こんにちは、わたる(@akiba5296)です。
2022年11月1日の早朝、西野亮廣さんが主体となって運営している「CHIMNEY TOWN DAO」でDiscordのハッキングがありました。
このハッキングの影響でまたしても多数のCNPが盗難被害にあっています。
ハッカーは価値の高い「CNP」を狙っています。
今回のDiscordハッキングでの被害総額は1,000万円です。
この記事では大切なNFTを盗られない為にやるべき事をご紹介させて頂きます。
NFTの詐欺対策は難しくありません。
詐欺の手法を知っている人は騙されません。
「オレオレ詐欺に注意しましょう」というのと同じです。
NFTの盗難も詐欺の知識があれば盗まれる事はありません。
【緊急】
チムニータウンDAOがハッキングされて、CNP20点くらい盗まれました……。まだ被害出そうです!アナウンスにあるメッセージは詐欺です。
必ずCNPは保管用ウォレットに!! pic.twitter.com/EZmohmClO4
— 🍺 ikehaya (@IHayato) October 31, 2022
NFTを詐欺で盗られない為にやるべき事
答えはシンプルです。
「保管用のウォレットを作りましょう」
ウォレットは簡単に作れます。
保管用のウォレットをもう一つ作るだけ。
NFTを購入したら保管用のウォレットに移す。
これでもう大丈夫です。
99%の詐欺はこれだけで防げます。
今回の詐欺でも保管用のウォレットに入れていた方は盗まれませんでした。
騙されても、盗まれないのです。
騙されたとしても別の場所に置いておけば大丈夫です。
金庫(保管用ウォレット)を用意しておくといった感じです。
買い物に行く時に金庫は持って行かないですよね。
普段、持ち歩いている財布に全財産をいれないですよね。
大事なNFTは金庫に入れて置けばいいのです。
保管用に入れているNFTに関しては基本は移動しない。
現金を扱うのとまったく同じです。
しかし、NFT市場はまだ未熟なので全財産を持ち歩く人が多い。
それをハッカーに狙われているといった構造です。

よくある詐欺事例
Twitterから偽サイトに誘導
Twitterから偽サイトに誘導してNFTを抜き盗る手口です。
この手口もかなりの被害額がでています。
・Twitterで偽の公式アカウントを作ります。
・そのアカウントにフォロワーを大量につけます。
(フォロワーは安価で購入できちゃいます)
・そしてリツイートも大量につけます。
(なんとリツイートも購入できます)
・そして偽のミントサイトへ誘導するツイートを投稿します。
そうすると、なんかバズっているようにみえますよね。
パッと見て、本物か偽物かわかりません。
そしてさらに、仲間を装った偽のアカウントを大量に作ってリプ欄でも誘導するのです。


Discordサーバーを管理している人の1人がハッキングされてしまったケースです。
これは海外ではよくあります。
Discordの管理者がハッカーが用意したDiscordの偽リンクを踏んでしまう。
そしてID・パスワード・二段階認証のコードなどの情報が漏洩。
その情報でDiscordを乗っ取ります。
Discordを利用しているユーザーは、管理者が乗っ取られていても気が付きません。
非常に怖い状況ができあがります。
ハッカーは全体に通知を飛ばしたり、アナウンスチャンネルに書き込めてしまいます。
さらに怖いのが、詐欺に気づいて注意喚起してくる人をBANできる権限もあります。
チャンネル自体を削除する事もできます。
こんな状態で、まんまと偽のサイトに誘導してNFTを抜き盗る事が出来るのです。
実際のDiscord乗っ取り↓↓


詐欺でよくある手法①:「SetApprovalForAll」
さらに理解を深めて防御力を高めましょう。
ハードウェアウォレットに入れて置けば安全と思い込んでいる人がいらっしゃいます。
実はそうでもありません。
ハードウェアウォレットでも騙されると盗られます。
詐欺の手法を理解する事で防御力を高めて下さい。
詐欺の手法はシンプルです。
「SetApprovalForAll」というプログラムの悪用です。
ミントサイトで「SetApprovalForAll」が出てきたら100%詐欺です。
これは、どういう事でしょうか。
まずハッカーは「偽の公式サイト」を用意します。
そこにスマートコントラクトを仕込みます。
(スマートコントラクトとはブロックチェーン上のプログラムです)
そして、このプログラムにアクセスをしてしまうと盗まれてしまいます。
ここでいうアクセスするというのは、自分のウォレットとプログラムに対して指示だしをするという事です。
要はこのプログラムとコミュニケーションをとると盗られてしまいます。
わかりやすく言うと「ガス代」が発生していれば、コミュニケーションをとっているという事です。
コミュニケーションをとるというのは必ず「ガス代」が発生します。
メタマスクから、「ガス代を払ってアクセスしますか」という問いがあります。
ここで「承認」を押すとやられてしまいます。
「ガス代」を払うトランザクションが出た時は慎重になって下さい。
よく勘違いされているのは、偽サイトへ接続しただけで盗まれると思っている方が多いです。
しかし「接続」や「署名」をするだけであれば大丈夫です。
「ガス代」を支払ってコミュニケーションをとるとダメだという事を覚えておいて下さい。
ハッカーが用意したプログラムを具体的にみていきましょう。
「自分のウォレットの中にあるNFTを、ハッカーが用意したプログラムに全部送っていいよ」という許可を送っているのです。
この時の許可の名称は「SetApprovalForAll」といいます。
「すべての許可を与えます」という意味。
どう考えてもやばいですよね。
これを与えたら盗まれます。
#CTD ハッキングでCNPが盗まれまくりました。
これが盗難時のトランザクションです。
【SetApprovalForAll】があることがわかると思います(小さいけど……)。
ミントサイトでSetApprovalForAllが求められることは、通常ありません!高確率で詐欺です。 pic.twitter.com/X3qW2nG0lw
— 🍺 ikehaya (@IHayato) October 31, 2022
しかし英語で書いてあって、結構わかりにくいのです。
知識がない人がポチポチ押して、簡単に盗まれているのが現状です。
「ハッカーにすべての許可を与えてしまう」…恐ろしい手法です。
そしてミントサイトで「SetApprovalForAll」が出てきたら詐欺です。
通常、ミントサイトで出る事はありません。
ただし「SetApprovalForAll」すべてが詐欺ではなくOpenSeaの公式サイトでは出てきます。
ユニスワップやパンケーキスワップなどでも出てきます。
「SetApprovalForAll」自体はよく使われるプログラムです。
これがないとサービスを利用できません。
重要なのは「SetApprovalForAll」がでてきたら全部詐欺ではなくて、詐欺サイトで求められたらアウトだという事。
ミントサイトで求められたら100%詐欺だという事です。
今回の起きた詐欺に関してもこの「SetApprovalForAll」の手法でした。
詐欺でよくある手法②:ウィルス感染
最近の詐欺は、偽のミントサイトに誘導してから「SetApprovalForAll」で盗むという手口がほとんどです。
しかし1%ぐらいの割合でウィルスからの盗難被害もあります。
この手口は、資産がある事がわかっている場合に個人が狙い撃ちされるケースが多いです。
不特定多数に仕掛ける事は少ない詐欺です。
よくある手口は、仕事の依頼などが多いみたいです。
資産がありそうなクリエイターなどに対して仕事をお願いしたいとDMを送ります。
その仕事に関するやり取りの中でウィルスが仕込まれたものをダウンロードさせます。
知らずにダウンロードしてしまうと全部盗られるといった感じです。
あとは新しいゲームを作ったからテストプレイしてくれないかという手口もあります。
このゲームの感想を書いてくれたら50ドルお支払いしますと…
そしてこのゲームをダウンロードさせてウィルスに感染させるといった感じです。
このウィルス攻撃に対しての対策は保管用のPCを別途用意する事です。
ウォレットを分けるのと同じ考え方です。
普段使っているPCがウィルスにやられたとしても大丈夫です。
大事なNFTを保管しているPCでは危険な操作をしないという事です。
理想は保管用に「MacBook」を購入する事です。
その「MacBook」にメタマスクを入れて、その中に大事なNFTを入れて置く。
ウィルスは基本的にはWindows狙いが多いです。
まとめ
どんな詐欺手法でも「ウォレットをわける」というのが有効手段です。
保管用のウォレットを作って下さい。
これだけで99%の詐欺被害はなくなります。
本日の詐欺被害もウォレットをわけていた方は盗まれませんでした。
「購入用の財布」と「保管用の財布」を作る。
この簡単な作業でNFTを守る事ができます。
あと…酔っぱらっている時、寝ぼけている時に操作すると危険です。
早朝の寝ぼけている時に操作して騙されている方がけっこういます。
今回のDiscordハッキングの詐欺も早朝でした。
ハッカーはそれを狙って仕掛けてきてます。
飲んだらメタマスクは操作しない。
寝ぼけている時も操作しない。
大切なNFTは自分で守りましょう!
それでは失礼します。


