イーサリアムの偽トークン

偽造または「なりすまし」の ERC-20 トークン転送は、Ethereum では目新しいものではありません。しかし、過去 1 年間のブロックチェーンの広範な採用により、これらのユースケースが急増しました。現在、より綿密な調査を必要とする疑問や最近の注目を集めた事件が増えています。

この記事では、以下の内容を取り上げます。

この「偽物」とは何ですか
検出方法
回避方法

大いに話題になっている DeFi 製品がトークンのエアドロップを実施するという噂を聞いたと想像してみてください。熟練したトレーダーとして、私たちはこれに関するあらゆる手がかりを探します。

この DeFi 製品と非常によく似た名前とシンボルを持つトークンが新しく発行されたことがわかります。さらに重要なのは、それが、私たちが個人的に、コネの深い大物/インフルエンサーのものであるとマークしたアドレスに送信されていることです。

私たちはこのトークンについて誰よりも早く知りたかったので、新しく作成された Uniswap V2 流動性プールからいくつかのトークンを購入しました。 1時間後、LPのETHがなくなり、私たちは騙されていたことに気づきました。

何が悪かったのでしょうか?

これらの実際のOpenSeaトークンはOpenSea:レジストリアドレスから転送されるものではありません

私たちが犯した間違いは、トークンの転送が実際にはインフルエンサーのアドレスによって行われていると考えたことでした。この「なりすまし」は、次の 2 つの点を利用して、疑いを持たないユーザーを騙します。

ERC-20 標準設計
ブロックエクスプローラーの透明なデータ表示

ERC-20 標準の transfer および transferFrom 関数は、スマートコントラクトで指定されている限り、任意のアドレスをトークンの送信元にできるように変更することができ、その結果、送信元アドレスとは異なるアドレスからトークンが転送されます。

通常、「偽装された」トークン契約は、契約の内部動作を不明瞭にするため、Etherscan では検証されません。

ERC-20 トークンの転送の場合、Etherscan などのブロックエクスプローラーは、発信者のアドレスではなく、転送されたトークンのアドレスを表示します。ブロックエクスプローラーの性質上、ブロックエクスプローラーのデータはデフォルトでは検閲されません。

ほとんどの場合、被害の範囲は価値ゼロのトークンを保有することに限定されます。しかし、回復エラーメッセージを含むトークンがユーザーの秘密鍵を盗むフィッシングサイトを指し示すなど、より危険な状況も考えられます。 ERC-721 および ERC-1155 トークン (NFT) でも同じ問題が発生する可能性があります。