慢雾：2024年第2四半期 MistTrack の盗難フォーム分析

著者：慢雾 AML チーム

ブロックチェーンの急速な発展に伴い、ユーザーを対象とした盗難、フィッシング、詐欺などのセキュリティ事件が増加しており、攻撃手法も多様化しています。慢雾 SlowMist は毎日、多くの被害者から資金追跡や救済の支援を求めるメッセージを受け取っており、その中には数千万ドルを失った大規模な被害者も含まれています。これを受けて、本シリーズでは各四半期に受け取った盗難フォームの統計と分析を通じて、脱感作された実際のケースを用いて一般的または珍しい悪用手法を分析し、ユーザーが自分の資産をより良く保護する方法を学ぶ手助けをすることを目的としています。

統計によると、MistTrack Team は 2024 年 Q2 四半期に合計 467 件の盗難フォームを受け取り、その中には 146 件の海外フォームと 321 件の国内フォームが含まれています。私たちはこれらのフォームに対して無料の評価コミュニティサービスを提供しました（注：この記事の内容はフォームから提出されたケースにのみ関連し、メールや他のチャネルを通じて連絡されたケースは含まれません）。

その中で、MistTrack Team は 18 人の盗難被害者を支援し、13 のプラットフォームで約 2066.41 万ドルの資金を凍結しました。

盗難原因 Top 3

2024 年 Q2 のフォームで最も一般的な悪用手法は以下の通りです：

秘密鍵の漏洩

Q2 フォームの統計によると、多くのユーザーが秘密鍵 / リカバリーフレーズを Google ドキュメント、Tencent ドキュメント、百度クラウド、石墨ドキュメントなどのクラウドストレージに保存しています。一部のユーザーは、WeChat などのツールを使って秘密鍵 / リカバリーフレーズを信頼できる友人に送信し、さらには WeChat の画像認識機能を使ってリカバリーフレーズを WPS スプレッドシートにコピーし、そのスプレッドシートを暗号化してクラウドサービスを有効にし、さらにローカルハードディスクにも保存しています。これらは一見情報セキュリティを高める行為のように見えますが、実際には情報が盗まれるリスクを大幅に増加させています。ハッカーは「撞庫」と呼ばれる手法を利用し、ネット上で公開されたアカウントとパスワードのデータベースを収集して、これらのクラウドストレージサービスにログインを試みます。これは確率的な行為ですが、一度ログインに成功すれば、ハッカーは暗号通貨に関連する情報を簡単に見つけて盗むことができます。これらの状況は情報の受動的漏洩と見なすことができます。さらに、受害者がカスタマーサポートを装った詐欺師にリカバリーフレーズを入力させられたり、Discord などのチャットプラットフォームでフィッシングリンクに騙されたりして秘密鍵情報を入力するケースもあります。ここで、MistTrack Team は強く警告します。どんな状況でも秘密鍵 / リカバリーフレーズを他人に漏らすべきではありません。

また、偽のウォレットも秘密鍵漏洩の大きな原因です。この部分はすでに古くから言われていることですが、依然として多くのユーザーが検索エンジンを使用する際に、無意識に広告リンクをクリックして偽のウォレットアプリをダウンロードしています。ネットワークの理由から、多くのユーザーは第三者のダウンロードサイトから関連アプリを取得することを選択します。これらのサイトは、アプリがすべて Google Play のミラーからのダウンロードであると主張していますが、その実際の安全性は疑わしいです。以前、慢雾セキュリティチームは第三者アプリ市場 apkcombo のウォレットアプリを分析したところ、apkcombo が提供する imToken 24.9.11 バージョンは存在しないバージョンであり、現在市場で最も多く見られる偽の imToken ウォレットのバージョンであることが判明しました。

私たちはまた、偽のウォレットチームに関連するバックエンド管理システムを追跡しました。その中にはユーザー管理、通貨管理、入金管理などの複雑な暗号通貨制御機能が含まれています。この種のフィッシング行為は、高度な特性と専門性を持っており、多くの人々の想像を超えています。

例えば、Q2 には比較的珍しいケースがありました：あるユーザーが検索エンジンで「Twitter」を検索し、誤って偽の Twitter アプリをダウンロードしました。ユーザーがこのアプリを開くと、システムが地域制限のために VPN を使用する必要があると警告し、ユーザーに偽の VPN をダウンロードさせるよう誘導しました。その結果、そのユーザーの秘密鍵 / リカバリーフレーズが盗まれました。このようなケースは、オンラインアプリやサービスに対して慎重に審査と検証を行うべきであることを再度警告しています。

フィッシング

分析によると、Q2 の多くの盗難求助事件のフィッシング原因は、ユーザーが有名プロジェクトの Twitter に投稿されたフィッシングリンクのコメントをクリックしたことです。以前、慢雾セキュリティチームは特定の分析を行い、約 80% の有名プロジェクトが Twitter を投稿した後、コメント欄の最初のメッセージが詐欺フィッシングアカウントに占拠されることを発見しました。また、Telegram には Twitter アカウントを販売するグループが多数存在し、これらのアカウントのフォロワー数や投稿数はさまざまで、登録時間も異なります。これにより、潜在的な購入者は自分のニーズに応じて購入を選択できます。歴史的な記録によれば、販売されるアカウントの大多数は暗号通貨業界やネット有名人に関連しています。

さらに、Twitter アカウントを専門に販売するウェブサイトも存在し、これらのウェブサイトでは各年の Twitter アカウントを販売しており、非常に類似したアカウントの購入もサポートしています。例えば、偽のアカウント Optimlzm と本物のアカウント Optimism は非常に似た外観を持っています。このような高度に類似したアカウントを購入した後、フィッシンググループはプロモーションツールを使用してアカウントのインタラクションやフォロワー数を増やし、アカウントの信頼性を高めます。これらのプロモーションツールは暗号通貨での支払いを受け付けるだけでなく、いいね、リツイート、フォロワー増加など、さまざまなソーシャルメディアサービスを販売しています。これらのツールを利用することで、フィッシンググループは大量のフォロワーと投稿を持つ Twitter アカウントを取得し、プロジェクトの情報を模倣して発信します。実際のプロジェクトのアカウントと非常に似ているため、多くのユーザーは真偽を見分けることが難しくなり、フィッシンググループの成功率がさらに高まります。その後、フィッシンググループはフィッシング行為を実施し、有名プロジェクトの動向を自動的にフォローするロボットを使用します。プロジェクトがツイートを投稿すると、ロボットは自動的に返信して最初のコメントを奪い、より多くの閲覧を引き付けます。フィッシンググループが偽装したアカウントはプロジェクトのアカウントと非常に似ているため、ユーザーが不注意になり、偽のアカウントのフィッシングリンクをクリックし、承認や署名を行うと、資産の損失につながる可能性があります。

全体として、ブロックチェーン業界のフィッシング攻撃を見渡すと、個人ユーザーにとってのリスクは主に「ドメイン、署名」の 2 つの核心点にあります。全面的なセキュリティ保護を実現するために、私たちは常に二重防御戦略を採用することを主張しています。すなわち、人的セキュリティ意識防御 + 技術手段防御です。技術手段防御とは、フィッシングリスク遮断プラグイン Scam Sniffer などのさまざまなハードウェアおよびソフトウェアツールを利用して、資産と情報の安全を確保することを指します。ユーザーが疑わしいフィッシングページを開くと、ツールは即座にリスク警告を表示し、リスクが発生する最初のステップでそれを遮断します。人的セキュリティ意識防御に関しては、私たちは皆さんに『ブロックチェーンの暗黒森林自救手冊』（https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md）を深く読み、徐々に習得することを強くお勧めします。この 2 つの防御戦略の相互作用によってのみ、変化し続けるフィッシング攻撃手法に効果的に対抗し、資産の安全を守ることができます。

詐欺

詐欺手法は多岐にわたりますが、Q2 で最も一般的な詐欺手法は貔貅盤です。伝説によれば、貔貅はすべての物を飲み込み、排泄しない神秘的な生物とされており、寓話に登場する黄金や宝石などの財宝は一度飲み込まれるとその体内から取り出すことができません。したがって、貔貅盤は一度購入すると再び売却できない暗号通貨を比喩的に表現するために使用されます。

ある被害者は自分の経験を次のように語っています：「私は当時 Telegram グループで質問を提起し、ある人が熱心に多くの質問に答えてくれ、たくさんのことを教えてくれました。私たちは 2 日間プライベートチャットをした後、彼がとても良い人だと感じました。そこで彼は私を連れて新しいトークンを購入するための一次市場に行くことを提案し、PancakeSwap である通貨の契約アドレスを提供してくれました。私が購入した後、そのトークンは急騰し、彼はこれは半年に一度の黄金のチャンスだと言い、すぐに投資を増やすことを勧めました。私は事態がそんなに簡単ではないと感じ、彼の提案を採用しませんでしたが、彼はずっと私を急かしました。その時、私は騙されているかもしれないと気づき、グループの他の人に助けを求めて調査してもらったところ、確かにそれは貔貅コインであり、私は試してみた結果、購入はできても売却はできないことが分かりました。詐欺師が私がもう追加投資しないことに気づくと、彼は私をブロックしました。」

この被害者の経験は、実際には貔貅盤詐欺の典型的なパターンを反映しています：

1. 詐欺者は罠のスマートコントラクトを設定し、高利益を約束する餌を投げます；

2. 詐欺者はターゲットにトークンを購入させるために全力を尽くし、被害者が購入した後、そのトークンが急速に価値を上げるのを見て、被害者は通常、トークンの価格が十分に上昇したら交換を試みることを決定しますが、結果的に購入したトークンを売却できないことが分かります；

3. 最後に、詐欺者は被害者の投資資金を引き出します。

注目すべきは、Q2 フォームで言及された貔貅コインはすべて BSC 上で発生しており、下の図では貔貅コインに多くの取引があることがわかります。詐欺師は保有しているトークンをウォレットや取引所に送信し、多くの人が参加しているかのような偽の印象を与えています。

貔貅盤の本質は一定の隠蔽性を持っているため、経験豊富な投資家でさえ真実を見抜くのが難しい場合があります。現在、Meme の流行により、さまざまな「土狗コイン」が市場に影響を与えています。貔貅盤の価格は急速に上昇するため、人々は衝動的に購入に走り、多くの真実を知らない市場参加者がこの「土狗熱」を追い求め、知らず知らずのうちに貔貅盤の罠に陥り、購入後は再び売却できなくなります。

したがって、MistTrack Team は多くのユーザーに対し、貔貅盤に参加することで資金が損失するのを避けるために、以下の対策を講じることをお勧めします：

• MistTrack を使用して関連アドレスのリスク状況を確認するか、GoPlus のトークン安全検査ツールを使用して貔貅コインを識別し、取引の意思決定を行う；
• Etherscan や BscScan でコードが監査および検証されているかを確認するか、関連するコメントを読む。なぜなら、一部の被害者は詐欺トークンのコメントタブで警告を発信するからです；
• 関連する暗号通貨情報を理解し、プロジェクトの背景を考慮し、自身の防止意識を高める。超高リターンを提供する暗号通貨には警戒が必要であり、超高リターンは通常、より大きなリスクを意味します。