よくあるｽｷｬﾑの手口とその対処法

こんにちは。社畜やめて社会の恥であるニートになったなっとうです。ニートになったことだし折角だからnoteを久しぶりに書こうと思って筆を執りました。

stepnの影響で新規参入者が増え、めぼしいPJもないためか最近ｽｷｬﾑが増えてきましたねぇ。個人的にはｽｷｬﾑは死ぬほど嫌いで（なぜなら僕が稼ぐために必要な養分ちゃんたちがｽｷｬﾑにやられて退場しちゃうから）被害が少なくなるためにもnote書こうかなと思った次第です。

【注意】この記事は僕の独断と偏見と浅～い知識によって書かれたものです。間違いや情報の欠落が十分に考えられます。うのみにせずDYORしましょう。又、有識者の方でそれ違うじゃん！みたいなのあったらぜひ教えてください。

今回はトークン版とNFT版と番外版の3部制でお送りします。

【必要な事前知識】
トークンの売り買いの方法
NFTのmint方法
SCANの最低限の見方

ｽｷｬﾑに負けるな：トークン編

トークンの売買によるｽｷｬﾑ被害はざっくり4パターンで
・流動性をぶっこ抜かれる
・運営の悪意ある操作によって不利益を被る
・悪意あるコードをトークンに仕込む
・大量のトークンの売り浴びせ
…..ぶちゃけ２と３は仕組みは一緒なんですがコード読めない人からすると訳分らんって感じだと思うので分けてみました。
以下細かく解説していきます。

・流動性ぶっこ抜き

そもそもトークンを買う際は欲しいトークンとそれを交換するトークンがDEXにないと交換できないのですが多くの場合はトークンの作成者がそれを提供しています。
この2種類のトークンを保管している場所を一般的にpoolと呼んだりします
。

仮にNATTOトークンとETHのpoolがあったとします。
僕がETHでNATTOトークンを買うときDEX内では以下の図のようなことが行われてます。

価格の算出方法が正確には違いますが今回は改変します。次回のnoteで詳しく書きます。

つまりpool内に資金がないとそもそも取引ができないのです。

多くの場合、この資金を最初に入れるのは運営です。この資金のことを流動性と呼びます。
で、問題なのはここ。提供した流動性はいつでも返却してもらうことが出来るのです。
つまりみんながNATTOトークンを買った後に提供していた流動性を回収すると誰も売れなくなります。

正確にはpoolの中が完全に空になることはないですが改変してます。

・悪意ある操作によって不利益を被る

これはトークンを作製する際に作成者が意図的にトークン保有者に不利益が被るようにできる設定をしている場合に起こります。
よくあるパターンは
・売り買いするときにTAXが100％になる
・transferできないようにして誰も売り買いできないようにする
・勝手にwalletからそのトークンを動かす
・特定のwalletだけがいつでもトークンを増やせる

だいたいの場合は途中までまともに見せかけて多くのカモが入ったて来た後に利益が見込めるタイミングで上記のような設定を発動させます。

・悪意あるコードを仕込む

悪意ある操作とやってることは一緒ですがこちらは最初から不利益になる設定がされてます。つまり運営が途中で操作しなくても最初から悪意ある設定が発動します。
よくあるパターンは
・特定のアドレス以外売れない

上場戦で意気込んで買ったが売れない！みたいな被害パターンが多いです。すぐ売れないとカモは気づくのでｽｷｬﾑにとっては短期戦ですね。なので時間たつと資金が抜けやすいmemeトークンのｽｷｬﾑに多いですね。

・大量のトークンの売り浴びせ

そのまんまです。運営がトークンを作製した時に流動性の提供とは別でトークンを大量に保有しており上場後ある程度価格がついたら鬼のように売り浴びせます。
pinkSaleなどのIDOされた銘柄でよく起こりますね。

IDOプラットフォームの多くは流動性はロックされるので運営も勝手に流動性をぶっこ抜けないのです。なので代わりに売り浴びせることがよくあります。

トークン編：対象法

正直トークンのｽｷｬﾑの対処はかなり難易度が高いです。結局は運営に対して不信感がないかなどの下調べが重要になってきます。

・流動性ぶっこ抜き

提供した流動性をロックしている場合安心です。
ただし信用のおけるロックするためのプラットフォームに預けられている必要があります。自分でロックコントラクト作ったよって言われても普通の人には本当にロックされているのかわからないのでその場合はされてない可能性があるという心構えでいましょう。

難しいのは必ずしもロックされてないから信用できないわけではないということです。むしろ流動性をロックしている運営の方が少ないです。

・悪意ある操作によって不利益を被る

solidityでトークンのコードを読みましょう☆

薄い希望を言うと、これらの操作を行うには必ず運営からトランザクションを発行させる必要があります。
仮に誰も売れないみたいな設定をした場合運営も売れないのでどこかのタイミングで解除して売る必要があるます。
寝ずに運営がトランザクションを飛ばすのを待ってTXが飛んだ瞬間売りましょう☆

ただし、この薄い希望も実装力の低いｽｷｬﾑにしか通用しません。実装力が高かったら自分たちだけ売れるけど他は誰も売り買いできないみたいな設定にします。

＊以下のトランザクションはｽｷｬﾑではないですが停止設定を行ってます。
https://bscscan.com/tx/0x8df85b07f7c53fbc7f551801b5b26334cc0a61911da75227633ba987712ed3b0

売り買いができない設定は"pause"というmethodであることが多いです。解除の際は"unpause"だったりもう1回"pasue"だったりと色々ありので難しいですが運営からそれっぽいトランザクションが出ることを期待して待ちましょう。（永遠に出ないこともあるので注意）

・悪意あるコードを仕込む

一般人には無理です☆solidityの勉強をしましょう。

一応ですがハニーポット（悪意あるコードが仕込まれている）じゃないかを確認するサイトなどもあります。

Honeypot Detector for BSC

（使ったことないのでどうでるか知らないけど）
他にも似たようなサービスを提供してるサイトが複数あるので探してみてください。

＊あくまで予想ですがこれらは特定のコードが含まれている場合に検出するといった設定になってると思います。（もしかしたら売り買いさせてrevertしないか確認してるかも）
そのため実装力の高いｽｷｬﾑのコードは見抜けないです。あくまで気休め程度で。

又、上場後に買う際、明らかに売りのトランザクションがなかったりチャートがずっと陽線の場合警戒しましょう。
https://dexscreener.com/
こういったチャートツールだと売り買いのトランザクションも見せてくれので便利です。

・大量のトークンの売り浴びせ

事前にSCANでどのアカウントが何枚くらい持っているか確認しましょう。

ただし運営が大量にトークンを保有していることは決して珍しくなくむしろ当たり前です。多くの場合は開発者の報酬だったりマーケティング費用だったり、あるいはBCGなどの場合はユーザーへの報酬だったりですね。
まともな運営であればWPにどのアカウントに何枚保有していて用途は何かを明記してくれてます。
明記されてないのに大量に保有していたら多少疑いましょう。

が、明記しててもｽｷｬﾑしてくるは奴らはいます。結局はどれだけその運営が信用できるかの判断になります。

don't trust verifyがweb3の信念なのに皮肉な話っすね。

＊裏技でフロントランニングすればトークンｽｷｬﾑは回避できますが一般人は無理なので諦めましょう。

ｽｷｬﾑに負けるな：NFT編

NFTのｽｷｬﾑの代表例は
・mintするつもりがNFTがtransferされた
・mintするつもりがトークンが盗られた
・mint価格が全然違った
・approveしてごっそり盗られた

あたりですね。ぶっちゃけメタマスク起動したときに取引内容ちゃんと見ろよの一言に尽きます。
以下詳しく説明していきます。

・mintするつもりがNFTがtransferされた

これはサイトのmintボタンの中身がmintではなくNFTのtransferになってただけの話です。
つまりmintと思い込んで自分でtransferの許可を出しちゃってます。

実装力の高いｽｷｬﾑになるとアカウントをサイトにコネクトした際にそのアドレスが保有しているNFTで一番価値が高いものを調べてそれがtransferされるように設定したりします。

・mintするつもりがトークンが盗られた

NFTが盗られたと同じ原理です。mintボタンがトークンのtransferになってるだけの話です。

これも同じで実装力が高いと一番価値が高いトークンを持っていかれます。

・mint価格が全然違った

まじでそのまんま。なぜ引っかかるのか。
サイトの表示価格が嘘ついてたってことですね。

・approveしてごっそり盗られた

approveって何ぞやって人はこれを熟読してください。

approveが何かも知らずに仮想通貨してるとか正気の沙汰じゃないです。知らないといずれ死ぬので必ず読んでください。
ぶっちゃけ界隈で盗られた！って言ってる人の8割がこれが原因です。

上記の記事はトークンについて言及していますがNFTも仕組みは一緒です。NFTの場合はIDごとにapproveをするか一括でそのNFTをすべてapproveするapprove for All があります。

approveをしちゃうとapproveしたトークン、もしくはNFTのID又はそのNFTのコレクションをすべて相手にtransferさせる権限を与えてしますます。
approveするときは相手が信用できるかを判断したうえでやりましょう。

NFT編：対処法

ほとんどの場合はサイトのmintボタンがすり替わっていることが原因なので直コンしましょう☆
直コンならNFTとられることもないしトークン取られることもないです。

ただし、入力の数値を間違えるとやべぇ額払っちゃったみたいなことが起こります。

サイト経由でする場合に気を付けるべきことは以下の神記事がすべて説明してくれてます。熟読しましょう。

上記の内容が理解できればサイト経緯で引っかかることはほぼなくなります。

・approveしてごっそり盗られた

そもそもmintの時に必要なapproveって何でしょう。
mintするのに自分のNFTのtransfer許可はいらないですよね？
又、ETHやBNB,Matciなどの基軸通貨はapproveをしなくてもいい設計になっているので必要ないです。

考えられる可能性は１点のみ。
基軸通貨以外でNFTを購入する場合です。
この場合のみ購入通貨にapproveが必要になります。

approveをしようとするとメタマスクが以下のような内容になります。
（BSC上のETHなのでこのETHはapproveが必要になります。BCSだとBNBのみがapproveの必要がないです。）

一番上にどのトークンへのアクセス許可権限を与えるかが表示されます。
これが指定と違ったりしたらアウト。
その下にどのアドレスに対して許可をするかが表示されてます。

今回はパンケーキスワップのアドレスになってます。

以下の写真の許可のリクエストを編集すると許可の量を調整できます。
仮に100BUSDでmintできる場合100以上許可する必要はないので100にしましょう。
無制限にapproveしちゃうとその日は盗られなくても後日資金が増えたタイミングで盗られちゃったりします。

つまり上記以外のapprove内容だった場合アウトです。
NFTのapproveだと以下のようになります

NFTの名前が表示されるので必ず確認しましょう。（上記はtransfer for all)

**例外として何かのNFTをburnするかわりにmintできるなどの場合はそのburnするNFTのapproveを求められます。

【なっとうの心の声】
approve詐欺でひっかる人のだいたいはツイッターでサイトにつないだら盗られた！財布の中身全部盗られた！承認しかしてないのに盗られた！って言います。マジ情報が錯綜するのでやめてください。

１，サイトにつないだら盗られた！
A：あり得ません。だいたいこう言うことほざいてる奴のアドレス覗くとちゃんとapproveしてます。もっと勉強しろ。

２，財布の中身全部盗られた！
A：それ秘密鍵の問題。approveじゃ無理。俺の記事読め。
NFTのapprove for AllもそのNFTのコレクションに対してのみ許可しているので他のNFTは盗めません。

３，承認しかしてないのに盗られた！
A：承認って何をさしてるの？？TXの発行？それともただの署名？？それともサイトに接続したこと？？
署名ってこれね。

【初心者向け】MetaMask(メタマスク)の署名は安全？OpenSeaとの接続ならOK【初心者向け】MetaMask(メタマスク)の署名は安全？OpenSeaとの接続ならOK

補足：署名のみでもapproveさせることは可能です。なので署名したら抜かれたは必ずも間違いではないですがそれを行うｽｷｬﾑはほとんど見たことないです。その後の対応が変わるので正確に伝えてください。

ｽｷｬﾑに負けるな・番外編

・ツイッターのDMやディスコードのDMできたサイトにつないで盗られた

対処法：知らない奴からDMきたら死ねって送り返しましょう。
だいたいはいままで説明したいずれかの手口で詐欺って来ます。もしくは単純に偽物買わされるか。

・他人から送られたファイル開いたらウィルス入れられて盗られた。

対処法：他人が作ったものは信用しない。他人から送られてきたファイルは開けない。waleltが入ってない端末で操作する。知らない人のDMには死ねっ返信する。

・公共wifi使ったら盗られた

対処法：公共wifi使うな。
仕組みはしらね。

・エアドロもらおうとしたら全部盗られた

対処法：approveすんな。俺の記事読め。勉強しろ。

・googleで検索して上位で出てきたサイトが偽物だった。

対処法：twitterで探して著名人がフォローしてるか確認しましょう。
なぜ中央集権のgoogleがweb3に協力的だと思った？

・中古でハードウォレット買ったら盗られた

対処法：セキュリティにかけるお金をケチんな。
あと偽サイトで買うのも注意ね。ちゃんと正規のサイトで買いましょう。

・勝手に送らて来たNFTをtransfer, brunしたら盗まれた！

対処法：approveすんなって言ってんだろ。記事読めや。
ただし以下の記事のようなｽｷｬﾑ方法があります。（まぁ、結局トランザクション飛ばしてるけどね）
https://note.com/ooba8686/n/nb2043693ff56

あとがき

ざっと思いつく有名どころのｽｷｬﾑの手口と対処法を書きましたが細かいｽｷｬﾑ手口はまだまだ山のようにあります。
規制が緩い分詐欺も山のようにあります。常に警戒して他人を疑って人間不信になりながら仮想通貨しましょう。一般社会で人間不信になれば仮想通貨でｽｷｬﾑに合うこともなくなります。
この記事で１人でもｽｷｬﾑの養分が減ることを願います。（代わりに僕の養分になってください。）
あと最近bot作り教えたりしてます。（有料ね）興味あるようぶゴホッゴホ。興味ある人DMください。

例のごとく最後の方は力尽きて適当になっちゃいました。
もっと詳しい説明とかこんな内容の記事書いてほしいとかあったら@nattuuu_zamuraiにＤＭください。検討します。