背景
インスクリプション(Inscription)の概念がかつてないほどの盛り上がりを見せ、トップインスクリプションの価格が数万倍にも急騰する中、犯罪者はすでにインスクリプションの複雑さと新しさを利用して、ますます横行している様々な詐欺行為に悪用する機会を捉えています。これらの行為は、投資家の財産的安全性だけでなく、インスクリプションエコシステム全体の健全な発展にも深刻な脅威をもたらしています。これに対応するため、本稿では、詐欺プロジェクトのリスク、誤送金や意図しない焼失の危険性、中央集権型ツールのリスクといった3つの典型的なインスクリプション攻撃事例と、それに対応するユーザーが取れる予防策を詳細に概説します。
インスクリプションのセキュリティリスクと対策
1. 詐欺プロジェクトのリスク
現在のビットコインプロトコルでは、プロジェクトの識別の大部分は、デプロイメント操作中に指定されたプロジェクト名に依存しており、インデクサーでの識別には一意のIDが使用されます。しかし、一般ユーザーは通常、プロジェクト名のみを記憶し、それを取引の根拠とします。この名前依存の取引方法には一定のリスクが伴います。なぜなら、視覚的に類似しているが異なるASCII文字列が数多く存在し、視覚的な詐欺の機会を生み出すからです。悪意のあるアクターは、これらの類似した文字列を悪用して、ユーザーに有名なプロジェクトと取引していると思わせ、正規のものと酷似した偽プロジェクトのトークンを発行することができます。このような詐欺は、トークンミント(鋳造)プロセス中に頻繁に発生し、悪意のあるアクターはユーザーに、実際には価値がない可能性のあるトークンやその他の仮想資産を入手するための手数料を支払わせます。これらの詐欺行為は、ユーザーの利益を損なうだけでなく、エコシステム全体の不安定化を引き起こす可能性があります。 例として、「rats」という偽プロジェクトを考えてみましょう。この偽の「rats」は、類似したASCII文字を使用して、正規のものと非常に似た名前が付けられています。ユーザーが名前を注意深く見分けなければ、偽の「rats」トークンを購入させられ、金銭的損失を被る可能性があります。
偽のインスクリプションに加えて、一部の詐欺インスクリプションは、ユーザーをミントプロセス中に余分な資金を送金するように欺くことさえあります。例えば、画像に示すように、ビットマップ上のインスクリプションをミントする際、詐欺的なウェブページはユーザーに特定の住所に支払いを要求します。ユーザーが要求された支払いの金額に気づかなければ、多額の金銭的損失を被る可能性があります。
**対策:検証されていないソースからのインスクリプションミントを避ける **インスクリプションのミントが可能なチャネルは多岐にわたり、我々が遭遇したタイプには、1. プロジェクト独自の配布ウェブサイト、2. Unisatのようなウォレットの補助ツール、3. その他のサードパーティ提供ツールが含まれます。インスクリプションのミントのためのこれらの異なるチャネルは、ユーザーを混乱させ、チャネルの正しさや安全性を判断できなくさせ、詐欺インスクリプションの罠に陥らせる可能性があります。インスクリプションのミントには、主にウォレットサービスまたはプロジェクトチームからの公式配布ウェブサイトを使用することをお勧めします。ミント前にウェブサイトの信頼性を確認し、要求されるミント額を慎重に確認することを推奨します。 大規模なバッチミントには、ウォレットが提供する補助ツールを使用して、資金の安全性をさらに高めることをお勧めします。
2. 誤送金と意図しない焼失のリスク
まず、誤送金とは、インスクリプションの担体が取引中に通常のビットコインとして扱われる状況を指します。インスクリプションはビットコイン取引に添付されるため、従来のBTCウォレットはインスクリプションが持つ追加価値を考慮せず、UTXOモデルでロックされたサトシの価値のみを表示します。一部のユーザーは、インスクリプションを完全に理解せずに従来の取引を行う可能性があります。これにより、ウォレットはインスクリプションを通常のビットコイン資産と誤認し、他のUTXOとマージして、誤ったアドレスに送信してしまう可能性があり、取り返しのつかない損失につながります。
次に、意図しない焼失(burn)とは、インスクリプションが価値がない、または意味がないと見なされて破壊または削除されるシナリオを指します。インスクリプションは、分割モデルではビットコインの所有権や価値に直接影響しないため、一部のユーザーは、インスクリプションを添付したビットコインは紙の価値が低い、重要ではない、または無効であると誤解し、他のUTXOとマージすることを選択する可能性があります。これにより、インスクリプションに関連する重要な情報や資産が永久に失われる可能性があります。
例えば、画像で示されているように、ウォレットがビットコイン取引内のインスクリプションを誤って識別せず、保護すべきものであったにもかかわらず、それがダストと見なされて外部に移動され、損失につながった例です。
https://twitter.com/wizzwallet/status/1714385677985661245?s=20
**対策:専用のインスクリプションアドレスとウォレットを用意する **分割モデルでは、ユーザーが高価値のインスクリプション資産を誤って送金したり焼失したりするのを防ぐために、ユーザーはインスクリプション専用のアドレスとウォレットを用意することをお勧めします。このような実践は、誤操作のリスクを効果的に減らし、インスクリプション資産の安全性を確保することができます。このアドレスは、標準のビットコイン取引アドレスとの混同を防ぐために、通常の取引アドレスとは別にします。インスクリプション取引を他の取引から分離することで、ユーザーはインスクリプション資産をより良く管理・制御できます。
3. 中央集権型ツールのリスク
ブロックチェーンの分散設計により、ユーザーはブロックチェーンエコシステムに直接参加できます。しかし、複雑なRPCプロトコルを介してブロックチェーンエコシステムに直接参加するのは非常に複雑です。その結果、大多数のユーザーは、補助ツールに依存して、インスクリプションエコシステム内でのミントおよび取引プロセスに関与することを選択します。
インスクリプションは新しい概念であり、そのエコシステムは成熟したERC20フレームワークと比較するとまだ初期段階にあるため、多くの補助ツールが急速に登場しています。これらのツールのほとんどは機能実装に焦点を当てており、セキュリティ上の考慮事項をしばしば neglect しています。「例えば、一部のツールでは、ユーザーにトランザクションに署名するために秘密鍵をインポートするように要求したり、ユーザーが取引目的で資産をプラットフォームに委託したりする場合があります。」これらの実践はユーザーの秘密鍵を露呈させ、中央集権型ツールは実質的にユーザーのすべての資産を制御するため、「ラグプル」のリスクやその他の形態の中央集権型脆弱性につながる可能性があります。これらのリスクは、一部のウォレット会社が秘密鍵へのアクセスを得た後にユーザーの全資産を盗み、その後破産を宣言した事例と同様です。
例えば、以下のプロキシツールは、秘密鍵を取得することでユーザーのウォレットから直接お金を盗みます。
**対策:安全なインスクリプション補助ツールの使用
**インスクリプション資産の安全性を高めるために、ユーザーは評判の良いインスクリプションマーケットプレイスで取引および操作を行うべきです。例えば、Geniidata (https://geniidata.com/Ordinals/index/brc20)、Ordiscan (https://ordiscan.com/)、Etch Market (https://www.etch.market/market) のような広く認識されているインスクリプション探索および市場プラットフォームは、安全な取引環境と信頼できるインスクリプション情報を提供します。これらの評判の良いプラットフォームでインスクリプションのミント、取引、その他の操作を行うことで、ユーザーの安全性を高めることができます。さらに、ユーザーは警戒を怠らず、未知のウェブサイトが提供するインスクリプションミントおよび取引サービスを盲目的に信頼してはなりません。いかなる操作を行う前にも、ウェブサイトの評判とセキュリティ対策を徹底的に調査し、確認する必要があります。さらに、ユーザーは、フィッシングや盗難事件を防ぐために、信頼できない第三者に秘密鍵やその他の機密情報を決して開示しないようにする必要があります。
まとめ
インスクリプション詐欺に伴うリスク、誤送金や意図しない焼失の危険性、中央集権型ツールがもたらす潜在的な脅威を深く理解した後、インスクリプションエコシステムは可能性に満ちているものの、多くのリスクと課題も伴うことがわかります。ユーザーは、インスクリプションの取引と保管に関して、非常に警戒し、注意を払う必要があります。公式チャネルを使用してインスクリプションをミントすること、専用のインスクリプションアドレスとウォレットを用意すること、安全なインスクリプション補助ツールを選択することなど、これらの予防策はリスクを大幅に軽減し、ユーザーの資産の安全性を保護することができます。結論として、インスクリプション市場に参加する際は、すべてのユーザーが注意を払うことを奨励します。デジタル資産の世界では、安全性は常に最優先事項です。
MetaSleuthについて
MetaSleuthは、BlockSecによって開発された包括的なプラットフォームであり、ユーザーがすべての仮想通貨活動を効果的に追跡および調査するのを支援します。MetaSleuthを使用すると、ユーザーは資金を簡単に追跡し、資金の流れを視覚化し、リアルタイムの資金移動を監視し、重要な情報を保存し、発見を共有して共同作業を行うことができます。現在、ビットコイン(BTC)、イーサリアム(ETH)、トロン(TRX)、ポリゴン(MATIC)など、13の異なるブロックチェーンをサポートしています。
ウェブサイト: https://metasleuth.io/
Twitter: @MetaSleuth
Telegram: https://t.me/MetaSleuthTeam
