オンチェーン操作必須の防坑ガイド

この記事はリンクキャッチャーのオリジナル記事で、著者は谷昱です。

ブロックチェーン技術は、現在の時代において最も重要な革新の一つであり、分散化を真に可能にし、誰もが自分のチェーン上の資産に対して絶対的なコントロール権を持ち、外部からの干渉や操作を受けることがありません。

この権利には責任が伴い、つまりユーザーは自分の資産の安全に対して100%の責任を負う必要があります。私鍵の保管や日常的な操作において特に注意が必要であり、一度私鍵やリカバリーフレーズが盗まれれば、すべての資産が盗まれるリスクにさらされます。多くのプロジェクト（例：Tether）は理論的にはスマートコントラクトを通じてチェーン上の資産を管理し、盗まれた資産を取り戻すことができますが、通常はハッカーによる故意の攻撃で大きな損失が発生した場合にのみ支援が行われ、個人のミスによる資産の損失にはプロジェクト側からの援助が得られにくいです。

今後、ますます多くの取引活動がチェーン上に移行することが予想されますが、残念ながら、チェーン上の詐欺は現在も大量に発生しており、多くの新しい形態が派生しています。複数の読者がリンクキャッチャーに対してチェーン上の詐欺に遭遇し、数万元の損失を報告しましたが、すでに取り戻すことはできません。暗号業界に新たに入る人々が業界の常識を理解し、落とし穴を避けるために、リンクキャッチャーはこの記事で一般的な詐欺手法をまとめました。具体的には以下の通りです：

一、偽コイン詐欺

ケース：小茗が注目しているプロジェクトがIDOを行っており、テレグラムグループで誰かがトークンのスマートコントラクトアドレスを投稿しているのを見ました。小茗はそのアドレスをUniswapに入力すると、すでに取引が可能で、数十万元の流動性があることを発見し、すぐに1ETHを購入しました。しかし、その後1倍以上に上昇し、売却しようとしたところ、システムから売却できないというメッセージが表示され、実質的にゼロになりました。

分析：この状況は偽コイン詐欺に該当します。特定の詐欺グループが大量にコインを発行し、注目度の高いコインの名前を使用し、Uniswapの取引プールを構築し、一定の流動性を注入してユーザーを誤解させて真のコインだと信じ込ませ、いくつかのソーシャルメディアチャネルでスマートコントラクトアドレスを広めます。

しかし、このトークンのスマートコントラクトコードには、実際には発行者のみがトークンを販売でき、他のユーザーは購入のみ可能で、販売はできないと規定されています。ユーザーがソーシャルメディアでアドレスを見て信じ込んでしまうと、そのトークンを購入した後は、価格が上昇するのを見守るしかなく、最終的にはゼロになってしまいます。

リンクキャッチャーの観察によれば、Uniswap上の偽コインの大部分は特定の詐欺グループによって発行されており、各トークンの発行者アドレスは送金記録を通じて関連付けられています。最近の2ヶ月間で少なくとも70種類以上の偽コインが発行され、利益は少なくとも4000ETH以上です。

具体的な手法として、彼らはバイナンス、V神、0x-b1としてマークされたアドレスに一部の偽コインを転送し、これらのアドレスのフォロワーの注意を引こうとします。発行活動の周期は約3-5日で、最初にUniswapに数百ETHの流動性を追加し、購入ユーザーがほとんどいなくなったらすべての流動性を撤回し、すべてのETHを新しいアドレスに転送して新しいコインを再発行します。不定期にTornado.cashを通じて資金を移動させることもあります。

さらに誤解を招くのは、これらの詐欺グループが特定の大口投資家がこれらのコインを購入しているという偽の印象を作り出すことです。以下の図のように、このアドレスは広く孫宇晨のものであると考えられ、数十億ドルの資産を保有しているとされ、Etherscanでは10日以上にわたりこのアドレスがUniswapでいくつかの新しいコインを購入したことが表示されています。

特定の大口投資家アドレスの追跡者はこれらの記録を見て「フォロー」するかもしれませんが、具体的な取引記録を開くと、取引行為はそのアドレスの所有者によって開始されたものではなく、偽コインの発行者アドレスがスマートコントラクトを利用して直接Uniswapから購入し、孫宇晨のアドレスを受取アドレスとして設定した結果であることがわかります。

孫宇晨のアドレス以外にも、Etherscanに表示される多くのETH大口アドレスで同様の状況が発生しています。

したがって、皆さんがUniswapで取引を行う際は、必ず公式に発表されたコントラクトアドレスを使用するか、Uniswapの推奨リストにあるコインを選ぶ必要があります。他のチャネルで見たスマートコントラクトアドレスには注意を払い、さもなければ大きな損失を被る可能性があります。

二、偽APP詐欺

ケース1：小倪は新しいスマートフォンに変え、ある微信群でimtokenのスタッフを名乗るユーザーが速報画像を投稿し、APPのダウンロードリンクを添付しているのを見ました。ちょうど新しいスマートフォンにimtokenをダウンロードしていなかったため、QRコードをスキャンしてそのAPPをダウンロードし、私鍵を入力してウォレットをインポートしましたが、すぐにそのアドレスのすべての資産が転送され、約2万元の損失を被りました。

ケース2：『ワシントンポスト』の報道によると、今月初めに2人のユーザーがAppleアプリストアで暗号ハードウェアウォレットTreznorの名前を検索したところ、真のTreznorと非常に似たロゴと色を使用したAPPが表示されました。当時、Treznorはモバイル版APPをリリースしていなかったにもかかわらず、彼らはTreznorが確かにモバイル版をリリースしたと誤解し、ダウンロードして私鍵をインポートしました。最終的にそれぞれ17.1ビットコインと1.4万ドル相当のETHを失いました。

分析：私鍵とリカバリーフレーズはウォレット資産に対する絶対的なコントロール権を意味します。そのため、多くの詐欺はユーザーの私鍵を盗むことを目的としており、公式APPを偽装するのは最も一般的な手法の一つです。このような偽APPは、公式速報を装ってユーザーにダウンロードを促したり、検索エンジンにお金を払って偽サイトのランキングを上げたり、Apple/Androidの公式アプリストアに同名の偽APPを掲載したりします。これらは公式サイトや画像情報を高度に模倣しており、一度ユーザーがAPPをダウンロードしてリカバリーフレーズをインポートすると、ウォレット資産はすぐに転送されます。

したがって、皆さんがウォレットや取引所のAPPをダウンロードする際は、必ず公式チャネルからダウンロードし、ウェブサイトのドメイン名などの情報が正しいか確認してください。

三、偽カスタマーサービス詐欺

ケース：小詹はあるDApp製品を使用している際に問題に直面し、テレグラムグループで公式のスタッフに問い合わせようとしました。その後、あるユーザーが彼にプライベートメッセージを送り、問題を解決するために公式のスタッフにプライベートメッセージを送るように言い、アカウント名を小詹に送信しました。小詹はそのアカウント名をクリックしてプライベートメッセージの画面に入りました。

その公式のスタッフは非常に親切に小詹に何が起こったのか尋ね、プロジェクトのデータベースの問題であり、解決中であると述べましたが、誤りが続かないようにアカウントをリセットする必要があり、小詹にどのウォレットを使用しているか尋ねました。その後、リンクを提供し、小詹にリカバリーフレーズを入力してウォレットをインポートさせ、さらなる操作を行うように促しましたが、小詹は警戒心から次の操作を行わず、リカバリーフレーズの漏洩を避けました。

分析：現在、WeChatやテレグラムなどの主要なコミュニティには、公式のカスタマーサービスを装ったアカウントがほぼ存在しており、さまざまな方法でユーザーの信頼を得ようとし、できるだけウォレットに話題を引き寄せ、ユーザーにリカバリーフレーズや私鍵を入力させようとします。一度ユーザーが入力すると、すべての資産がすぐに転送されます。

したがって、皆さんが各種コミュニティで助けを求める際は、必ず相手の身分を確認し、身分が不明な場合はスクリーンショットを撮ってグループに投稿し、他の活発なユーザーに識別を手伝ってもらうべきです。通常、公式のスタッフはユーザーにプライベートメッセージを送ることはなく、ユーザーにプライベートメッセージを送らせるためにグループチャットで行動します。

四、エアドロップ詐欺

ケース：小曦は微信群で誰かがある有名プロジェクトのエアドロップ情報を投稿しているのを見ました。特定のソーシャルメディアタスクをテレグラムグループで完了すれば、数百ドルのトークン報酬が得られるとのことでした。小曦はテレグラムのボットの指示に従ってすべてを完了しましたが、その後ボットから少量のトークンをコントラクトアドレスに送信する必要があると通知されました。コストがそれほど高くないと考え、小曦は要求に従ってトークンを送信しましたが、その後エアドロップトークンは受け取れず、逆に十数ドルを無駄に失いました。

分析：ソーシャルメディアタスクに基づくトークンのエアドロップは確かに大量に存在し、ユーザーの警戒心を低下させることがありますが、まさにそのため、多くの詐欺師がユーザーの緩みを利用して詐欺を実行し、エアドロップを利用してユーザーをスマートコントラクトにトークンを送信させます。単発の金額は通常大きくありませんが、少しずつ集まるとかなりの額になります。

現在、ユーザーが外部のウォレットアドレスにトークンを送信しなければならない真のエアドロップ活動は存在しません。トークンを送信する必要があるエアドロップ活動には、直接無視すべきです。

五、注意事項

前述の故意に実施された詐欺を防ぐことに加えて、チェーン上の操作は潜在的な操作ミスによる安全リスクにも直面しています。主に以下の点に注意が必要です：

第一、DAppへの過度な権限付与を避け、定期的に権限を整理すること。ユーザーは特定のDAppと初めて対話する際に権限を付与する必要がありますが、これにはリスクが伴います。もしそのDAppが攻撃を受けた場合、ユーザーの資産を盗むためにその権限を直接利用される可能性があります。したがって、皆さんは定期的にあまり使用しないDAppの権限を整理するか、トークンの移転量の上限を設定する必要があります。

第二、可能な限り安全会社による監査を受けていないコードのDAppの使用を避けること、特に高APYを謳っているDAppは、その安全リスクが元本に大きな損失をもたらす可能性があります。

第三、再度強調しますが、アドレスの私鍵とリカバリーフレーズを注意深く保存し、できればオフラインのハードウェアやノートに保管し、私鍵とリカバリーフレーズを第三者に漏らさないことが、すべての安全対策の中で最も重要な点です。

ブロックチェーン技術が生み出す巨大な想像力と、より大規模な応用は、より多くのユーザーがより高いチェーン上の操作能力と知識を持つことに依存しています。そうでなければ、チェーン上が詐欺の横行する無法地帯となり、多くのユーザーが無駄に巨大な損失を被ることになります。したがって、前述の普及と教育の意義も特に重要です。