な承認を取り消すことをお勧めします。
ウォレット認証を確認するためのいくつかのツールがありますが、revokecashはよく使用されるものの1つであり、以下の画像で示されています。
さらに、一部のウォレットは、過去の承認を管理するための機能を提供します。たとえば、DeBank傘下の暗号ウォレットであるRabby Walletは、下の画像に示すように、この機能をサポートしています。
ウォレットの使用に関して、大量の資産を所有している場合は、MetamaskやPhantomのようなホットウォレットにすべての資金を保管しないことをお勧めします。よく使用する資金の一部をホットウォレットに保管し(複数のホットウォレットに分散させる)、別の一部を取引所に保管することができます(異なる取引所に分散させるが、主要な取引所のみを使用します)。残りの資金はコールドウォレットに保管するべきです。
さらに、コールドウォレットは、レジャー、トレゾール、またはエリパルのようなハードウェアウォレットである必要はありません。個人的には、オフラインで2台の別々のAppleの電話をコールドウォレットとして使用しています。日常の取引には、別のAppleの電話をホットウォレットとして使用しています(Androidの電話の使用はお勧めしません)、これは私の日常の電話とも別です。
4. 偽のエアドロップを防ぐ
多くの人々、特に新参者は、エアドロップを無料のトークンやNFTと考えています。詐欺師はこれを利用して、ウォレットの秘密鍵を明かさせたり、フィッシングサイトに誘導してウォレットを承認させたりします。
例えば、予期せずにウォレットにNFT(小さな画像)が届き、その上にURLが記載されているかもしれません。それを見てウェブサイトを訪れるよう誘われます。サイトを訪れてウォレットを認証すると、資産が即座に抜かれてしまう可能性があります。
人気プロジェクトの無料トークンの請求アドレスやエアドロップリンクをソーシャルメディアで見つけた場合は、常にプロジェクトの公式ウェブサイトを通じてその正当性を確認してください。いかなるエアドロップでもシードフレーズやプライベートキーを共有しないでください。シードフレーズはあなたのすべての資産に等しいものです-それを他の誰にも開示しないでください。
ここでは一部の一般的なセキュリティの問題と予防のヒントについてだけ説明しています。 暗号空間は進化する詐欺手法で溢れています。 詐欺師は常に新しい騙し方を考え続け、以前に述べたポイントを強調しています。 特定の分野に焦点を当てて継続的に研究を重ねると、詐欺師は常に戦術を磨き上げ、ほとんどの人々が保護されることがますます困難になっています。
まとめると、過去数日間の最新のホットニュースをいくつか見てみましょう。
- 6月17日、バイナンスは北京時間16:00にZkSync(ZK)をリストアップし、関連するスポット取引ペアをオープンしました。
- 6月17日、北京時間15:00にZK Nationのエアドロップが利用可能になりました。
- 6月16日、Geniidataプラットフォームのデータによると、ルーンクック・ザ・メンプールは完全に鋳造され、合計4,309,311個の鋳造が行われました。これは現在最も鋳造されたルーンで、28,435の保有アドレスがあります。
- 6月15日、TwitterアカウントのLayerzero Foundationが「06.20.2024」という画像とメッセージを投稿しました。人々はLayerzeroが20日にトークンのエアドロップ情報を発表するかもしれないと推測しています。
- 6月15日、TONの価格が歴史的な高値に達しました。Pixelverse、Momoai、Hamster Kombat、CatizenなどのTONエコシステム内のゲームプロジェクトが注目を集めています。全体的な市場の下落にもかかわらず、TONコインは最近市場で珍しい明るい光となっています。
- 6月14日、Ao(Arweaveデータストレージプラットフォーム上に構築されたレイヤー1)は、トークノミクスを発表し、36%がArホルダーに割り当てられ、64%がクロスチェーンユーザーに割り当てられることを発表しました。
- 6月14日、7月2日にETH ETFが開始される可能性があるとの報告がありました。
- 6月14日、フォーブス誌の記事によると、現在米国で投獄されているCZは世界で24番目に裕福な人物であり、610億ドルの財産を持ち、これまでに投獄された中で最も裕福な人物となっています。CZの富は、主にBinanceの90%の株式と、流通供給量の64%を占める9,400万BNBの保有から来ています。
免責事項:
関連記事
Gitcoinパスポート:分散ネットワークへのゲートウェイ
PayFiとは何ですか、そしてなぜPayFiにはソラナが使用されていますか?
Telegram Mini Apps:大革命—Web2からWeb3への旅
暗号通貨分野での頻繁な詐欺と盗難:一般の人々はどのように身を守ることができますか?
コインテレグラフによると、詐欺は再び暗号資産犯罪の主要な要因となっており、2023年には46億ドルの直接的な損失を引き起こしました。
セルティックデータレポートによると、2024年第1四半期に暗号通貨セクターで223件の重要なオンチェーンセキュリティインシデントがあり、これにより5億ドルの損失が発生しました。さらに、最近のスロウミストレポートによると、先月(5月)には31件以上の注目すべきセキュリティインシデントがあり、ハッキング、フィッシング詐欺、アカウント盗難、ラグプルによる1億2400万ドルの損失が発生しました。 これは、4月と比較して約52.5%増加しています。
さらに、OKXユーザーから大量の資金が盗まれたとされる事件は、一部のユーザーから相当な資金を失わせるだけでなく、今月には6億3000万ドルのユーザー資金が取引所から引き出されたと報じられています。
これらの事件は私たちが知っているものだけです。新参者を狙った「豚肉切り」詐欺など、多くの詐欺は数量化することが難しいです。
だから私はいつもこの分野の新参者に対して2つの基本原則を強調しています。まず初めに、初期資本を守ること、そして次に、理解していないものを避けること。要するに、常にセキュリティ意識を最優先にすることです。以前の記事でセキュリティに関するいくつかのポイントをまとめました。今日は、一般的なセキュリティの問題点を強調することで、この議論を続けます。
1. defiプロトコルの脆弱性
DeFiにおける一般的な脆弱性には、フラッシュローン攻撃やオラクルの操作があり、それらはどちらもDeFiプロトコルのリソースを枯渇させる可能性があります。
フラッシュローンは、担保を提供せずにプロトコルプールから任意の量の暗号資産を借りることを可能にする革新的なDeFi製品です。元本と利子を同じ取引(1ブロック)内で返済すればよいです。フラッシュローンの利点は、市場の裁定機会を利用し、低コストで高リターンの取引を実現できることです。リスクは、指定された時間内に返済できない場合、取引がキャンセルされ、取引手数料と利子が失われることです。
フラッシュローン攻撃は、同じブロックチェーンネットワーク上で複数の借入および取引操作を迅速に実行することによって、スマートコントラクト内でエラーを引き起こし、攻撃者が不当な利益を得ることを可能にします。たとえば、5月14日には、Compoundに基づくOptimismネイティブの貸出プロトコルであるSonne Financeがフラッシュローン攻撃を受け、2000万ドル以上の損失を被りました。
オラクルは、外部情報(オフチェーンデータ)を取得、検証し、ブロックチェーン上のスマートコントラクトに送信するアプリケーションです。オラクルは、オフチェーンデータを取得してイーサリアムにブロードキャストするだけでなく、ブロックチェーンから外部システムに情報をプッシュすることもできます。たとえば、スマートロックは、ユーザーがイーサリアムトランザクションを通じて手数料を送信するとロックを解除できます。オラクルがなければ、スマートコントラクトはオンチェーンデータのみを使用するように制限されます。
オラクルの操作は、外部のイベントや実世界の状況に関する間違ったデータを報告することがあります。例えば、5つの取引所で取引される仮想通貨資産があり、そのうち2つで85%の取引量が発生しているとします。オラクルが取引量が低い他の3つの取引所のみをカバーしている場合、その範囲は不十分です。攻撃者は、これら3つの流動性の低い取引所の価格を操作し、オラクルが実際の市場価格から逸脱した価格を報告することで、操作のリスクを引き起こすことがあります。
例えば、6月10日には、貸出プラットフォームのuwu lendが攻撃を受け、約1930万ドルの損失が発生しました。この攻撃の核心は、攻撃者がcurvefinanceプールで大量の取引を行い、それによってsusdeトークンの価格に影響を与えることで価格オラクルを操作したことです。攻撃者はその操作された価格を利用して、プールから他の資産を引き出しました。
したがって、Defiプロトコルを使用する際には、投資を多様化し、監査されていないプロトコルや流動性プールが低いプロトコルを避けることが重要です。
2. 様々なフィッシングウェブサイト
多くのユーザーがおそらくフィッシングサイトに遭遇したことがあるでしょう。詐欺師は、公式の偽のウェブサイトを作成し、それをソーシャルメディア、メール、ディスカッショングループ、その他のチャネルを通じて広く拡散します。ユーザーが偽のウェブサイトを訪れ、いくつかの利点に誘惑されて、ウォレットを接続し、承認を与えると、ウォレット内の資産が自動的に盗まれる可能性があります。
これを避けるためには、ウェブサイトを訪れる際には常にDAppドメイン(URL)を二重確認することが重要です。特にウォレットの認証が必要なDEXプラットフォームなどのサイトでは、公式ウェブサイトをブックマークしておくことがベストです。毎回TwitterやGoogleで検索する代わりに、よく利用する公式ウェブサイトをブックマークすることで、検索結果が誤解を招くことがあるからです。さらに、様々なウェブサイトのプロジェクト広告をクリックすることを避けるべきです。なぜなら、詐欺師はしばしば偽の広告を掲載しているからです。
知らない人から送られてきたリンクをクリックしないでください。例えば、Discordでよくある詐欺の一つは、スパマーが偽のページやツイッター投稿のリンクを含むメッセージを送信することです(ツイッター投稿のリンクは正しいかもしれませんが、詐欺リンクを含んでいます)。
ブラウザプラグインをインストールする必要がある場合は、自分がよく知っているものだけをインストールしてください。最近、6月3日に悪意のあるChrome拡張機能であるAggrという拡張機能をインストールしたユーザーが100万ドルを失ったと報告されました。
したがって、ブラウザプラグイン(例としてChromeを使用)を取り扱う際には、未知の拡張機能を避けるためにChromeウェブストアからのみ既知のプラグインをインストールするようにしてください。また、より安全なブラウジングのためにScamSnifferのようなセキュリティチェックプラグインを使用することも検討してください。
特にセキュリティに関心がある場合は、ウォレットアクセスが必要なdappの相互作用のために、別のChromeユーザープロファイルを作成することを検討してください。このプロファイルにはプラグインをインストールせず、取引を完了した後はすぐにログアウトするようにしてください。
3. 定期的にウォレットをチェックしてください
さまざまなdappsを承認する際に、プロトコルの安全性と信頼性を確認するだけでなく、ウォレットの承認履歴を定期的にチェックし、すでにウォレットを切断していても、リスクのあるまたは不明な承認を取り消すことをお勧めします。
ウォレット認証を確認するためのいくつかのツールがありますが、revokecashはよく使用されるものの1つであり、以下の画像で示されています。
さらに、一部のウォレットは、過去の承認を管理するための機能を提供します。たとえば、DeBank傘下の暗号ウォレットであるRabby Walletは、下の画像に示すように、この機能をサポートしています。
ウォレットの使用に関して、大量の資産を所有している場合は、MetamaskやPhantomのようなホットウォレットにすべての資金を保管しないことをお勧めします。よく使用する資金の一部をホットウォレットに保管し(複数のホットウォレットに分散させる)、別の一部を取引所に保管することができます(異なる取引所に分散させるが、主要な取引所のみを使用します)。残りの資金はコールドウォレットに保管するべきです。
さらに、コールドウォレットは、レジャー、トレゾール、またはエリパルのようなハードウェアウォレットである必要はありません。個人的には、オフラインで2台の別々のAppleの電話をコールドウォレットとして使用しています。日常の取引には、別のAppleの電話をホットウォレットとして使用しています(Androidの電話の使用はお勧めしません)、これは私の日常の電話とも別です。
4. 偽のエアドロップを防ぐ
多くの人々、特に新参者は、エアドロップを無料のトークンやNFTと考えています。詐欺師はこれを利用して、ウォレットの秘密鍵を明かさせたり、フィッシングサイトに誘導してウォレットを承認させたりします。
例えば、予期せずにウォレットにNFT(小さな画像)が届き、その上にURLが記載されているかもしれません。それを見てウェブサイトを訪れるよう誘われます。サイトを訪れてウォレットを認証すると、資産が即座に抜かれてしまう可能性があります。
人気プロジェクトの無料トークンの請求アドレスやエアドロップリンクをソーシャルメディアで見つけた場合は、常にプロジェクトの公式ウェブサイトを通じてその正当性を確認してください。いかなるエアドロップでもシードフレーズやプライベートキーを共有しないでください。シードフレーズはあなたのすべての資産に等しいものです-それを他の誰にも開示しないでください。
ここでは一部の一般的なセキュリティの問題と予防のヒントについてだけ説明しています。 暗号空間は進化する詐欺手法で溢れています。 詐欺師は常に新しい騙し方を考え続け、以前に述べたポイントを強調しています。 特定の分野に焦点を当てて継続的に研究を重ねると、詐欺師は常に戦術を磨き上げ、ほとんどの人々が保護されることがますます困難になっています。
まとめると、過去数日間の最新のホットニュースをいくつか見てみましょう。
- 6月17日、バイナンスは北京時間16:00にZkSync(ZK)をリストアップし、関連するスポット取引ペアをオープンしました。
- 6月17日、北京時間15:00にZK Nationのエアドロップが利用可能になりました。
- 6月16日、Geniidataプラットフォームのデータによると、ルーンクック・ザ・メンプールは完全に鋳造され、合計4,309,311個の鋳造が行われました。これは現在最も鋳造されたルーンで、28,435の保有アドレスがあります。
- 6月15日、TwitterアカウントのLayerzero Foundationが「06.20.2024」という画像とメッセージを投稿しました。人々はLayerzeroが20日にトークンのエアドロップ情報を発表するかもしれないと推測しています。
- 6月15日、TONの価格が歴史的な高値に達しました。Pixelverse、Momoai、Hamster Kombat、CatizenなどのTONエコシステム内のゲームプロジェクトが注目を集めています。全体的な市場の下落にもかかわらず、TONコインは最近市場で珍しい明るい光となっています。
- 6月14日、Ao(Arweaveデータストレージプラットフォーム上に構築されたレイヤー1)は、トークノミクスを発表し、36%がArホルダーに割り当てられ、64%がクロスチェーンユーザーに割り当てられることを発表しました。
- 6月14日、7月2日にETH ETFが開始される可能性があるとの報告がありました。
- 6月14日、フォーブス誌の記事によると、現在米国で投獄されているCZは世界で24番目に裕福な人物であり、610億ドルの財産を持ち、これまでに投獄された中で最も裕福な人物となっています。CZの富は、主にBinanceの90%の株式と、流通供給量の64%を占める9,400万BNBの保有から来ています。
免責事項:
関連記事
Gitcoinパスポート:分散ネットワークへのゲートウェイ
PayFiとは何ですか、そしてなぜPayFiにはソラナが使用されていますか?