Scam 事例から学ぶ防御力『欲につけ込む Scammer たち』
はろーわーるどー!碧天ルインです!
今回は、私が暗号資産の世界に入ってから見聞きした『欲につけ込む Scammer たち』について共有したいと思います。
典型的な、『シークレットフレーズを入力するな!』といったテンプレート Scam ではないものを紹介します。
最後には、私個人が行っている防御方法について共有しています。おそらくベーシックな内容なので、暗号資産を触っている方からすると、当たり前の内容かもしれませんが、、、
この記事によって、Scam の被害者が減ることを祈ります。
『Blockmonsters:公式テレグラムコミュニティ内の Community Manager(CM)による Scam』
Blockmonsters というプロジェクトにて発生した事例。
(2か月くらい前の話で、記憶に頼って書いているので、もし間違ってたらご指摘ください。だいたいの流れは合っていると思います。)
このプロジェクトは、開始当初は
- パートナーなし?(今でも居るか知らない)
- Web サイトの作りがエンジニアから見て、若干不安
- トークンのセールは Launchpad を介さず独自サイト
- トークンのプレセールでは Whitelist の設定が行われておらず、FCFS(早押し)なのにも関わらず、手動で Whitelist を追加していく
- プライベートセールの資金が「Tornado Cash」に送られていた
といった見事な Scam 役満をたたき出していたプロジェクトです。
彼らの名誉のために言っておくと、現在は、一応、ラグプル(運営が LP を抜いて逃亡するなど)は発生しておらず、定期的に NFT Sale や Dapps のアップデートが行われており、プロジェクトとして開発が進んでいます。
とはいえ、私は、今でも疑いながら、このプロジェクトの NFT を買っていますが(買ってるんかい!)
それはさておき、このプロジェクトで発生した事例を見ていきましょう。
このプロジェクトで発生した Scam は・・・
『公式テレグラムコミュニティ内の Community Manager(CM)による Scam』
です。
PancakeSwap という DEX(分散型取引所) に Blockmonsters のトークンである $MNSTRS が上場する時の話です。
開発チームが PancakeSwap に LP(流動性) を提供するのに時間がかかり(この時点で謎なんだけど)、予定の時間の上場が出来なかったのです。
多くの人が待ちわびていた上場なのに、遅延が発生し、多くの人がイライラしていました。
そんな中、その Scam は行われました。
ピローン
テレグラムの通知音が鳴り、Community Manager の Glorias から PancakeSwap 上場のアナウンスがありました。
多くの方が、そこに記載されていた、コントラクトアドレスを入力し、PancakeSwap で $MNSTRS を購入。
しかし、、、情報を見ていると様子がおかしいのです。
『これは、流動性が提供されていないハニーポッド(スワップができない)』
当時、テレグラムは Scam 制限のためにチャットが投稿できないようになっていたため、情報が回らず、数名の方が、テレグラムの名前を変更して、グループに join を繰り返すことで情報を伝えてくださりました。
また、プライベートセールやプレセールの人に対して、トークンが Dapps で Claim(請求) できると言っていましたが、それも実装されていない。
『これはやられた・・・』
実は、私は、これがはじめて Scam を身近に感じた瞬間だったので、だいぶそわそわしていたのを覚えています。
周囲の方に助けていただきながら、revoke などの対応を済ませました。
幸い、私自身はプレセールでトークンを購入しており、PancakeSwap でコントラクトアドレスを入力してスワップはしなかったため被害はありませんでしたが、数百名が、この Scam に引っかかったみたいです。
かれこれ、数時間、公式のアナウンスも無く、初めて Scam に引っかかったな―と眠りにつきました。
結果としては、運営からのアナウンスが復帰。
Community Manager による Scamだったことが分かり、運営は、Scam に引っかかった人のお金をすべて補填しました。なかなか、そんな対応してくれる運営は居ません。
基本的に、暗号資産の世界は『自己責任』
非中央集権の仕組みにより、運営によるキャンセルや制裁は行うことが出来ません。
この事例では運営がサポートしましたが、基本的には、運営からサポートされることは無いので、注意してください。
多くの人が信頼を寄せ、運営により違い立場の Community Manager による Scam... 信頼のおける人物の投稿でも、疑ってかからないといけませんね。
『Phantom Galaxies:公式ディスコ―ドアナウンスチャンネルのアナウンスによる Scam』
Phantom Galaxies というプロジェクトにて発生した事例。
これは、もはや、私たちは何を信じれば良いのか?・・・という高度な Scam 事例です。
ある日の深夜・・・ディスコ―ドに @everyone メンションで通知が鳴りました。
「80,000 member ありがとう!ETH network で NFT を 4,444 mint できるようにしたよー!」という投稿。
私は、起きていたので、すぐさまアクセス。。。なんせ公式のアナウンスですから信じ切っていますよ。。。
今では、scam サイトが閉じてしまったのでお見せすることはできませんが第一印象は、、、
『なんか、デザインが今までと雰囲気違うな。そして、ちょっと雑だぞ?』
これは、エンジニアとしての直感です。だいたい scam サイトは作りが雑です。
とりあえず、「mint」のボタンを押してみる。。。
『あれ、ETH って言ってたのに、Binance Smart Chain で接続できるぞ・・・?』
違和感その2ですね。
ここまで来ると、流石に違和感あったので、すぐにキャンセルを押し、ウォレットの接続を解除しました。
本物かどうかを調査するために、サブのブラウザとウォレットで接続。
すぐに、mint 数がブラウザによって違うことに気づきました。
適当にカウントアップしてるくさい挙動をしていたので、さすがに
『これは、scamだ』
ということで、ブラウザを閉じました。
zio さんという方も scam に気づき、サイトなどを確認すると、ランダムで mint 数をカウントアップしているということが分かったそうです。
https://t.co/eXeFPdQmp3
— zio3🏰 (@zio3) November 18, 2021
期待していたファントムギャラクシーだけどDiscord
のっとられたのかな?https://t.co/DZnQx7y4Xk
謎のサイトで、限定のミントができるよ。みたいな案内が突然でたけど、ドメインがちがうし、リロードするとMintedの数がへってるし、絶対怪しい。
ソースコードをみると、1秒ごとにランダムで、ミント数の数字を挙げている感じだった。
— zio3🏰 (@zio3) November 18, 2021
あと、特定のアドレスにETHを送金するだけのコードがはいっていたので、ただのスキャム確定かな。
WalletにEthがなかったから立ち止まって考えたけど、残高あったらまずかったかもしれん。
Discord の書き込み権限もすべてロックされて、参加者が気が付けないようになっている。
— zio3🏰 (@zio3) November 18, 2021
Axieでも似たような手口があったので、予告なくはじまった今すぐmint って話は全部詐欺だって思うべきですね。
この Scam に関しては、日本人でも数名が引っかかってしまっているのを目撃しました。。。
Etherscan 的に、総計1000名程度が引っかかっているようでしたね。
私は知りませんでしたが、Axie Infinity でも似たような事例があったのですね。
その後、、、見事に、すべて Scammer ご用達の『Tornado Cash』 行きです。
Blockmonsters と共通するのは
『公式から』
『投稿が出来なくて、情報共有が出来ない』
『急いで動きたくなる内容』
という点です。
Scammer は、「限定」や「上場」など、急いでアクションを起こしたくなる内容で『欲求につけ込む』ことで、『判断能力が落としてくる』のです。
『Plant vs Undead:ディスコ―ドの DM に送信されたリンクからウォレットコネクトをすると Approve されてしまった Scam』
Plant vs Undead というプロジェクトにて発生した事例。
(これは、コミュニティで共有されていたものを聞いただけであり、間違っている部分があるかもしれません。指摘があれば教えてください。)
この Scam は、典型的な DM が入り口のパターンです。
最初に言いますが、Discord も Telegram も DM はすべて Scam だと思ってください。
たまに本物の DM を一緒に削除してしまうくらいには、警戒してください。消した人ごめん。
さて、こちらが、実際に DM に送られてきたものだそうです。
Giveaway するよ!という、キャンペーンを装った Scam ですね。
このリンクをクリックすると、サイトに遷移し、とあるボタンをクリックした結果、MetaMask の Approve が開始されたさそうです。
MetaMask がクルクルしている中、Plant vs Undead のトークン以外の Approve のようなものが見えたそうです。
被害にあった方は、すぐに異変に気づき、revoke。
しかし、結果としては、MetaMask 内の資産が抜き取られてしまったそうです。
revoke が上手くいかなかったのか、他のルートから抜かれたのかなどは、不明です。
よく分からないまま Approve が走ってしまうパターンもあるみたい(私は出会ったことがありませんが)なので、注意が必要ですね。
Scammer に対抗する防御力
ここから、この記事の本題とも言える、『Scammer に対抗する防御力』ということで、私自身が行っている対策を話します。
1. DM はすべて Scam と思う。
2. シードフレーズは入力しない。
3. Approve には気を付ける。
4. 用途ごとにブラウザ(またはプロファイル)と Metamask を用意する。
5. 既定のブラウザは普段使っているもの以外にする。
6. 少しでも怪しいと思ったら立ち止まる。
ぱっと思いつくだけでもこんな感じです。もしかしたら無意識に他にもやっているかもしれませえん。魔界戦士の皆さん、追加があれば教えてください。
1,2,3 については、よく言われているので気を付けている人も多いと思います。
4 については、初めて知る方も多いと思います。
これは、Google のプロファイルを分けることで、それぞれに MetaMask をインストールできるため、1つの Metamask が被害にあっても全資産が被害に合うことを防ぐという防御方法です。
私の場合、おとり用、IDO 用、NFT 用、BCG 用、メイン、サブ、・・・など色々とあります。
それに加えて、ガチホ用のハードウェアウォレットや、パンケーキしか接続しないと決めているハードウェアウォレットなどなど。
分散に分散を行っています。(たぶん、過剰)
5 については、おまじない程度ですが、一度 Edge で開いて判断してから、用途にあったブラウザに貼り付けています。
開いただけで MetaMask に何かある可能性もある?か知らないですが、おとりブラウザとして、Edge くんに毒見していただきます。
最後の 6 は、出来たら苦労しないんだけれど・・・
やっぱ、scam って、後から考えるとおかしい事が必ずあります。
現実で、詐欺られたこともありますが、当時、違和感を感じながらやらかしたものです。
とにかく、少しでも ん? って感じたら一度立ち止まってみてください。
すぐに閉じて情報を収集したり、エンジニアなら Developer Tool を開いてみてください。
その迷いでもしかしたら、爆益を逃すかもしれません。
日々、Twitter に爆益報告が流れている方もいるかもしれません。
しかし、暗号資産の世界は爆益なんて、たくさん転がっています。
戦える資産さえあれば生きていけます。
焦らず、逃しても、次があると思って、冷静になって立ち回りましょう。
さいごに
と色々と言ってみましたが、明日は我が身です。
私も明日には、、、というか今日には scam に引っかかっているかもしれません。
scam には引っかからないようにするのも重要ですが、引っかかった時に被害が最小限になるようにするのも重要です。
Scam による脱落者が減り、多くの方と一緒に Blockchain の世界を楽しめますように。
付録
実際に OpenSea を装った DM の URL から、シードフレーズを入力して、資産が抜き取られるまでを行った動画がこちらになります。
これは、とても典型的なパターンですが、実際に Scam に合うとどうなるかを知ることができると思います。
この記事が気に入ったらサポートをしてみませんか?