【初心者/中級者】仮想通貨/NFTにおける詐欺・危険取引及びその対策大全【編集中】
こんにちは!仮想通貨でBinanceなどの取引所(いわゆるCEX)以外の取引(Defi, NFT)をメインにやっています。自分が経験したものや、他の方が経験した、詐欺・危険な取引及びその対策をまとめていくことで被害を減らせるのではないかと思ったので書いています。
仮想通貨では素晴らしいプロジェクトが沢山誕生する一方で、詐欺も手を変え品を変え生まれていきます。とはいえ多少「新しいな、巧妙だな」と思うような詐欺・危険な取引でも基本的なルールを守ると避けられる事が多いです。
なので色んな詐欺・危険な取引の事例を出しつつどうやったら避けられたかをまとめていこうと思います。細かく言えば新しい詐欺手法が生まれていくので基本常に更新する感じになると思います。(もしくは続編として出す?)
ちなみにスキャム・ラグプルといった用語が仮想通貨に比較的詳しい人の間で使われることが多いです。スキャムは完全に最初から詐欺目的の行為・プロジェクトの事、ラグプル(または動詞としてラグる)とは途中まで詐欺的な行為を働くことを隠して優良なプロジェクトを装い最終的には取引者・保有者を裏切り損害を与える事を言います。とりあえずここでは両方とも詐欺・危険な取引と呼称しておきます。
ラグプル(Rugpull)の絵。投資家は突然じゅうたん(Rug)を悪魔にひっぱられる(Pull)。
目次:
1、押さえておくべき基本ルール
2、NFTにおける事例(初級・中級)
3、Defiにおける事例(初級・中級)
4、やや高度な詐欺
5、その他おススメ情報。詐欺・危険な取引関連情報
1,押さえておくべき基本ルール
仮想通貨は値動きが大きく、他の金融資産と比べて法的な保護もほぼないので大変危険です。特に取引所(別名CEX、Binance, BitFlyerなど)以外での取引は「魔界」と呼称される場所も多く大変危険です。詐欺的な取引は無限にあるので色んな詐欺回避方法あると思いますが基本となるルールは以下のような感じです、
①ダイレクトメッセージは基本全部無視or 詐欺の可能性が特大と思ってみる
→テレグラム・Discord・Twitterが主なコミュニケーションツールとして使われることが多いですが、毎日大量の詐欺ダイレクトメッセージ(DM)が送られてきます。基本全部無視でOKです。数か月付き合いのある方と連絡する時のみと考えてよいです。それぞれ設定でDMが表示されない・届かないようにしましょう。
以下はテレグラムの例です。毎日偽のプロジェクト(名前と画像だけ本物のプロジェクトやそのオーナーのアイコンと同じ)や可愛いアイコンの人(会話すると詐欺に誘導される)から大量のメッセージが来ます。全て詐欺です。
②勝手に送られてくるもの(トークン・NFT)は詐欺
仮想通貨だと何万円も価値があるものがタダで貰えることがあります。しかし、それは「申し込みをして抽選で当たった」「新しいプロジェクトの立ち上げに協力した」「貰う権利がついた高価なNFTを持っていた」など貰う為の行為(努力、対価)が背景にあります。そういった背景なしに「勝手に」送られてくるものは詐欺師が送りつけている可能性が極めて高いです。具体的にはそのトークン・NFTを取引(売却する為のApprove等)をする事で第三者(詐欺師)に取引権限を渡してしまうことがあります(で保有資産を盗まれる)。
以下は、私に勝手に送られてきたものたち。一応価値があるように見せかけていたり、有名なNFTのデザインをパクったりしていて「知らない間にもらったのかな!」と思わせて売ろうとすると詐欺につかまります。
③シードフレーズは入力しない
DefiやNFTを始める際にメタマスクなどでウォレットを作成し、そこに取引所からお金を送る事で取引が開始されると思います。ウォレット作成の際に10桁程度の単語の羅列をメモさせられますがこれをシードフレーズ(Seed Phrase)と呼び、これを持つことでそのウォレットの全ての操作権限を持つことができます。言わば銀行預金通帳と印鑑と身分証を併せたみたいなもので、シードフレーズは新しくパソコンを買って新しいブラウザでウォレットを操作し始める等超限られた時にしか使いません。
詐欺師たちは「『故障を調べる』といってシードフレーズを聞いてくる」「偽のウェブサイトを作ってそこでシードフレーズの入力をさせる」「理由を付けてZoomビデオ会議などをしてきて画面共有して盗み見ようとしてくる」等様々な手法があります。全て詐欺です。メッセージを無視するとだいたいこれらの誘導は防げますが、それでも防げないケースが以下です。
画像は偽のOpenseaのウェブサイト。全く同じです見た目ですがURLが微妙に異なります。シードフレーズの入力を求められ、入力すると保有資産を盗まれます。一時はこちらの偽サイトがGoogle検索で本物より上位になっていたとか。Openseaに限らず人気の仮想通貨のサイトのコピーが来てGoogle検索で上位になる事は頻繁にあります。なのでGoogle検索は危険です。
現在ある程度安全性の高いURL確認方法は(以下画像参照)、
1、Twitterのアカウントに行く(公式マークのあるものは公式マークを手掛かりにする)
2,更に自分がフォローして信頼している人がフォローしている(この場合私のフォローしている人のうち278人がフォローしています)
の2つでダブルチェックする方法です。フォロワーの人数は買えるので信頼し過ぎないようにしましょう。公式マークを持った詐欺師も最近いましたので、公式マークだけでの信頼は危険です。(ちなみにTwitterがハッキングされることがないとは言えません!Discordは毎日のようにハッキングされます 後述)
本物のメタマスクアカウント
偽物のメタマスクアカウント
④高額過ぎる取引はしない、大金は一か所に持たない、取引するウォレットと保管するウォレットは分ける。
ここまでの3つのルールを守ればかなりの詐欺を防げます。ただそれ以外にもたくさんの種類の詐欺があり基本的に仮想通貨は多かれ少なかれ「被弾前提」でやる必要があります。また、仮想通貨は成長産業の為相場の良い時は大変儲かるので「いかに相場が良い時まで生き残るか」が大事です。そういった観点からも詐欺に被弾して即死亡とならない事が大事です。
・自分の資産の数十%を超えるような「仮にダメだったら一発で退場」になるような金額の物は買わない→買ったら詐欺で吹っ飛ぶかもしれないし、詐欺じゃないにしても人気がなくて価値が0になるかもしれません。このルールを守って良いと思ったのに買わなかった物が上がると大変悔しいです。そんな時は「まだその勝負の土俵に立っていない」と思ってあきらめましょう。
・どんなに詐欺・危険回避を徹底していても焦りや凡ミス、超巧妙な詐欺など引っ掛かる事はあります。またそもそも自分に全く落ち度はなくても「プロジェクト自体がハッキングされた」結果預けた資産を全て失うことも頻繁にあります。投資先は全損する可能性を踏まえて、また自分の取引しているウォレットの中身がすべて抜かれる前提で分散を心がけましょう。取引するウォレットと資産を貯めておくウォレットをわける、比較的安全とされる最大手取引所に一部置く、ハードウェアウォレットを使う、保管専用のノートパソコンを別途持つ・・・等分散をしましょう。
ちなみにこの人は仮想通貨の大手ベンチャーキャピタルファンドの創業者ですが、パソコンのハッキングに遭い数千万円相当のNFTを奪われました。パソコン自体がハッキングされたので仮想通貨の特性のみを利用した詐欺とは少し違いますが、どんなに優秀で知識がある人でも危険な目にあう状況にあるのが仮想通貨です。ちなみにこの方はハードウェアウォレットに入れていた資産は守られました。
以上①から④のルールを守っていけばかなりの詐欺は防ぐことができると思います。ただ個別の事例を学んで様々なケースを学んでいくことでより完璧に近くなる(完全な安全は絶対にないですが)と思いますので次章以降ではケースバイケースで対策を考えたいと思います。
以下作成中。。。。
2、NFTにおける詐欺・危険取引事例(初級・中級)
2-1 「DMで送られてきたミントのページに行ったら詐欺サイトだった」
以下のような感じで自分が入っている人気プロジェクトと同じアイコン・名前でDMを送ってきます。そして場合によっては以下の例のように”Announcement”と名前につけて公式さを増すような工作も行ってきます。ルール1番「DMは詐欺」の最たる例です。恐らくクリックしたら偽のMintサイトに繋がると思われます。
ちなみにDMは詐欺ってわかっていてもひっかる理由がもう1つあると思います。検索窓でプロジェクトのDiscordを検索すると以下のようにプロジェクトのDiscordと並んで表示されることであたかもDMを開いてないように錯覚させてくることがあります。落ち着いてDMかどうかを見極めるのが大事ですね。
Discordでは認証などの為にダイレクトメッセージを受け取りが必要な時もありますが、基本的に常にダイレクトメッセージの許可はOFFにしておきましょう。
2-2「NFTをミント(Mint)したはずが詐欺師に送金されてた!!等」NFTのミントボタンを押すとミントのトランザクションではなくて送金が実行されるというもの。これが発生するのは主に2パターンあると思います、1つは①完全に詐欺のプロジェクトだったというもの。もう1つは②まじめなプロジェクトだったがDiscordなどURLを伝える場所が詐欺師にハッキングされて偽のリンクを貼られたというケース。
①についてはよく発生したのがSolanaのNFTです。SolanaのNFTで特に値段が0SOL(=無料)でNFTを販売し、イーサリアムメインネットと違ってガス代もほぼかからず、良いプロジェクトだと本当に無料なのに1SOL(1万円ぐらい)の値段が付くこともありました。しかしながらそれに目をつけた詐欺師がMintボタンを押すと送金される等設定した詐欺プロジェクトが発生。人気NFTプロジェクトは早い者勝ちですぐに在庫がなくなる為偽物かどうかの判断がつかぬまま取引ボタンを連打してしまうことが多く被害が拡大しました。これはルール4番「取引ウォレットと保管ウォレットをわける」を徹底して実際の取引するウォレットには超少額入れるなど行えば避けることができます。
②についても本当に頻繁に発生します。ある時からほとんど毎日のように発生しています。Discordなどにおいて本来セールがあるはずがない時間に突如として「NFTプレセール開始」という偽のメッセージ(announcement)がチームのアカウントから投稿され、偽のURLが貼られるというものです。偽のURLには偽のMintボタンがあり送金させられる等の被害に繋がります。また場合によってはセールが行われる予定・URLが投稿される予定と全く同じタイミングでDiscordがハッキングされてかなり防ぎようがないものもあります。こちらもルール4番で万が一の時の被害拡大を防ぐのが良いかと思います。
※こちらは実際にハッキング被害があったプロジェクト。フォロワー27万の大型プロジェクトです。
ちなみにギリギリで被害を防げるかもしれない方法があります。以下は実際に先日あったMintボタンと見せかけて送金をさせてくる取引です。落ち着いてみれば「Sending ETH」となってますし「ミントにしてはガス代も異様に安い」という特徴があります。少しでも早く取引をしようと焦る中で気づくのは難しいですが違和感を持ち思いとどまる事ができるかもしれません。
2-3「クリエイター探しているフリ詐欺」
こちらは最近みかけた事例でNFTクリエイターをターゲットにしたものになります。詐欺師はTwitterのDMで「NFTプロジェクトを立ち上げたいのであなたにアーティストになってほしい」といって連絡をしてきます。その後「どんなプロジェクトにしたいか」「あなたの創作物は素晴らしい」と話を進めてきます。最終的に何らかの理由(例:こちらの企画書や契約書を送る、こんなデザインを作ってほしいラフ画を送る)をつけてメール等で圧縮ファイル(rar)を送ってきます。この圧縮ファイルにウイルスが入っているという仕組み。もしかしたら相手の口がうまくて油断をしていると開けかねないと思いますが、ルール①DMは超危険、を肝に銘じることで油断する可能性を下げることができると思います。
実際のやり取り、、、当初は作品をほめてくれて嬉しかったりするかもですが・・・毅然とした態度で圧縮ファイルを拒否、もしくはブロックしましょう。
2-4 偽のコレクションがOpenseaで売買されている
これもとてもよくあるケースですが偽の作品が勝手に登録されていてそれを間違って買ってしまうケース。基本ある程度知名度がある作品は全て偽物が作られる傾向にあります。Openseaの検索機能では一瞬判別つかない事が多いです(偽物は取引量が異様に少ないなどがありますが、Openseaの更新が遅い事もあり判別がつきづらいタイミングもあると思います)。基本はプロジェクトのTwitterやウェブサイト、Discordなど公式のソースからリンクを取得するのが良いかと思います。ただ直近ではOpenseaの不手際(?)によって本物のリンクで偽物が売られる(具体例失念しました・要確認)事もあったとか。Twitterの偽物もあるかもしれないのでルール3で述べました方法で正しいアカウントを確認するのが良いと思います。Discordが乗っ取られて偽のリンクが貼られることもあるかもしれないのでそれも気を付けましょう!
3、Defi・NFT除くトークンにおける詐欺・危険取引事例(初級・中級)
ここではNFT以外のトークン全般における詐欺的な事例を考えたいと思います。
3-1 一般的な詐欺的な取引として、
・一度買ったら売れない仕組みになっているトークンを買わされる。これはコントラクトを作成した人が決めたウォレットのアドレスの人しか売却の取引ができない仕組みが仕掛けられているものになります。中には最初のころは売れたのに途中から売れなくなるもの、などもあります。
・また最初の例と近いですがDEX (パンケーキスワップなど)で途中までは売買が出来たのに、上場してから数十分・数時間するとある時開発者が入れていたLP(流動性)をなくし(Remove)売却が出来なくなるものがあります。
どちらの場合もトークンの開発者だけが値上がりしたトークンを売却する等を通じて儲けることができる状態になります。以下(https://twitter.com/CryptoWhale/status/1455158654525743110)は超有名になった詐欺られる実況動画。半袖の方は途中まで急上昇していくトークンをワクワクしながら実況していましたがある瞬間で大暴落、すべてを失いました。
Streamer watches his life savings go to zero after Squid Game Token rug pulls and drops -99.99%. pic.twitter.com/6hoDGBJeZO
— Mr. Whale 🐳 (@CryptoWhale) November 1, 2021
こういったものを買ってしまうときは「いかにも怪しいな」という事を半ば想定しながら意図的に買った結果詐欺にあう事も多いです。まあ怪しいと思っているなら少額しか投資しないので(しないよね?👀)大丈夫・・・ではなくて、時として「安全な別のトークンと勘違いして」大量に買ってしまうことがあります。
それがTelegramによる偽の誘導です。
先の「DMを無視する」というルールで貼らせていただいた画像を再度使います。詐欺師たちはあなたが入っている「(比較的)安全な」プロジェクトを騙ってDMを送付してきます、もしくは有名で(比較的)安全なプロジェクトと同じ名前のグループを作りあなたを勝手に招待して加入させてきます。気が付かず詐欺師のDMや偽のグループにある偽のセールのURLからトークンを買ってしまうと、もれなく売れないトークンを掴むことになります。=投資金額は全て失われる。
ここではルール1、DMは無視をするの応用になります。DMを無視するだけでなくて偽のグループに入れられることも避ける必要があります。なぜなら自分が受け取っているDMや加入させられた偽のグループは、自分が見たいチャンネルの名前を検索すると一緒にそれら偽物も表示されてしまうからです。
そういったことで以下がお勧めのテレグラム(Telegram)の設定になります。
この設定にしておくことで知らない人からのDMはアーカイブフォルダに集められて普段は見えなくなる、また偽のグループに勝手に入れさせられることも無くなります。更に詐欺師から電話が来ることも多くストレスなので電話も禁止に。これで気が付いたら買わされていたを大分防げるかと思います。
4、やや高度な詐欺。
4-1 Twitter の認証済みアカウントを使った事例
ここもと急速に増えているタイプの詐欺です。先日有名NFTのBAYCがホルダー向けにトークンを付与するイベントがありましたがその際Twitterにて以下のような認証のマークがついたアカウントから「あなたも有名NFTホルダーとして特別にトークンが来たよ」と連絡があり詐欺サイト誘導されるというものがありました。
下が画像の ”makalya.eth” "pemkot.eth"というのが犯人。Twitterの認証マークのついたBAYCのNFTをプロフィールにしたアカウントによる犯行で思わず騙された方が多かった模様。
ちなみに現在は以下のようにプロフィールは変わっていましたが依然として詐欺サイトのリンクはついたままでした。かなりトリッキーな例で思わず信じてしまうのもわかりますが、フォロワーが人数が多い割に自分が知っている人が一切フォローしていない(Botでフォロワー水増しの可能性大)事、また一瞬でも「ホルダー以外にプレゼントなんて本当にやっているのか?」と公式Twitter・Discordを調べれば回避できたと思います。
4-2 Discordのリンクを乗っ取る。
先日Tiffany(ティファニー)がNFTを始めたというツイートで紹介されていた方のプロフィールにあるDiscordリンク(下図赤で囲んでいるもの)を飛ぶと詐欺サイト(シードフレーズ入力させられる系)に最終的に誘導されるというものがありました。こちらは元となるDiscordの招待リンクが期限切れになっているのを確認したうえで、詐欺師が作成したDiscordのサーバーの招待リンクを編集して期限切れになった文字列と同じにした、という形でリンクの乗っ取りが行われたようです。今回はシードフレーズ要求型であったので基本ルールを守っていれば回避できたと思いますが、真正なアカウントからの発信という点は危険だったと思います。
5、その他おススメ情報。詐欺・危険な取引関連情報
5-1. メタマスクやOpenseaからのメールを装った詐欺
メタマスクやOpenseaを騙る詐欺師からメールが来ることもあります。多くのケースは偽のウェブサイトに飛ばされてそこでSeedphrase の入力やもしくは有害なトランザクションを実行させてくるものだと思われます。基本仮想通貨で使っているメールアドレスはどこかしらで漏れている(Openseaにしか使ってないアドレスにも詐欺メールが来たという報告もあり)ので沢山の詐欺メールが来る前提一見メタマスクやOpenseaからのメールに見えても注意しましょう。
例1)偽メタマスクメール
例2)偽Opensea メール(90ETHのオファーなんて私に来る事はないけどお金持ちの人は騙されるかも?)
例3)ちなみにこちらは本物のOpenseaのメール・・・私のブラウザのせいかもしれませんが本物の方がアイコンの並びがガチャガチャ笑
5-2. Twitter の連携についての注意。
仮想通貨でプレセールの申し込みなどをしていると以下のような「このウェブサイトに権限を与えますか」みたいなのが立ち上がる時があると思います。これって意外と危険みたいです。例えばNFTのプレセール登録でよく使う人もいるPREMINT、ここでは連携したアカウントのリストやMuteにしているアカウント、ブロックしているアカウントまで見れてしまいます。
こちらのTwitterによる解説記事によると最大限権限を付与した場合「あなたの代わりにツイート等投稿やいいね、もしくは削除ができる」「ダイレクトメッセージも読める・書ける」という事もできます。どこまで権限を付与しているかあまり確認せずにAuthorize app(権限を付与)していませんか?(私はしてました・・・)
権限の解除は以下の通り、
①Twitterで設定に行って
②接続するアプリを選んで・・・
③Revole app permission(許可を取り消す)
これをあまり使わない・信頼できない・過剰な権限を付与したAppについては行えばちょっと安全になると思います!
この記事が気に入ったらサポートをしてみませんか?