ワールドカップが迫る中、「神々の最後の戦い」を楽しむ際には、リスク詐欺に注意する必要があります。

著者：GoPlus Security

一、ワールドカップに関連する暗号リスクが続々と現れる

2022年カタールワールドカップが間もなく開催されますが、今大会はメッシ、Cロナウド、ベンゼマ、モドリッチ、レヴァンドフスキなどの選手にとって最後のワールドカップである可能性が高いです。「神々の最後の戦い」が迫る中、さまざまなブロックチェーン上でワールドカップに関連する詐欺が続出しています。

GoPlus Token検出エンジンのデータ統計によると、最近の1週間で「FIFA」または「World Cup」という名前を含むリスクのあるトークンが1000を超え、関連するアドレスは16万を超え、累計流動性は500万ドルを超えています。

以下のリストには、いくつかの主要なリスクタイプが含まれています：

同時に、ワールドカップに関連するさまざまなNFTも次々と登場しており、その中には深刻なリスクを伴うNFTも多数含まれています。したがって、ワールドカップの熱狂の中でも、さまざまなホットトピックに便乗したトークン/NFTプロジェクトに対して油断せず、便利なセキュリティ検出ツールを適切に活用し、自身の暗号資産を守る必要があります。

二、ユーザーが直面する可能性のあるトークンリスクの紹介

トークンリスクは多種多様で、ワールドカップ期間中に集中して発生する可能性があります。ここでは、いくつかの主要で非常に深刻なリスクを紹介します。

1.貔貅トークン

契約に明確な悪意のあるコードが含まれており、ユーザーが取引できなくなったり、資産を失ったりするトークンです。

例えば、以下のトークン（BSCチェーン、0xaf25a7336f4984976febc5c0bca62caeb57b4a97）には悪意のあるコードが存在します。

上の図に示すように、この契約コードではすべての関連機能が外部契約を通じて実現されています。例えば、すべてのホルダーの残高は外部契約に保存されています。これは、外部契約が新しいものに置き換えられると、すべてのホルダーの残高が直接ゼロになることを意味します。これが深刻なリスクを伴う悪意のあるコードです。

2.いつでも自己破壊できるトークン

契約の自己破壊とは、簡単に言えば、契約が破壊される可能性があり、破壊後は契約も存在せず、契約に関連する資産も消失することを指します。言い換えれば、契約が消えれば、その対応するトークンも消え、ユーザーの相応の資産も直接消失します。また、監視によると、契約に自己破壊機能が含まれているトークンは、最終的にその機能を起動することが一般的です。

例えば、以下のトークン（イーサリアム、0xc1f5ba8bab3ca299f9817876a6715627f9e2b11a）には自己破壊機能があります。

上の図に示すように、そのコードの「kill」関数が起動されると、その契約は自己破壊し、そのトークンも消失します。

3.オーナーが残高を変更できる

つまり、トークン契約にオーナーアドレスが他のアドレスのトークン残高を変更できる機能があり、被害者のアドレスの許可を必要としないことです。

例えば、以下のトークン（BSCチェーン、0xf3f064ed4848345dd7505915c3d43c238831f1a2）にはこの問題があります。オーナーアドレスは他のアドレスの残高を変更できます。

主に問題のあるコードは上の図に示されています。オーナーアドレスは「adress from」のトークンを「address[]」のアドレスに直接割り当てることができ、ユーザーの許可を必要としません。

三、NFTリスクの紹介

トークン以外にも、NFTにもさまざまなセキュリティリスクがあります。関連するセキュリティ機関のデータ統計によると、多くのNFTは契約レベルで一定のセキュリティ上のリスクを抱えています（リストにはいくつかの一般的で深刻なNFTリスクが示されています）：

また、NFTは簡単に偽造できるため、ワールドカップNFT詐欺も急速に増加する可能性があります。

ここでは、非常に深刻なNFT契約リスクをいくつか紹介します。

1.制限された承認対象により取引できない

一般的には、ホワイトリスト以外のアドレスが契約に承認を与えることができないことを指します。分散型NFT取引プラットフォームでは契約の承認が必要なため、ユーザーは分散型取引所でそのNFTを取引できなくなります。

この詐欺は、プロジェクト側が最初にホワイトリスト内のアドレスにデータを刷らせ、ユーザーは取引プラットフォームでそのNFTの取引データが正常であることを見て、取引できると思い込むことが一般的です。しかし、ユーザーが購入後に再度売却しようとすると、取引できないことが判明します。

典型的なケース

上のケースでは、そのNFT契約コードに「承認対象は契約ではない」という要求があり、openseaでの注文にはopenseaの契約に承認を与える必要があるため、このNFTは注文できません。

コードは以下の図に示されています。

上の図では、_addressTransferToContractリストにあるアドレスのみが承認に成功します（つまり、ホワイトリスト内のアドレスのみが承認できます）。このリストにないアドレスが契約に承認を与えると失敗します。

2.無許可の転送

つまり、NFTのオーナーが無許可で他のアドレスのNFTを自分の指定したアドレスに転送できることです。

この悪意のある手段には、一般的に2つの使用形式があります：

（1）NFTを売却後に直接転送

以下の図に示すように、このNFT（イーサリアム、0xa9bcd4bd5b851479307fe71398ce2352c281e0c1）は売却後に直接転送されました。

このような詐欺が実現できる理由は、その契約コードに設定されたアドレスがあり、そのアドレスがすべてのNFTの承認を持っているからです。したがって、このアドレスはいつでも他のアドレスのNFTを直接転送できます。以下の図に示されています。

（2）偽の有名人がそのNFTを所有し、転送したと見せかけることで、そのNFTにいわゆる有名人の裏付けを与える

最近、多くのユーザーからのフィードバックがあり、いくつかのNFTプロジェクトが特定の有名人を宣伝し、その有名人が取引したと主張しているため、プロジェクトの安全性について問い合わせがありました。実際、これは「無許可の転送」の別の具体的な形式です。

その主な流れは次のとおりです：

1.最初にNFTを特定の公開された有名人のアドレスにミントし、そのNFT契約コードに無許可の転送のロジックが含まれています。

2.その後、適切なタイミングを見つけて、そのNFTを有名人のアドレスから転送します。これにより、チェーン上では有名人のアドレスがそのNFTを所有し、転送したことが示されます（特に転送のステップは非常に誤解を招くもので、一般のユーザーは有名人が本当にそのNFTを取引したと誤解する可能性があります）。

3.その後、プロジェクト側はこれを宣伝していわゆる「有名人の裏付け」を得て、ユーザーを詐欺することができます。

四、ユーザーとして、関連リスクをどのように防ぐべきか

まず、防止意識を持ち、自身の状況に基づいて基本的な防止策を構築することが重要です

（1）ワールドカップ詐欺がますます増えることは明らかであり、常に注意を払う必要があります。ワールドカップの進行に伴い、関連する熱が高まるにつれて、さらに多くの詐欺が発生することは間違いありません。ワールドカップやFIFAに関連するものだけでなく、ワールドカップの有名選手（例えば「メッシコイン」や「Cロナウドコイン」など）や人気のあるイベントに関連する詐欺も発生する可能性があります。皆さんは常に注意を払う必要があります。

（2）興味のあるトークン/NFTについては慎重に、まず公式サイト/コミュニティ/Twitterなどを通じて基本的な状況を確認してください。

（3）他人が推薦するトークンやリンクには十分注意し、騙されないようにしましょう。

これらの注意事項は実際にはそれほど複雑ではありませんが、なぜ攻撃者が何度も成功するのでしょうか？

一つは攻撃範囲が広く、ユーザー数が多いため、漏れがあるからです。二つ目は、ユーザーの焦りを利用し、ユーザーに恐怖を引き起こし、考える時間を与えないからです。三つ目は、ユーザーがトークン/NFT詐欺を迅速に検出するためのツールを欠いているからです。

次に、安全検出ツールの使用を学ぶことが重要です

トークン/NFTに関するさまざまな詐欺に対して、購入前に関連する検出ツールを使用してリスクをできるだけ回避する必要があります。

1.トークン検出にはGoPlusトークンセキュリティ検出サービスを使用できます

GoPlusトークンセキュリティ検出サービスは、現在、最も多くのトークンをカバーし、検出項目が最も充実しており、検出結果が最も正確なトークン検出サービスの一つです。現在、その検出サービスはTokenPocket、AveDex、Mask、Bitkeepなどの多くの有名なブロックチェーン製品に統合されています。

GoPlusecoのトークンセキュリティ検出紹介ページ（https://gopluseco.io/detail/49）

ページを開いたら、トークンに対応するパブリックチェーンを選択し、アドレスを入力するだけで、検出結果を確認できます。

検出ボタンをクリックすると、契約の安全性、貔貅リスク、保有量とロック状況など、数十項目の安全検出内容を含む包括的な安全検出結果が表示されます。

2.NFT検出にはGoPlus NFTセキュリティ検出サービスを使用できます

GoPlus NFTセキュリティ検出サービスは、現在、主要なNFTセキュリティ検出をサポートしています。その安全サービスはX2Y2などの主要プラットフォームでも使用されています。

GoPlusecoのGoPlus NFT紹介ページ（https://gopluseco.io/detail/75）

ページを開いたら、NFTに対応するパブリックチェーンを選択し、アドレスを入力するだけで、検出結果を確認できます。

検出ボタンをクリックすると、契約の安全性、NFTの真偽性、取引情報など、数十項目の安全検出内容を含む包括的な安全検出結果が表示されます。

3.直接 GoPlusecoにアドレスを入力して検索します。

直接GoPlusecoにアドレスを入力して検索することができ、トークンとNFTに関連する検出が統合されています。

アドレスを入力すると、そのアドレスに悪意のある行動があるかどうかを検出し、相応のトークン/NFT検出の入口を提供します。

以上の内容はすべてGoPluseco（https://gopluseco.io/）からのもので、GoPlusecoは業界内の優れたセキュリティアプリケーションやサービスを集約し、ユーザーに最適なセキュリティソリューションを提供します。セキュリティに関連する問題が発生した場合は、ぜひGoPlusecoに問い合わせてみてください。ここでは必ず答えます。

また、ワールドカップ期間中に、GoPluseco（https://gopluseco.io/）はワールドカップ安全テーマページを提供し、ワールドカップ関連のトークン、NFT、フィッシングサイトを検出する安全サービスを提供し、皆さんの資産の安全を守ります。