Web3におけるフィッシング詐欺から資産を守る

このブログ記事は、Web3におけるフィッシングの手口を要約し、ウェブサイトへの注意、アドレスの慎重な確認、資産保護のためのセキュアウォレットの使用を推奨しています。

Web3におけるフィッシング詐欺から資産を守る

Web3におけるフィッシングとは?

ユーザーがブロックチェーントランザクションを通じてトークン取引を行う中で、新たな形態のフィッシング詐欺が出現しています。被害者から個人情報や金融情報を取得することに重点を置いた従来のフィッシング詐欺とは異なり、この特定のフィッシング手法は、トランザクションを悪用してユーザーの資産を盗み取ることを目的としています。本質的に、詐欺師は被害者を欺き、被害者のトークンを引き出すことができるトランザクションやメッセージに署名させます。 続くセクションでは、Web3で蔓延している様々なフィッシング詐欺について詳しく掘り下げ、それらから資産を保護するための実践的な戦略を習得します。

Web3における一般的なフィッシング詐欺の種類

1. 直接トークン転送

この詐欺は、ユーザーを欺き、資産を悪意のあるアドレスに直接転送させます。これらの詐欺の成功は、しばしば洗練されたソーシャルエンジニアリング技術に依存しています。「セキュリティアップデート」や「請求」を装ってユーザーにトランザクションの署名をさせ、最終的に資産の盗難につながるという、一般的なバリエーションがあります。この種の詐欺は、通常、偽インターフェース詐欺を利用して実行されます。

2. トークン承認 / 許可

承認と許可の方法は、他者(支出者と呼ばれる)があなたの代わりにあなたのトークンを利用できるようにするものです。ユーザーが取引活動を容易にするために、DAppにトークン承認を付与することは一般的な慣行です。しかし、フィッシングアドレスのような悪意のあるアクターに承認を付与すると、経済的損失につながる可能性があります。被害者が承認に気づかず、取り消さない場合、フィッシング攻撃は長期間継続する可能性があります。

攻撃トランザクション例

3. 攻撃トランザクション例

「ポイズニング」としても知られるゼロバリュー転送詐欺は、フィッシャーが被害者のアドレスから、被害者が以前やり取りした正規のアドレスに似たフィッシングアドレスへゼロバリュー転送を操作する際に発生します。この欺瞞的な戦術は、被害者をこれらのフィッシングアドレスに誤って資金を転送させて、大幅な資産損失につながることを目的としています。

被害者アドレス例

4. ガス・トークン詐欺

Binance Smart Chain (BSC) では、一部のフィッシャーはエアドロップ詐欺を採用しており、被害者に不正なトークンを配布し、それらのトークンの承認または転送を説得します。残念ながら、被害者はこれらの詐欺トークンに関与する際に、気づかずに多額の手数料を負担します。これらの手数料は、詐欺師のアドレスにガス・トークンをミントするために使用され、その後、利益のために交換されます。

フィッシングトランザクション例

5. NFTマーケット詐欺

NFTはユニークな仮想資産です。同じコレクションのNFTは価格に大きなばらつきがあるため、分散型取引所(Dex)での自動取引は非現実的です。その結果、NFTマーケットが登場し、ユーザーがより円滑に注文を出し、購入できるプラットフォームを提供しています。しかし、詐欺師はこれらのマーケットを悪用し、悪意のある注文を作成して、被害者のNFTを盗みます。

フィッシングトランザクション例

6. 偽インターフェース詐欺

ユーザーは、インターフェース呼び出しのようなオンチェーンコントラクトとやり取りします。ユーザーの理解を深めるために、これらのインターフェースは通常、メソッド名の形式で表示されます。ただし、メソッド名がメソッドの具体的な実装を必ずしも正確に表しているわけではないことに注意することが重要です。「SecurityUpdate」という名前のメソッドは、必ずしもセキュリティアップグレードを伴うわけではなく、代わりに呼び出し者の資産の転送を伴う可能性があります。

フィッシングトランザクション例

Web3におけるフィッシングから安全を保つ方法

  • 信頼できないソースからの疑わしいウェブサイトへのアクセスは避け、ウォレット接続を要求するサイトには細心の注意を払ってください。 多くのウォレットやエクスプローラー拡張機能は、フィッシングサイトを警告してくれます。MetaMaskのようなツールが役立ちます。
  • EOAやコントラクトを含む、やり取りするアドレスをすべて再確認してください。 アドレスの先頭と末尾の数文字が familiar であっても、正しいと仮定しないでください。初めてやり取りするアドレスについては、AvengerDAOのリスクスキャナーやMetaDockのようなツールを使用して、リスクを確認してください。
  • トークン承認を定期的に確認し、取り消してください。 多くのツールがこの作業を支援します。たとえば、MetaDockは、ブロックチェーンエクスプローラーのトークン承認管理機能を改善することで、リスクのある承認を特定するのに役立つブラウザ拡張機能です。
  • 複数のウォレットを使用し、資産を分散させてください。 日常使用するホットウォレットには、必要な資産のみを保管してください。資産の大部分は、ハードウェアウォレットのような、より安全なコールドウォレットに保管してください。

MetaSleuthについて

MetaSleuthは、ユーザーがすべての暗号活動を効果的に追跡および調査できるように開発された、BlockSecによる包括的なプラットフォームです。MetaSleuthを使用すると、ユーザーは簡単に資金を追跡し、資金の流れを視覚化し、リアルタイムの資金移動を監視し、重要な情報を保存し、調査結果を共有して共同作業を行うことができます。現在、Bitcoin (BTC)、Ethereum (ETH)、Tron (TRX)、Polygon (MATIC) など、13種類のブロックチェーンをサポートしています。

ウェブサイト:https://metasleuth.io/

Twitter:@MetaSleuth

Telegram:https://t.me/MetaSleuthTeam

Sign up for the latest updates
DeFi and Stablecoin Security: A discussion with Dr. Andy Zhou, CEO of BlocSec

DeFi and Stablecoin Security: A discussion with Dr. Andy Zhou, CEO of BlocSec

Hear BlockSec CEO Dr. Andy Zhou on Chaintech discuss leadership, Web3, finance, and the future of fintech.

In-Depth Analysis: The Balancer V2 Exploit

In-Depth Analysis: The Balancer V2 Exploit

On November 3, 2025, Balancer V2 and several forked projects were exploited, causing over $125 million in losses. This blog offers an in-depth technical analysis of the incident.

Phalcon Security: The Proactive Defense Ending Zero-Day Web3 Attacks

Phalcon Security: The Proactive Defense Ending Zero-Day Web3 Attacks

Discover how Phalcon Security spots and stops attacks in the mempool automatically. This shifts Web3 defense from reacting to being proactive.