オンチェーンオペレーションのための必須の詐欺対策ガイド

 ブロックチェーン技術は、分散化を真に可能にする、現代の最も重要なイノベーションの 1 つです。誰もがチェーン上の資産を完全に制御でき、外部からの干渉や操作は不可能です。

この権利には責任が伴うため、ユーザーは資産のセキュリティに対して 100% の責任を負い、秘密鍵の保管と日常的な操作に特別な注意を払う必要があります。秘密鍵またはニーモニックフレーズが盗まれると、すべての資産が盗難の危険にさらされます。多くのプロジェクト関係者（Tether など）は、理論的にはオンチェーン資産を制御し、スマート コントラクトを通じて盗まれた資産を回復できますが、通常はハッカーが故意に攻撃して莫大な損失を引き起こした場合にのみ支援を提供します。プロジェクト関係者が個人的なミスによる資産損失に対して援助を提供することは困難です。

今後ますます多くの取引活動がチェーンに移行することが予測されますが、残念ながら、オンチェーン詐欺は依然として大量に発生しており、多くの新しい形態を生み出しています。多くの読者がChain Catcherに、オンチェーン詐欺に遭遇し、数万元を失ったと報告していますが、これらの損失はすべて取り返しのつかないものです。暗号業界の初心者が業界の常識を理解し、落とし穴を避けられるように、Chain Catcher はこの記事で、よくある詐欺の手口を次のようにまとめています。

著者|顧宇

01

偽造通貨詐欺

事例: Xiao Ming がフォローしているプロジェクトは IDO 中です。 Xiao Ming は、誰かが Telegram グループでトークンのスマート コントラクト アドレスを公開しているのを目撃します。シャオミンがUniswapにアドレスを入力すると、すでに取引可能であり、数十万元の流動性があることがわかりました。その後、彼は 1 ETH を購入しますが、それが 100% 以上上昇し、売却する準備ができたときに、システムがそれを売却できないというメッセージを表示し、それがゼロに相当することに気づきます。

分析: これは偽通貨詐欺です。一部の詐欺グループは、通貨を一括発行し、知名度の高い通貨を名前として使用し、Uniswap 取引プールを設立し、一定量の流動性を注入して、ユーザーにそれが本物の通貨であると誤解させようとします。その後、彼らはスマートコントラクトのアドレスをいくつかのソーシャルメディアチャネルで広めました。しかし、このトークンのスマート コントラクト コードでは、実際には発行者のみがトークンを販売でき、他のユーザーは購入のみ可能で販売はできないことが規定されています。ユーザーがソーシャルメディアでアドレスを見てそれが真実だと信じた場合、トークンを購入した後は、トークンが上昇し、最終的にゼロに戻るのをただ見ているしかありません。

Chain Catcher の観察によると、Uniswap 上の偽コインのほとんどは特定の詐欺グループによって発行されています。各トークン発行者のアドレスは、転送記録を通じてリンクできます。過去2か月間で少なくとも70種類の偽コインが発行され、少なくとも4,000 ETHの利益が得られた。

具体的な方法としては、Binance、Vitalik、0x-b1 などのアドレスに偽のコインを転送し、これらのアドレスのフォロワーの注目を集めるという方法もあります。各発行アクティビティサイクルは約 3 ～ 5 日です。まず、Uniswap に数百 ETH の流動性を追加し、購入ユーザーが少ないときにすべての流動性を引き出します。その後、すべての ETH を新しいアドレスに転送し、新しいコインを再発行します。また、Tornado.cash を通じて随時資金を送金することもあります。

さらに誤解を招くのは、これらの詐欺グループが、特定の大口投資家がこれらの通貨を購入しているという幻想を作り出すことです。下の図に示すように、このアドレスはジャスティン・サンが所有しており、数十億ドルの資産があると広く考えられています。 Etherscan によると、過去 10 日間で、このアドレスは Uniswap からいくつかの新しいコインを購入したことがわかります。一部のクジラアドレストラッカーは、これらの記録を見ると「命令に従う」かもしれませんが、特定のトランザクション記録をクリックすると、トランザクションはアドレスの所有者によって開始されたのではなく、偽の通貨発行者アドレスがスマートコントラクトを使用して Uniswap から直接購入し、Justin Sun のアドレスを受信アドレスとして設定したことがわかります。

Justin Sun のアドレスに加えて、 Etherscan に表示される多くの大規模な ETH アドレスでも同様の状況が発生しています。

そのため、 Uniswapで取引をする場合は、必ず公式に発表されている契約アドレスか、Uniswap推奨リストにある通貨を使用するようにしてください。他のチャネルで見られるスマート コントラクト アドレスには注意してください。そうしないと、大きな損失が発生する可能性があります。

02

偽アプリ詐欺

事例1：シャオ・ニさんは新しい携帯電話を購入し、WeChatグループでimtokenのスタッフを名乗るユーザーがアプリのダウンロードリンク付きのフラッシュ写真を投稿しているのを目にしました。たまたま新しい携帯電話にimtokenがまだダウンロードされていなかったため、コードをスキャンしてアプリをダウンロードし、秘密鍵を入力してウォレットにインポートしましたが、すぐに自分のアドレスにあるすべての資産が送金され、約2万元の損失が発生していることに気付きました。

ケース2：ワシントンポストによると、今月初め、2人のユーザーがApple App Storeで暗号化ハードウェアウォレットTreznorの名前を検索したところ、本物のTreznorに非常によく似たロゴと色を使用したアプリが出現した。当時、Treznor はモバイル アプリをリリースしていませんでしたが、彼らは Treznor がモバイル バージョンをリリースしたと誤解し、秘密鍵をダウンロードしてインポートし、最終的にそれぞれ 17.1 ビットコインと 14,000 ドル相当の ETH を失いました。

分析: 秘密鍵とニーモニックはウォレット資産に対する絶対的な制御を意味するため、多くの詐欺がユーザーの秘密鍵を入手しようとしており、偽の公式アプリが最も一般的な方法です。このような偽アプリは、公式ニュースを装ってユーザーにダウンロードを促したり、検索エンジンに金銭を支払って偽のウェブサイトのランキングを上げたり、Apple/Android の公式アプリ ストアで同じ名前の偽アプリを公開したりすることがあります。公式サイトの情報や画像情報を忠実に模倣します。ユーザーがアプリをダウンロードしてニーモニックをインポートすると、ウォレット資産はすぐに転送されます。

したがって、ウォレットや交換アプリをダウンロードするときは、必ず公式チャネルからダウンロードし、Web サイトのドメイン名やその他の情報が正しいかどうかを確認してください。

03

偽のカスタマーサービス詐欺

事例：Xiao ZhanさんはDApp製品の使用中に問題に遭遇したため、Telegramグループにアクセスして公式スタッフに質問しようとしました。その後、あるユーザーが個人的に彼とチャットして状況を尋ね、公式スタッフと個人的にチャットして問題を解決できると伝え、アカウント名をXiao Zhanに送信しました。そこで、Xiao Zhan はアカウント名を直接クリックしてプライベート チャット インターフェイスに入りました。公式スタッフは、プロジェクトデータベースの問題が原因で解決中だが、さらなるエラーを避けるためにアカウントをリセットする必要があると述べ、Xiao Zhanにどのようなウォレットを使用しているかを尋ね、熱心に状況について尋ねました。そして、彼はリンクを与え、シャオ・ザンにニーモニックを入力してウォレットをインポートし、さらに操作するように要求したが、シャオ・ザンは警戒心からこの時点で次のステップを踏まなかったため、ニーモニックの漏洩は回避された。

分析: 現在、WeChatやTelegramなど、ほぼすべての主要ソーシャルネットワークには、公式カスタマーサービスを装ったアカウントがあり、さまざまな方法でユーザーの信頼を欺き、話題をウォレットに導き、ユーザーにニーモニックや秘密鍵を入力するよう誘導しようとしています。ユーザーが情報を入力すると、すべての資産がすぐに転送されます。

そのため、さまざまなコミュニティで助けを求めるときは、誰もが相手の身元を確認する必要があります。本人かどうか不明な場合は、スクリーンショットを撮ってグループに投稿し、他のアクティブ ユーザーに本人確認を依頼することができます。通常、公式スタッフはユーザーと率先してプライベートチャットをしたり、ユーザーに秘密鍵の入力を求めたりすることはありませんが、グループチャットではユーザーが率先してプライベートチャットを行えるようにします。

04

エアドロップ詐欺

事例: Xiaoxi さんは、WeChat グループで誰かが有名なプロジェクトに関するエアドロップ情報を投稿しているのを目にしました。テレグラムグループでいくつかの特定のソーシャルメディアタスクを完了するだけで、数百ドル相当のトークン報酬を獲得することができた。 Xiaoxi は Telegram ロボットの指示に従ってすべてのタスクを完了しましたが、その後、ロボットは、エアドロップ トークンを受け取る前に、契約アドレスに少量のトークンを送信する必要があると指示しました。コストが高くないことを考慮して、Xiaoxi は要求どおりにコインを預けましたが、その後エアドロップ トークンを受け取りませんでした。その代わりに、彼は10ドル以上を無駄に失った。

分析: ソーシャルメディアのタスクに基づいたトークンのエアドロップは確かに多数あり、ユーザーの警戒心を簡単に低下させる可能性があります。しかし、多くの詐欺師がユーザーの怠慢さを利用して詐欺を働き、エアドロップを利用してユーザーにスマート コントラクトにコインを預けるよう誘導する理由もこれです。 1 回あたりの金額は通常は大きくありませんが、少額でも蓄積するとかなりの額になります。

現時点では、ユーザーがコインを受け取るために外部ウォレット アドレスにコインを預ける必要がある実際のエアドロップ アクティビティはありません。誰もが、コインの転送を必要とするエアドロップ活動を無視するべきです。

05

注意すべき点

前述の意図的な詐欺行為に加えて、オンチェーン操作は潜在的な操作エラーによって引き起こされる多くのセキュリティリスクに直面しており、主に次のようなものがあります。

まず、DApp への過剰な承認を避け、定期的に承認をクリーンアップします。ユーザーは、DApp と初めてやり取りするときに認証を行う必要がありますが、隠れた危険が存在します。後で DApp が攻撃された場合、その権限が直接使用され、ユーザーの資産が盗まれる可能性があります。したがって、誰もが頻繁に使用されない DApp の権限を定期的にクリーンアップするか、トークン転送の量に制限を設定する必要があります。

次に、セキュリティ企業によってコードが監査されていない DApp、特に高い APY を主張する DApp の使用は避けるようにしてください。セキュリティリスクにより多額の元本損失が発生する可能性があります。

3 番目に、アドレスの秘密鍵とニーモニックフレーズを保存することに注意する必要があることを再度強調する必要があります。インターネットに接続されていないハードウェアまたはラップトップに保存するのが最適です。秘密鍵とニーモニックフレーズを第三者に開示しないでください。これがすべてのセキュリティ対策の中で最も重要なポイントです。

ブロックチェーン技術から生まれる巨大な想像力の空間と大規模なアプリケーションはすべて、より多くのユーザーがより高いオンチェーン運用リテラシーと知識を持っていることに依存しており、そうしないと、チェーンが詐欺が横行する無法地帯になり、多数のユーザーが理由もなく大きな損失を被ることになります。したがって、前述の大衆科学と教育の重要性は特に顕著です。