暗号資産の詐欺・ハッキング事例まとめ

秘密鍵を騙し取る手口

秘密鍵を抜き取る手口

1. クラウドサービスに保管してて、パスワード流出でログインされて抜かれる【クラウド保管しない、二段階認証設定する】

2. ウイルスソフトで抜き取る【ファイルインストールしない】

   1. ゲームのβテストROMと称してウイルスソフトをインストールさせてくるパターン

   2. インタビュー依頼時に翻訳機能付きミーティングソフトと称してウイルスソフトをインストールさせてくるパターンhttps://twitter.com/tettiblog/status/1575671836511444993?t=7qHVBJ1yDLlBEw3ixUxDPQ&s=19

   3. 日本語翻訳やコンテンツ制作の報酬支払いのために必要なツールと称してウイルスソフトをインストールさせてくるパターンhttps://twitter.com/noobbotter3/status/1582443159107534848?t=ihEy3X2lakghf5CksLt9mA&s=19

秘密鍵を聞き出す手口

1. サポートの振りをして聞き出す【DM信じない】

   1. メタマスクのサポートと偽ってメールやDMでのやり取りで秘密を聞き出す

   2. ゲームのサポートと偽ってDMで聞き出す

2. フィッシングサイトで聞き出す【エアドロに飛びつかない、承認内容確認する】

   1. DMでエアドロ当選の連絡と併せて受取のためのサイトと称してフィッシングサイトに誘導し、賞金受取のために秘密鍵を入力させてくるパターン

   2. 運営の投稿に続ける形で「アイコンなし」「名前：'"."」のアカウントで投稿。あたかも運営の投稿の続きであるかのように虚偽のエアドロキャンペーンの告知とフィッシングサイトのURLを貼るパターン

   3. 招待期限が切れているcoingeckoやXのDiscordサーバURLと全く同じURLを取得して公式アカウントのサーバ遷移先を詐欺サーバにすり替えて虚偽のエアドロ告知&フィッシングサイトへの誘導を行うパターン

   4. 24時間限定でDiscordサーバ招待の開放キャンペーンをしているプロジェクトで、招待期限切れた瞬間に同じ招待IDで招待コード発行してなりすます手口

   5. インフルエンサーのXの投稿に、本人になりすましてサロンの入会URLと称しフィッシングサイトへ誘導するパターン（本人をブロックすることで本人アカウントから表示されないようにする手口が流行したためXの仕様が変更された）  https://twitter.com/AvailProject/status/1790104845694668865?t=GTDJwpgFZgo9I0pxyzAC0g&s=19

   6. Google検索のスポンサー枠にフィッシングサイトが掲載されるパターン

   7. Xの広告枠にエアドロリンクと称してフィッシングサイトのリンクを掲載するパターン

暗号資産を騙し取るパターン

オファーや送金先を誤認させる手口

1. オファーの暗号資産を別通貨でオファーする手口

   1. 【0.1 ETH】ではなく【0.1 DAI】でオファーして「0.1 ETH」と誤認させる手口

2. ウォレットアドレスのコピペミスを狙う手口

   1. ウォレットアドレスの先頭と末尾が一致してる別アドレスに暗号資産を送金することで、あたかも本人のアドレスかのように誤認させてアドレス取得の際のコピペミスを誘発させるパターン

先に入金させて雲隠れパターン

1. プレセールでNFT売った後に垢消しして雲隠れパターン

2. 信用取引で先に送金させてからNFTを送らずに雲隠れするパターン

SetApprovalforAllを承認させて抜き取るパターン

1. 先着順と煽って急いで買わせる手口

   1. 非公開で先着1,000個限定で販売！してたけど売れ残ったから少数を公開販売します！と告知して購入ページでSetApprovalforAllさせるパターン（先着順にすることて承認内容をチェックする間を与えない）

ハッキングのパターン

ハッキングは個人ではなくプロジェクトの脆弱性の問題なので個人じゃ防ぎようがないので参考情報
1. ブリッジのハッキングで流動性のプール全部抜かれるパターン

https://twitter.com/hiyo2025/status/1789990004552573227?t=6zOiy26E_afOEozqCTu_Cw&s=19

詐欺とかハッキングとかじゃないけどユーザフレンドリーでない事例

• Zkazino：流動性提供されたETH全部草コインにしちゃうパターン