【☠️実害報告あり☠️】エグいSCAM
NFTの大敵 SCAM(詐欺)との戦闘記録&SCAM図鑑
こんにちは、どらごんです🐲
僕といつもご協力頂いている管理人さん達と運営している、Bomb Cryptoのオープンチャットで、とある事案が発生しました。
↓↓
『BombcoinをBNBにswapした所 SCAMによりswapした全額200$分のBNBを盗まれてしまいました。』
只事ではございません…❗️
その怒りから典型的なSCAMパターン、そして対抗策についてチームで学んだものを共有させて頂きます。
この記事はこんな方にオススメです⇒資産を守りたい
✅せっかく増やした資産をズルいやり口で盗まれたくない!
✅敵(詐欺師)のやり口を知りたい方
✅詐欺 許すまじ!の精神の方
この記事を読むことでクリプト界隈で生き抜く為に重要な「守り」に貢献できれば幸いです!
詐欺に合わない屈強な知識を一緒に身につけていきましょう💪
まずは詐欺師の行動を調べる
詐欺師の取引を確認すべくBscScan(取引履歴が一覧できるサイト)を見ました。 なんと!!Bomb Cryptoをプレイしていないウォレットからも盗み出していました…。なんてヤツだ💢
被害にあったSCAMの種類は「Sweepers(最も悪質なSCAM)」でした。
Bomb Crypto以外をプレイしている方も注意してください。
悪質なSCAM 【Sweepers】
何かしらの方法でMetamaskをhackされた後は下記の現象がおこりました。
・取引の内容を瞬時に別のものとすり替える
・承認ボタンを押すとコインを盗まれてしまう
・パスワード、ブラウザ、プロファイル(※Googleの内容保存機能のようなもの)を変えても無駄
・googleのログアウトをしようが無駄
要は
『一度hackされてしまったMetamaskは、ホワイトハッカー(※サイバー攻撃から守る人)によるハッキング返しをしなければ、セキュリティを取り戻すことができない』
対抗手段を模索
現状まだマーケット機能の無いボムクリプトのアカウントを捨てるのも悔しい。
そのために下記を決行
『自ら10回程Sweepersにわざと少額のBNBを盗ませ、そのパターンを記録する』
最終的に、手持ちのBombcoinを盗まれずに別ウォレットへと移す方法を発見しました。
そんな戦いの記録と、ついでにSweepers以外のSCAMのパターンと対策方法について、このnoteでまとめます。
【 典型的なSCAMとその回避方法 】
まずは『メタマスク公式記事の翻訳』
メタマスク公式記事を要約すると
詐欺師が多いから注意して、自分の資産は何としてでも自分で守り抜きましょうね。
という内容です。
↓↓↓
Web3の普及が加速し、エコシステムが発展し、より多くの暗号資産が交換されるようになると、それに伴い詐欺やハッキングの数も増えています。MetaMask を使用する上で重要なセキュリティルールに従うことであなたのウォレットは安全に保たれますが、あなたが遭遇する可能性のある詐欺の種類を理解することは有益です。何に気をつけるべきかを知ることで、Web3でのセキュリティは格段に向上します。この記事では、ハッキングや詐欺にあったときの対処法よりも、予防に重点を置いています。なぜなら、ブロックチェーン取引は不可逆的(再び元の状態に戻れないこと)であるため、盗まれた資金を取り戻せる可能性はほぼゼロに等しいからです。それよりも、堅牢なセキュリティの習慣を身につけ、そもそもこのような事態に陥らないようにすることに力を注ぐのが得策です。
重要事項のおさらい(※添削あり)
秘密のリカバリーフレーズ(シードフレーズ)は何があっても絶対に他人に教えないでください。
MetaMask は、カスタマーサポートの問題に関して、公式ルート以外では決してあなたに連絡を取らないことを覚えておいてください。(※NFTゲームの運営がdiscord等で連絡してくることもほぼありません。)
ハードウェアウォレットの購入を検討してください。
Spoofing(スプーフィング)/ なりすまし
スプーフィングとは?⇒身元を偽装し、なりすますこと
詐欺師はこの方法を、フィッシングと合わせて使用することが多いです。
・フィッシングで直接個人情報を取得
・スプーフィングで身元を偽り信用させた上でシードフレーズを盗む
※質問者を信用させる為に詐欺アカウントは作り込まれています
詐欺アカウントはMetaMaskの公式サポートチャンネルに似せています。
・MetaMask狐のロゴや開発者の顔写真等をアイコンに使用
・何となく説得力のあるTwitterハンドルを使用(@MetaMask_support 等)
・詐欺アカウントのツイート一覧には(質問者に信じ込ませる為に)専門的と取れるコンテンツやツイート、リツイートを事前に用意
事案発生までの具体的な例
①質問者は不安なことや分からないことをツイッターのリプライでMetaMaskのサポートに関する質問をする。
(※詐欺師やBotのエサとなりえる行動の為、お勧めできません。必ずMetamaskの公式チャンネルをご利用ください。)
②詐欺アカウント(Botの可能性もあり)は、質問者がMetaMaskのサポートを求めていることからターゲットとして特定
③質問者のツイートに返信 or DMを送信
④作り込まれた詐欺アカウントを質問者は信用し返信
⑤ 質問者からシードフレーズを聞き出した詐欺師は、質問者のウォレットにアクセスし、質問者のウォレットから詐欺師のアドレスへ資金を流出させる
質問者が不安に思っている時こそが
詐欺師にとっては付け込みやすい状況となります。
質問者は作り込まれた詐欺アカウントを見て信用し、リプライやDMに返信してしまい、情報を渡し資金流出してしまう。というのが大まかな流れです。
※Twitterだけでなく
メッセージングサービス、フォーラム、discordなど、質問者が情報を公に共有するあらゆるプラットフォームで上記が発生する可能性があります。
その為、暗号やデジタル資産の普及に伴い、ハッキングの手口も巧妙化し、Web3の世界に入り込む潜在的な被害者はますます増加傾向にあります。
なりすまし攻撃から身を守るには?
まず『無視』しましょう!
サポートや運営から連絡先や秘密のリカバリーフレーズ(シードフレーズ)、サポート問題の詳細について絶対に尋ねてきません。
それをしてくるのは詐欺師と断定して間違いないでしょう。
↓↓↓
MetaMaskを使用してDeFiのようなWeb3サービスを利用することは、とてもエキサイティングなことですが、一方で常に警戒を怠らないことが必要です。スプーフィングを防止し、識別するための黄金律は以下の通りです。MetaMask は、ヘルプセンターからアクセスできるMetamaskのサポートチャネル以外では、決してお客様に連絡しないことに留意してください。これらのチャンネル以外で連絡先や秘密のリカバリーフレーズ、サポート問題の詳細について尋ねる者は、潜在的な詐欺師であり、無視/または報告する必要があります。用心してください。詐欺のように見える場合、それはおそらく詐欺です。常に観察を怠らず、怪しい兆候に目を光らせてください。以下のようなものがあります。あなたの名前、ウォレットの中のコイン数、秘密鍵など、個人情報を要求してくる。アンダースコア、二重文字、数字を使って公式アカウントを模倣した非公式なツイッターハンドル(例:@MetaMask)。サポート、連絡、DMの送信を要求するもの。専門的でない言葉遣い。最も重要なことは、あなたのシークレットリカバリーフレーズを安全に保つことであり、その人物/組織がどれほど説得力があろうとも、それを渡さないことです。
SCAMその① 「Sweepers」
『 マルウェア(コンピュータウイルス) Sweepers 』
公式原文の翻訳ではシードフレーズを教えなければ大丈夫みたいに記述されてますが、被害者は誰かに教えたことはありません。
↓↓↓
スイープ(別名スカベンジング)とは、
ネットワーク上に広まっているトランザクション(取引履歴)や、保留中のトランザクション(取引履歴)が一時的に保存されるmempool(メモリプールの略)またはtxpool(取引注文や履歴をストックする場所と思って下さい。)を監視するスクリプト(直ぐに動かすプログラム)を、悪意のある当事者があなたの財布に割り当てることを指します。これらのsweeperスクリプト(資金抜き実行プログラム)は、対象となるウォレットからの送受信トランザクション(取引履歴)を識別すると、元のトランザクション(取引履歴)が完了する前に新しいトランザクション(取引履歴)に署名するために介入します。そして、資金を横取りし、代わりにその所有者によってスクリプト(直ぐに動かすプログラム)に書き込まれたウォレットに送金することができます。自分のウォレットがsweeperスクリプト(資金抜き実行プログラム)の影響を受けるのは、秘密のリカバリフレーズを悪質業者に共有した場合のみです。
不思議に思い、念のためウイルスソフトを起動したところ
■5つのウイルスが検出されました■
恐らく今回はウイルスによるものだと思われるのでMeta mask運営に報告メールを送りました。(2022/01/06現在まだ返事は来ていません。)
これからの対策に際し、厄介な2点
公式記述文によると
①コードは人間よりはるかに速く反応しする
スクリプトより速くウォレットに資金を移動させようとすると、常に二の舞になります。
②スクリプトは目に見えないところで動作する
ハッキングされたことがすぐにわかるわけではありません。
重要な取引を行ったのに、自分も相手も資金を受け取れなかった場合、最初は取引が止まっているか保留になっているか、MetaMaskが誤動作したのだと思うかもしれません。(これが本当にやっかいでした正常にスワップをしていたつもりが、気づいた瞬間0BNBになっていたのです。認証ボタンを気軽に押すのはやめましょう。)
詐欺師にとって、最初の重要なステップは、あなたのシークレットリカバリーフレーズを入手することです。
そのために、上記のようななりすましによるフィッシング攻撃を仕掛けてくる可能性があります。また、親しみやすいヘルプデスクのエンジニアを装い、問題解決をお手伝いすることもありますし、MetaMask の公式サポートアカウントを装うこともあります。
また、一見すると信頼できそうなDapp(権力者や管理者のいない透明性を目指したアプリ)を設定したり、既存のDappを模倣して、秘密鍵や秘密の回復フレーズを入力するよう要求することも考えられます。もし成功すれば、彼らはあなたのウォレットにアクセスし、あなたの秘密鍵を入手し、それをsweeperスクリプトに書き込むことができるようになります。
秘密鍵を所有することで、スクリプトはユーザーの知らないうちに取引に署名し、ウォレットの活動を完全かつ自由に制御できるようになります。スクリプトは、あなたのアカウントに出入りするトランザクションを監視し、あなたが反応する前に、あなたが送金したトークンを一掃するようになります。
スイーパースクリプトは、いったんウォレットに侵入すると、非常に複雑な方法を採用したり、ホワイトハットハッカーを雇ったりしなければならず、始末に負えないものです。
例えば、侵害されたウォレットからNFTを取り出そうとする場合、非常に特殊なアプローチを取ることになります。
シークレットリカバリーフレーズを安全に保つことは、スイーパースクリプトの被害に遭わないための最善かつ最も信頼できる方法です。
これがなければ、悪意のある行為者があなたの秘密鍵にアクセスし、あなたの資金を盗む取引に署名することはできません。(これが事実ならウイルス等によってシークレットフレーズを盗まれた...?)もう1つの選択肢は、暗号の保有量に比例して、ハードウェアウォレットの購入を検討することです。(LedgerやTrezorなどが有名)ハードウェア・ウォレットは「コールド」ウォレットと呼ばれ、秘密鍵を完全にオフラインで保管するため、ハッカーにとって大きな障害となります。Web3の世界では、常に懐疑的である必要があります。つまり、Dappsを利用する際には、そのDappsが信頼できるものであるとは思わないでください。常にリサーチしリスクを確認する必要があります。
シークレットリカバリーフレーズを安全に保つことは、スイーパースクリプトの被害に遭わないための最善かつ最も信頼できる方法です。これがなければ、悪意のある行為者があなたの秘密鍵にアクセスし、あなたの資金を盗む取引に署名することはできません。(これが事実ならウイルス等によってシークレットフレーズを盗まれた...?)
もう1つの選択肢は、
暗号の保有量に比例して、ハードウェアウォレットの購入を検討することです。(LedgerやTrezorなどが有名)ハードウェア・ウォレットは「コールド」ウォレットと呼ばれ、秘密鍵を完全にオフラインで保管するため、ハッカーにとって大きな障害となります。Web3の世界では、常に懐疑的(疑いをもって物事に接する)である必要があります。
つまり、Dappsを利用する際には、そのDappsが信頼できるものであるとは思わないでください。常にリサーチしリスクを確認する必要があります。
シークレットリカバリーフレーズを安全に保つことは、スイーパースクリプトの被害に遭わないための最善かつ最も信頼できる方法です。これがなければ、悪意のある行為者があなたの秘密鍵にアクセスし、あなたの資金を盗む取引に署名することはできません。(これが事実ならウイルス等によってシークレットフレーズを盗まれた...?)もう1つの選択肢は、暗号の保有量に比例して、ハードウェアウォレットの購入を検討することです。(LedgerやTrezorなどが有名)ハードウェア・ウォレットは「コールド」ウォレットと呼ばれ、秘密鍵を完全にオフラインで保管するため、ハッカーにとって大きな障害となります。Web3の世界では、常に懐疑的である必要があります。つまり、Dappsを利用する際には、そのDappsが信頼できるものであるとは思わないでください。常にリサーチしリスクを確認する必要があります。
Clipboard hacking(クリップボードハッキング)クリップボードハッキングとは?
普段から便利で誰もが使う「コピー&ペースト機能」を悪用されたもの
①詐欺師はマルウェア(ウィルス)を撒きます
②感染したマルウェアは自動的にPCメモリのクリップボード(一時的にデータを保存する場所)を傍受して暗号化アドレスをスキャンします
③詐欺師の受取アドレスに自動で置き換えます
④ペーストする際には③で詐欺師の受取アドレス置き換わっているので、そのまま詐欺師への送金が完了してしまう
↓↓↓
良い知らせは、クリップボードハッキングは、クリップボードを持った人を疑う必要がないということです。悪いニュースは、暗号を盗むための正真正銘の陰湿な方法であるということです。(上の画像はメタマスクでの自分のアドレスをコピーする部分。これをマルウェアによって、いざ貼り付けたときに別のアドレスを貼り付けれる状態にしてしまう。)暗号化ウォレットのアドレスは16進数(base16)で、文字数も多いため、電子メールやユーザー名を入力するのと同じように、記憶したり、手入力したりするのには向いていません。そこで、暗号トランザクションの影のヒーロー、コピー&ペーストが登場しました。MetaMask を含む多くのウォレットや取引所には、「コピー」または「クリップボードにコピー」ショートカットが組み込まれており、ワンクリックでウォレットアドレスをコピーすることができます。
これらの機能は、例えばトークンを転送する可能性のあるサードパーティサイトにペーストするプロセスを円滑にします。クリップボードハッキングは、コピー&ペースト機能を悪用し、あなたから奪います。悪意のある行為者は、ユーザーの経験不足や信頼を利用するのではなく、マルウェアを作成し、拡散させるのです。このマルウェアがコンピュータに感染すると、ほとんどの場合、一見無害に見えるダウンロードファイルの中に隠されており、自動的にクリップボードを傍受して暗号化アドレスをスキャンし、それを特定すると自分自身のアドレスに置き換えます。そのため、貼り付けを実行する頃には、あなたのアドレスは置き換えられており、ハッカーにコインを送信しようとします。当然ながら、ブロックチェーン取引は不可逆であるため、一度送信された資金を取り戻す方法はありません。
クリップボードハッカーから身を守るには?
①強力なマルウェア対策ソフトウェアをインストールし、常にアップデートしておく
②ハードウェアウォレットを導入する
③良く分からないファイルやサイトは踏まないようにする
④送金時にはアドレスのチェックを入念に行う(2回、3回)
↓↓↓
ソフトウェアは、クリップボードをハッキングするマルウェアプログラムのほとんどを識別して通知し、暗号活動に影響を与える前にそれらを隔離するはずです。しかし、マルウェア対策ソフトウェアがプログラムを検出しない可能性もあるため、安全性を確保する唯一の方法は、取引を確認する前にアドレスを二重、三重にチェックすることです。ハードウェアウォレットによっては、この作業を行うよう促されることがありますが、取引は不可逆的(再び元の状態に戻れないこと)であるため、採用する価値のある習慣と言えるでしょう。
ブラウザの履歴を分析し、コンピュータをスキャンして、さらなる情報漏洩を排除するようにしてください。もし不審なフィッシングサイトを発見された場合は、Metamask サポートフォームよりご報告ください。また、お客様ご自身で調査された結果、さらに詳しい情報をお持ちの場合は、ぜひご一報ください。次のステップ別のブラウザにMetaMaskをインストールするか(または現在使用しているブラウザで別のプロファイルを作成)、モバイルアプリを新たにダウンロードし新しいアカウントを作成します。新しいシードを作成するよう求められたらメモして安全な場所に保管する漏洩したアカウントに戻り、新しく作成したアカウントに資金を送金する。旧アカウントの使用はできるだけ早く中止する。
注意事項残念ながら、
取引の取り消しや資金が失われた場合の復旧はできません。シードフレーズ/シークレットリカバリーフレーズは、編集や変更はできません。
現実世界で行っていることをCRYPTO界でも心がけましょう!
現実世界では、私たちは幼い頃から犯罪の被害に遭う可能性を減らすための習慣を身につけるよう教えられてきました。
・街のどのエリアには近づいてはならないか
・カード決済の際には暗証番号を隠す
・外出時にはドアのロックを確認し、家のアラームをオンにする
これらの行為は、あまりにも身近であるため、自然に身に付き、何も考えなくなるのです。
それと同じように、私たちはWeb3のセキュリティの最善案を採用し、それを内面化する必要があるのです。
このような詐欺の種類を問わず、2つのことが一貫しています。もし、この記事の一部分しか覚えていないのであれば、この2つの点を覚えておいてください。
・シークレットリカバリーフレーズ(シードフレーズ)は絶対に誰にも渡さないでください。
シークレットリカバリーフレーズは、あなたの秘密鍵にローカルにアクセスするために使用されます。つまり、このフレーズを持っている人は、あなたの財布の中身に完全かつ自由にアクセスすることができるのです。
・MetaMask は公式サポートチャネル以外では決してあなたにコンタクトを取らず、カスタマーサポートとのやり取りにおいても、あなたの秘密の復旧フレーズを尋ねることは決してありません。
やばい!ハッキングされたかもと思ったら
もしあなたがハッキングされたとしたら、その原因はいくつか考えられるでしょう。
あなたのコンピューターが(マルウェア/スパイウェア)に感染し、あなたのコンピューターに個人情報が保存された。
悪質なフィッシングサイトにアクセスし、情報を盗まれた。
秘密鍵やシークレットリカバリーフレーズ(シードフレーズ)を誰かやサイトに渡してしまった。
Web3サイト/スマートコントラクトに、あなたの資金への無制限アクセスを与えた場合(誰にアクセスを与えたか確認し、ここで取り消す:
上記までがSCAMの流れや手法。MetaMaskの注意喚起でした。
■最後に…実際に行ったBCOINを救出する方法
いきさつ
SweepersによってBNBが盗まれるトリガーとなる通信はまさかのBomb Cryptoの CONNECT WALLETを押したタイミングでした。
(通貨の移動はその際に一切発生しない)
初めて盗まれた際は、そもそも盗まれたことに気づきませんでした。
いつもどおりPancakeswapを用いてBCOINをswapしようとし、
ガス代が不足していたのでBUSDではなくBNBを選択しました。
その後、ボムクリプトを起動し、しばらくしてから、Pancakeswap上やBscScan上では取引成功と表示されているのに、BNBが0であることに気が付きます。
転送速度は一番遅い通常にしていたし、夜だから転送に時間がかかっているのかなと気にしませんでした。
翌日になってもBNBが0のままであるものの、BCOINの反映に1日かかるバグがあることを知っていたので転送でも同じ様なことがあるのかなぁと軽く捉えていました。
ガス代が足りない状況は変わっていないので更に追加で40BCOINをClaimし、同様の手順でpancakeswapを用いてswap。
今回は10秒ほどですぐに転送され、ウォレットも表示されました。しかしその10分程後に、BNBが再度0になっていることに気が付きます。
そしてBscScanで自分のアドレスに関する取引を確認したところ、swapした数分後に、全く知らないアドレスに送金していることに気づきました。
あわてて昨日の分も確認し、全く同じアドレスに全額送金されていたことが発覚。
ここでついにSCAM被害にあったことに気が付きました。
憎きSCAMのアドレス
0x12fD19977c7F809955b02bfFed525A8E15A62e7e
上記アドレスを確認すると、BCOINを保有していない方がたくさんいることもわかりました。(=ボムクリプトだけでなく様々なゲームユーザーから盗みまくっている)
そのためSCAMに対しての情報を調べていて、今回翻訳した内容にたどり着きました。
Sweepersの挙動検証スタート
まず初めに、ボムクリプトで、googleにログインしたままMetamaskと連携するとhackされるケースがあるというSCAMアラートを以前見ていたので、プロファイル分離を試したり、別のブラウザを試してみたりしつつ、少額のBNBをウォレットに入れ、検証したところ、
・BCOINは盗まれない
・BNBが0.0001以下の場合盗まれない(ガス代の関係?作成者がそういう設定にしているのか?)
・BOMB CRYPTO のCONNECT WALLETを押し、署名をクリックした瞬間にBNBが盗まれるスクリプトが組まれている。
・アンチウイルスソフトでウイルスを5個発見
『※削除した後、プロファイル分離、別ブラウザ、メタマスクのパスワード変更をしたが効果が無かった』
・新Metamaskを作成したら盗まれなかった
※旧Metamask自体が侵食されている
ということが判明し、やはり説明どおりMetamaskを変えるしかないことは理解した。
しかしボムクリプトにはまだマーケット機能が無いため、すぐさまこのMetamaskを捨てたくはない状況。
模索した結果!
BCOINを救出する方法を発見!
①BNBを盗むトリガーはBOMB CRYPTO起動時の署名
BNBが無い状態でもBOMB CRYPTOを起動できる
②BCOINはBNB介入無しでClaimできる
ゲーム内でClaimし、BCOINをウォレットへ
③BCOINを別ウォレットに移動
ガス代ギリギリのBNBのみ用意
以上です。
Claim後に即、他ウォレットへ移す方法は応用可能かもしれません
仮にSweepersに感染してしまい
他ゲームをプレイしている場合、もし盗む際のトリガーが何なにかが分かれば、同様の手段でコインを抜くことができるかもしれません。(これがMetamask公式の言う特殊な手段に当てはまるのでしょうか?)
現在MetamaskとBOMB CRYPTOの運営側に、Sweepersの被害にあってしまったが、NFTのみ別ウォレットに移動できないか?
という確認をダメ元でしています。
返事があり次第こちらに追記させて頂きます。
👊SCAM ダメ絶対 奴らを許すな👊
Chromeのプロファイルを分離し、googleにログインしていない状態でMetamaskを運用する方法(及び同一ブラウザで複数アカウント使う方法/別のプロファイルの作り方)
■noteのいいね&Twitterのフォローをよろしくお願いします🐲
■LINEオープンチャット