NFTの盗難事例を知って身を守ろう!

NFT
2022.10.10
リーリー
リーリー

NFTや暗号資産の詐欺や盗難ってたくさん起こっているよね。
怖いなぁ。。

ナルカミ
ナルカミ

あらゆる手段で仕掛けてくるな。
残念ながら、これをすれば絶対大丈夫なんてものはない。

ぽる
ぽる

だからこそ事例を知って、できる対策をして、いざ出くわしたときに被害にあう確率を減らしたいね。

NFTの盗難による影響

  • ウォレット内のNFTが抜き取られる
  • ウォレット内の暗号資産(仮想通貨)が抜き取られる
  • NFTコレクションのフロア価格が下がる
  • 盗難されたNFTの凍結
リーリー
リーリー

せっかくのNFTがなくなっちゃうだけじゃないの?

ウォレット内のNFTや暗号資産など大切な資産が失われてしまうことはとても悲しいことです。
被害はそれだけにとどまらず、盗まれたNFTはフロア価格(その時の最低価格)よりも安い価格で売り出され、そのNFTコレクションのフロア価格が下げられてしまします。
そして盗まれたNFTは凍結され、売買ができなくなります。

リーリー
リーリー

自分の資産がなくなるのも悲しいけど、合わせて応援していたプロジェクトの価値が下がってしまう可能性もあるんだね。。。

ナルカミ
ナルカミ

そうだ!
だから、他人事ではなくみんなで声を掛け合って防御力を高めるんだ!

よくある盗難の経路

  1. ウォレット(メタマスク)のシードフレーズや秘密鍵が知られてしまう
  2. ウォレットを自由に操作できる権限を渡してしまう

この2種類に大別できます。

リーリー
リーリー

どういうこと~?

ウォレット(メタマスク)のシードフレーズや秘密鍵が知られてしまう

暗号資産やNFTを保管しているウォレットは作成するときにシードフレーズ(ニーモニック)や秘密鍵が生成され、バックアップするように案内がでます。

シードフレーズや秘密鍵はスマホやパソコンを買い替えるなど、ウォレットの管理端末を変更するときに、ウォレットを複製するために必要になります。

つまり、シードフレーズや秘密鍵を他人に知られてしまったら、ウォレットを複製されてしまいます。

ウォレットを自由に操作できる権限を渡してしまう

NFTを売買するとき、ウォレット(メタマスクなど)とマーケット(OpenSeaなど)を接続して利用します。
この時、ウォレットで署名をしてNFT購入をします。
Approve」は、出品していたNFTの売買が成立した時にOpenSeaが代わりにNFTを送る承認をするために必要です。

ですが、偽サイトに接続してしまったり、スキャムNFTに触ってしまい、「Approve」をしてしまうと、「ウォレット内のNFTを自由に移動させてよいです」と扱われてしまい、大切なNFTが抜き取られてしまうことがあります。

リーリー
リーリー

なるほど~

この二つさえ気を付けておけばいいんだね♪

ナルカミ
ナルカミ

油断してはだめだ!
このために、あの手この手で忍び寄ってくるぞ!

ぽる
ぽる

実際、NFTなどに経験豊富な方も数多くやられているから、本当に難しいと思うんだ。
これまでの事例を見て、実際出くわしたときにピンとくるようにしよう。

実際の事例

Discordを使った詐欺

運営や重要メンバーのなりすまし

運営や重要メンバーのアイコン画像と名前を付けて、DM(ダイレクトメッセージ)で声をかけてきます。

「お困りですか? サポートするのでシードフレーズ教えてもらえますか?」
 →【 1. ウォレット(メタマスク)のシードフレーズや秘密鍵が知られてしまう】のパターンです。

どんなシチュエーションであろうが、シードフレーズや秘密鍵を他人に教えるケースはあり得ません!
それはウォレット内のすべてを譲渡することだと思いましょう。

「こちらのURLから安くNFTが購入できますよ」
 →【 2. ウォレットを自由に操作できる権限を渡してしまう】のパターンです。

運営や重要メンバーにはロールがついているはずです。
ちゃんとロールがついているアカウントか確認しましょう!

運営や重要メンバーのアカウント乗っ取り

運営や重要メンバーのアカウントを乗っ取り、DMを送ってきたり、堂々とメンバー全員に対して偽URLなどに誘導するパターンです。

「ただいまより、フリーミントできるサイトを設置しました」
 →【 2. ウォレットを自由に操作できる権限を渡してしまう】のパターンです。

リーリー
リーリー

アカウント乗っ取りのパターンはアカウントが本物なだけに、見破りにくいし、大胆にくるね。。

予定されてたイベントだったか? プロジェクトに関係ある内容か? 正しい日本語か? 過度に焦らせていないか? を確認しましょう。

DiscordのDM受信設定はオフにしておこう

ナルカミ
ナルカミ

そもそも多くのプロジェクトで運営がDMを送ってくるケースはないと思うぞ!
必要なければDMは受け取らない設定にしてしまおう!

DiscordのDMは受け取らない設定にしておこう!

Twitterを使った詐欺

Twitter偽アカウント

ぽる
ぽる

さて、問題です!
有名なNinjaDAOのアカウント。
どちらが偽アカウントでしょーか?

リーリー
リーリー

フォロワー数が多い方が本物だから、②が偽アカウント!

ナルカミ
ナルカミ

もうひっかかったな。。。

ぽる
ぽる

正解はどっちも偽アカウントでした~

リーリー
リーリー

えぇぇ!ずるい~!
でも偽アカウントなのにフォロワー数4万人超えてるんだね。

ナルカミ
ナルカミ

実際のTwitterの世界でもこうやっていくつも偽アカウントがあるんだぞ。

こうした偽アカウントからDMが送られてきたり、メンションが飛んできます。

「おめでとうございます! NFTのGiveAwayに当選しました。こちらのフォームに記入してください。」
 →【 2. ウォレットを自由に操作できる権限を渡してしまう】のパターンです。

「今すぐ、こちらからフリーミントしてください!」
 →【 2. ウォレットを自由に操作できる権限を渡してしまう】のパターンです。

フォロワー数やフォローしている人、日本語が正しいかの確認に加え、チェックしているアカウントは必ずフォローするようにしましょう!
リーリー
リーリー

自分がフォローしているアカウントか確認するのはわかりやすいね。

ぽる
ぽる

必要以上に焦らせてくるパターンは気を付けよう!
AO UMINOさんが自由に使っていいと公開してくださった動画を載せておくね。

NFT詐欺注意喚起【Twitter誘導注意/DMはオフ】

TwitterのDMの受信を許可しない設定

Twitterでは自分がフォローしていない人以外のDMは受け取らない設定ができます。
DMを活用していなければ設定を見直してみましょう。

必要がなければフォロワー以外のTwitterのDMを受け取らない設定をしておきましょう!

OpenSea

OpenSeaで知らないNFTがいつの間にかマイページにあることがあります。
身に覚えのないNFTには絶対触らないようにしましょう。

リーリー
リーリー

ちょっと周りの3Dリーリーが可愛すぎて、入ってこない。

見知らぬNFTは触ってしまうと、ウォレットからNFTを抜かれてしまうことがあります。
また、勝手に送られたNFTに対して、オファーがされることがあります。
このオファーを受けてしまうと、やはりNFTを持ってかれることがあります。
 →【 2. ウォレットを自由に操作できる権限を渡してしまう】のパターンです。

ウォレット内の身に覚えのないNFTには触らない、オファーも受けないようにしましょう。

Google検索

GoogleでOpenSeaを検索して一番上にあるサイトが詐欺サイトっていうことも過去にはありました。
また、信頼できない場所からのOpenSeaのリンクはクリックしないようにしましょう。
 →【 2. ウォレットを自由に操作できる権限を渡してしまう】のパターンです。

OpenSeaは必ずブックマークから開きましょう。
それ以外の場合は、URLが「https://opensea.io」となっていることを確認しましょう。

フリーWifi

駅やホテルなど公共施設で自由にWifiにつなげることも多くなりました。

リーリー
リーリー

便利だよね~♪

ナルカミ
ナルカミ

フリーWifiをつないでウォレット操作は絶対にしてはだめだ!

フリーWifiはだれでも自由に接続できるがゆえ、セキュリティに問題があるケースも多いです。
フリーWifiを通してやり取りされたデータをのぞき見することもできてしまいます。
その時、ウォレットの情報も入手されてしまう可能性があります。
 →【 1. ウォレット(メタマスク)のシードフレーズや秘密鍵が知られてしまう】のパターンです。

フリーWifiには極力接続しないようにしましょう。
ぽる
ぽる

実際にホテルでフリーWifiに接続して、ウォレットの中身を抜かれてしまった事例もあるよ。

不正ソフトウェアダウンロード

不正なソフトウェアダウンロードをしてしまい、端末内のメタマスクのシードフレーズを盗まれる可能性もあります。
 →【 1. ウォレット(メタマスク)のシードフレーズや秘密鍵が知られてしまう】のパターンです。

進入経路は様々で、スパムメールが送られてきたり、不正サイトからダウンロードしてしまったり。

通常のセキュリティ対策をしておこう
ナルカミ
ナルカミ

可能なら普段使いとNFT用の端末は分けておきたいところだな。

クラウドに保管していたシードフレーズを盗まれる

ウォレット作成時にシードフレーズをバックアップしますが、この時OneDriveに保管したりメールで送るなど、クラウドにデータを送ることはやめましょう。
もちろん各社がセキュリティ対策をしていますが、ハッキングされた場合盗まれてしまうリスクが高いです。

シードフレーズのバックアップは共有サーバに保管しないようにしましょう

まとめ

たくさんの事例を紹介してきました。
普段身近に触っているTwitterやDiscordなど使ってあの手この手で忍び寄ってきます。
NFTを長く経験している方々も被害にあってしまうのは、ちょっとした焦りなどからついやってしまうことが多いようです。

ぽる
ぽる

こんな記事書いてる私も、ちょっとした焦りで明日被害にあってもおかしくないよ。。。

心配ばかりして、行動できなくなってしまうのはもったいありません。
いざというときの被害を最小限にするために、ウォレットを分けておいたり、普段使いとNFTの端末は別にすると対策も非常に有効です。
ハードウェアウォレットも組み合わせた運用にすると、より堅牢になります。
盗難対策のウォレット運用方法やハードウェアウォレットについてはこちらの記事を参考にしてみてください。

スマホで管理できるハードウェアウォレット!暗号資産・NFTをCoolWalletで守ろう♪
暗号資産取引所のハッキングや暗号資産・NFTの盗難など、悲惨な報告を耳にすることが多いです。 スマホで管理できるカード型ハードウェアウォレット CoolWalletを紹介します。 CoolWalletの特徴や購入、設定、できることを細かく紹介します。 CoolWalletは将来パレットトークン(PLT)にも対応される予定のハードウェアウォレットです。 仮想通貨、PalletToken
porupblog.com
2022.11.24

あらかじめ設定

  • シードフレーズや秘密鍵を共有サーバに保存しない
  • DicordのDMを受け取らない設定をする
  • Twitterでフォローしていない人のDMは受け取らない設定をしておく
  • OpenSeaはブックマークしておく

普段の心がけ

  • ウォレットを分けて管理
  • シードフレーズや秘密鍵を教えない
  • Discordでは相手のロールを確認する
  • Twitterで注目しているアカウントはフォローする
  • 公式でない誘導リンクはクリックしない
  • OpenSeaはブックマークから開く
  • フリーWifiは接続しない
リーリー
リーリー

NFTコレクションはみんなで守っていきたいね♪

タイトルとURLをコピーしました