保存版「購入したNFTを守ろう」2023年1月改定版

はじめに

仮想通貨投資はすべて自己責任です。
買うも売るも盗まれるも全て自己責任。を念頭としてスタートします。
なんらかの事情でrevokeでたどり着いた方、お急ぎの方は

↑こちらからアクセスしてください。

購入したNFTは盗まれる可能性が充分ある。

初めてNFTを購入するときはみなさん初心者です。メタマスクを入れて、ETH買ってきてOpenseaで購入してガス代はらって・・・とみなさん一連の流れですね。最近ではクレカで購入できるものも増えてはいますが、手数料もありますのでやはり冒頭で書いた方法で買う人が多いのですが、みなさん購入したNFTの防御はできていますか？人気のNFTは正直24時間365日狙われていると思っていたほうがいいと思います。
大切なNFTを守るためのnoteになりますので保存しておいてください。
気を付けているつもりでも気を抜く事もあります。
注：ページのクオリティについては一切無視していますし、これからも改善の予定はありませんｗ

確認しているscamの種類

これがすべてではなく、これ以外にもあり得ます。
自分はいつも自戒も込めて言っていますが、「欲は判断を鈍らせる」
慌てず、冷静に。はやる気持ちもわかります。
が、scamに引っかかるリスクがある事を常に考えてください。
あと、一人で「しめしめ儲かった」とMINTして引っかかる人も多いです。
わからなければ最寄りのプロジェクトの誰かに聞きましょう。
簡単に言えば、ほとんどのプロジェクトはNFTのMINT日はすべて決まっています。イレギュラーだったり、急にプロジェクトがMINTを促すことはあり得ません。

1.ツイッター経由でのscamMINT(DMが来たり、広告だったり様々)
例）Giveawayに応募していていいねがついているアカウントを追ってみたら10万人のフォロワーでブルーチップがついている。しかもフリーミントの案内をしている！！早くしなければ！！
アクセス→scamでETHとNFTを抜かれる。
特に注意：いいね、リツイート、コメントなど。ハッシュタグの大きなキーワードにも引っかかってきます。#NFT #ETHなどのタグ 。
対策：フォロワー数や知り合いがフォローしているかの確認。フォロワーが少なかったら怪しむこと。
ツイッター経由でMINTは無いと思う事。もしあったとしてもscamにあうリスクを考えて自信がなければあきらめる事。
最重要：見かけたらブロック。盲目的にいいね、リツイートをしない。あなたのscamへのいいね、リツイートが被害者を生む可能性があります。

【画像はscamです】scamツイッターIDなんですが、ツッコミどころは満載です。IDだけだとわかりにくいですが、URLがおかしかったりします。

【画像はscamです】1Blockの偽ツイッターIDを取り出してワードでフォントを変えてみると・・・
1biockになってましたｗ

【画像はscamです】scamツイート。フォローしている方からのいいね、リツイートからです。最初は盲目的にいいねとリツイートを押してしまいがちです。いいねやリツイートが少なすぎるから変だなと思って、プロフィールを見てscamと判断しています。

先ほどのscamツイッターアカウントがツイッター内でMINTの案内をしています。scamのサイトは正直、使いまわしなのでパッと見てわかるようにしてください。初心者の方は何のことかわからずMINTしてしまうので、盲目的にいいねやリツイートをしないのが一番の対策になるのです。

2.ディスコード経由でのscamMINT(主にDMが来る)
例）congratulations 〇〇! your lucky winner!!云々でMINTサイトに誘導、アクセス、ETHとNFTを抜かれる。
対策：知らない人からのDM、知ってる人でもDMは疑ってかかる。ディスコード経由で家族からDMが来ても信用してはいけません。
また、プロジェクトチームの方は定期的なパスワードの変更、特にMINT前はパスワード変更をお勧めします。

お決まりのディスコードに来るscamDMです。あなただけ特別に来ているわけではなくて全員に送っています。基本はどこもクリックすることなくブロックするなど対応してください。

3.ディスコードのプロジェクトが乗っ取られ、MINT案内に引っかかってMINTしてしまう事例
例）everyoneやhereタグからミントの案内が急にディスコードに流れてアクセスしてミント。ETHとNFTを抜かれる。
対策：プロジェクトからの急なMINT案内はあり得ません。あり得ません。あり得ません。例外も通常はありません。普通、MINT日は決まっています。慣れてくると「あのPJハッキングされてるな！あらら」になります。
追記事項：2023年1月2日、某所のフロアプライスが上がっているディスコードがクローズ化（招待できない形）されました。「甲」とします。
その際にハッカーがディスコードのURL「甲」は偽物であることをディスコードのサポートに警告して「甲」ディスコードのURLを手に入れ、collab.land botに化け、ウォレットにサインさせて（ドレイナー）ETHを吸い取るscamを仕掛けました。つまり「甲」のURLはディスコードのサポートを介してスキャム相手に盗まれてcollab.landのbotに化けた、scam botが仕掛けられたわけです。
discord.gg/ID●●●●●●●● ←このURLが奪われてこのURLにアクセスした人が実は全く別のディスコードにアクセスします。そこにはcollab.landに化けたscam botだけが置いてあり、botにサインした人がETHを奪われた。ツイッターやraffieなどにリンクがおかれていたために被害が多数出た模様です。

4.ウォレットによくわからないNFTが投げ込まれていてエアドロかなと思って、売りに出したりどこかに送信したらハッキングされた事例
例）Openseaを見ていたら知らないNFTが入っている。エアドロされたかな。ラッキー。Openseaで高額オファーされていてオファーを通したらハッキングされた。

他にもあります。
5.よくわからないうちにハッキングされてNFTがなくなっている事例
※これについては持論ですが、ネットサーフィンをしていてなにか勝手にダウンロードされて盗まれたという仮説を立てています。昔々にあったのです。ネトゲで大手ブログを使っているページが改ざんされ、アクセスしただけでハッキングされてIDとパスが盗まれてしまうのです。今となってはそんなこともなくなりましたが、こういったことも過去にはありました。
※こちら実際に2023年に発生しました。google広告のマルウェアに仕込まれていたもので、NFTをすべてハッキングされたというものです。
6. Opensea出品時、購入に手数料（ガス代）0.00ETHの表示で許可したらNFTを抜かれてしまったという事例

たくさんありますね。
メタマスクの許可は盲目的に許可することも多く、そこを泥棒たちは突いてきます。彼らはうまいのです。1度のミスで根こそぎもっていかれますのでそのようなことが無いように対策をしましょう。

以下は実際に自分が行っている、行おうと思っていることです。
普段から気を付けていますが、それでも以下は最低限必要だと思います。

◎ウォレットをすべて分ける
2022年10月現在はフリーミント、もしくはフリーミントに近いプライスが主流のため、フリーミント用のアドレスを作っておきます。
2023年1月現在 上記プラス、高額NFTをMINTしてロールやSBTの関係でウォレット移動が困難なケースも出てきました。
高額NFTが入っているウォレットについては高額NFT以外のものをすべて移動して、半コールド化します。
半コールド化とは・・・ロールの付与やSBTの関係で認証bot以外には一切触れないということです。つまり、openseaに出品したりする際には別の出品用ウォレットを使用します。

メタマスクのウォレットは最低5個必要になってきたかな・・・
＋コールドウォレットです。

自分の場合は・・・
1 ダミー枠（空っぽウォレット）
2 フリーミントウォレット
3 フリーミントウォレットサブ
4 メインウォレット（最初から使ってる）
5 Opensea 出品専用ウォレット
6 半コールドウォレット ←高額NFT+SBTの関係で追加されました。
◎コールドウォレット（大事なものはすべてこちらに送る）
出品するときは出品専用ウォレットに送る

コールドウォレットですが、
自分はLedger NanoXです。
NanoS Plusでもいいです。なんなら両方買って、ロール付けなきゃいけないNFTだけNanoS Plusにして試してみるのもいいかなーとか思ってます。
自分は最初NanoS買いましたが、NanoXに買い換えました。
ここで注意。シードフレーズは紙で保存。Ledgerにはシードフレーズを記載する紙がたくさんついてきます。何を意味するのか。
物理的に紙で保存しろということです。
初心者の方は紙にシードフレーズを書いたら、写真撮影してクラウドに保存なんてやるんでしょう。推奨しません。
「スマホやクラウドはハッキングできる可能性がある」
事を常に頭に入れてください。
「クラウド ハッキング 流出」で調べてみてください。
1件も事例がなければ安心です。ほら、事例でてきた。
ということは安全ではないのです。物理的な紙で保管したほうがリスクは軽減されます。
※これを書いたのは2022年の10月ごろでしたが、その後クラウドハッキングなのか、Ledgerからも全て盗まれる事案が発生しました。シードフレーズを写真で保存しておいたためと思われます（仮説です、盗まれたのは事実）

そのほか、Ledgerはメーカー直販から買いましょう。メルカリなどフリマはやめたほうがいいです。なんなら電気屋さんやAのつくところも。
https://www.ledger.com/ja 日本語にも対応しています。
注意点
Ledgerは現在使っているウォレットではなく、Ledgerにてウォレットを新規に作成して送るようにしてください。シードフレーズを盗まれたらLedgerでも盗まれます。

もしもやらかした！！と思ったら

もし、やらかしてしまった場合はリボークしてください。
リボークサイトを使用する方法もありますが、
イーサスキャンでの方法を記載しておきます。
ここから独り言です。
実際になったわけではないので予測の域を超えませんが、
例えば、スキャムにあった瞬間にETHを全部別に送ってしまったらガス代がなくて送れないんだろうとか、そのあとにリボーク分のETHだけ送ってリボークしたらもしかしたら助かってしまうのではないかーとか、そんなタイミングよくうまく行くわけないんですが、可能性のお話です。

じゃあ普段どうやってやってんの？

普段気を付けていること、やっていることを書いておきます。
自戒の念を込めて。

ツイッターのいいね経由でディスコードに入らない
無言のフレンド申請はすべて無視。
知り合いのDMでも断りもなくリンクなどの案内はすべて無視。
※知り合いだったらあとでアクション来ます
ディスコードに入ったら、DM設定をOFFにする
※たまにverifyのbotがDM必須だったりするのでその時は切ります
急なMINTに乗らない。
ステーキングや、相場確認はプロジェクトのリンクから飛ぶ
Openseaなどはブックマークしておく。毎回google検索から飛ばない
パスワード類はすべてテキストで残さずに画像として別のPCに保管する
メタマスクの接続済みサイトは使い終わったら切断する。
ガス代安いなーと思ったらrevokeする
自分のディスコードサーバーを作ってGasTrackerの導入を推奨
知らないNFTがウォレットに入っていても一切触らない。売ってしまおうなどと考えない。
collab.landなどの認証botにはメモをしておく。←2023年1月2日追記
「欲は判断を鈍らせる」と常に自分に言い聞かせる

NFTをopenseaで購入するときも盗品に注意。

先日、自分はとある1ETHほどのNFTをOpenseaで購入しました。
購入時にやったことを記入します。
急にリストされても慌てない。
もし先に買われてしまったら縁がなかったということです。
----------------------------------------------------------
Openseaで予算に見合うNFTを物色中
新しい良さそうなNFTがフロア付近でリストされました。
お！これはいい子だからぜひお迎えしたい！
でも待てよ。急にリストされたから盗まれたやつかもしれない。
まずはイーサスキャンで取引の履歴を見てみよう。
〇ヶ月前のリストだ。大丈夫。
購入しよう。ガス代は大丈夫か。大丈夫。
----------------------------------------------------------
購入完了。コールドウォレットに送る。
ここまでが購入時の一連の流れです。

自分のNFTはどこでニヤニヤすればいいの？

Zerionというappがあります。こちらはウォレットアドレスを入力するだけでNFTすべて見られるという優れもの。裏を返せば勝手に他人のウォレットも覗けるということですｗ 毎日見てニヤニヤしましょうｗ

買うときも売るときも注意する。

せっかくNFTを購入したのにscamだったーなんていうお話はどこでも聞きます。特に最近は日本のプロジェクトのフロアが上がっている傾向がありますので狙われます。NFTは楽しいですが、マイナスの側面をきちんと理解することでより楽しめて仮想通貨ライフも満喫できると思います。

寄付は歓迎です。

もしこのnoteでスキャムを防ぐことができたのなら寄付大歓迎です！笑
わけのわからない草コインはやめてくださいね！
寄付用アドレス
0xf50dd175eba50a226Dde242aB96F7c057Bc450af