Back to Blog

Web3フィッシング詐欺の被害に遭わない方法

MetaSleuth
April 26, 2024

フィッシング攻撃による数百億円規模の損失が発生する増加傾向が見られます。そのため、技術的な観点だけでなく、一般的なフィッシング手法をユーザーに周知し、フィッシング攻撃を回避する方法を教育する必要があります。

フィッシング攻撃の種類

一般的なフィッシング攻撃には、次の4つの種類が存在します。

  • 直接トークン転送: 攻撃者は、ユーザーを誘導してネイティブトークン(Ether)またはERC20/ERC711トークンを攻撃者管理下の口座に直接送金させます。

  • 承認フィッシング: 承認とは、承認トランザクションに署名することで、ユーザーのトークンを支出者に委任するメカニズムです。攻撃者は、ユーザーに署名させて、攻撃者にトークンを承認させ、その後、攻撃者は被害者のトークンを送金することができます。

  • アドレスポイズニング: 偽トークン攻撃、ゼロバリュー攻撃、ダスト転送攻撃など。

  • NFTゼロバイフィッシング: 攻撃者は、ユーザーを誘導して、NFTを低価格または無料で売却するトランザクションに署名させます。

  • その他。

直接トークン転送

最初のタイプは直接トークン転送と呼ばれます。攻撃者は、ユーザーにEtherを直接攻撃者管理下の口座に転送するトランザクションに署名するように求めます。高度な攻撃では、悪意のあるスマートコントラクトにSecurityUpdateまたはClaimRewardsという名前の関数を使用し、ユーザーにトランザクションに署名させます。

前の図(右側)は、スマートコントラクトのSecurityUpdate関数を含むフィッシングトランザクションの例を示しています。ユーザーがこのトランザクションに署名すると、そのEtherはこのスマートコントラクトに転送され、その後攻撃者に送金されます。

承認フィッシング

承認とは、ユーザーが他のユーザー(支出者)に自身のトークンを使用させるメカニズムです。例えば、ユーザーはUSDCをスマートコントラクトに承認することで、スマートコントラクトがユーザーの代わりにUSDCトークンを操作できるようになります。例えば、USDCを他のトークンと交換するなどです。ユーザーは自身のトークンをスマートコントラクトに承認しているため、スマートコントラクトがユーザーのUSDCトークンに対して行う操作には、ユーザーからの追加の確認(または新しい署名メッセージ)は必要ありません。これにより、全体のフローがスムーズになります。

しかし、攻撃はこのメカニズムを悪用しています。攻撃者は、ユーザーを誘導して、自身のUSDC(または他の価値あるトークン)を攻撃者管理下のコントラクトまたはEOAアドレスに承認するトランザクションに署名させることができます。その後、攻撃者はユーザーのトークンを自身のものに送金することができます。

前の図は、USDTを攻撃者に承認するトランザクションを示しています。承認権限は、ユーザーが明示的に取り消さない限り失効しないことに注意してください。そのため、悪意のある承認はできるだけ早く取り消してください。

また、正規のコントラクトを利用した新しいタイプのフィッシング攻撃があり、Web3フィッシング攻撃におけるROPと呼んでいます。詳細については、弊社のブログをご覧ください。

アドレスポイズニング

このビデオでは、アドレスポイズニングがどのように発生するか、偽トークン攻撃、ゼロバリュー攻撃、ダスト転送攻撃を含めて説明し、Etherscanで不審なトランザクションをどのように見つけるかをお見せします。

ゼロバリュー転送: 攻撃者は、被害者からフィッシングアドレスに、人気のあるトークン(例:USDC)のゼロバリュー転送記録を作成します。このフィッシングアドレスは、被害者のトランザクション履歴にあるアドレスと似ています。被害者が次の送金のために履歴からアドレスを直接コピーすると、トランザクション履歴からフィッシングアドレスをコピーしてしまう可能性があります。詳細については、弊社のTwitter、Coinbaseの調査123その他をご覧ください。

NFTゼロバイフィッシング

NFTマーケットプレイス(例:OpenSea)でNFTを販売する際、ユーザーはまず、価格を指定してNFTを売却する意向を示すトランザクションに署名します。その後、このNFTを購入したい人が署名された注文メッセージを取得して注文を成立させます。

これにより、詐欺師はユーザーを誘導し、特に低価格(または無料)でNFTを売却するトランザクションに署名させる機会を得ます。攻撃者はこのトランザクションを利用してNFTマーケットプレイスでこの注文を成立させ、被害者のNFTを低価格(または無料)で入手できます。

ユーザーが注文に署名する際の意味を理解するのが難しい場合があるため、このフィッシングは広く行われています。

前の図は、OpenSeaの注文に署名する際のMetaMaskのUIを示しています。残念ながら、このような情報はユーザーが理解するのが困難です。

自己防衛の方法

  • まず、理解できるトランザクションにのみ署名してください!トランザクションについて疑問がある場合は、署名しないでください。
  • 次に、複数のウォレットを使用してトランザクションを実行してください。日常的なトランザクションには少額のトークンしか持たないウォレットアドレスを使用してください。ほとんどのトークンは、最初のウォレットへのトークン転送以外のトランザクションに署名しない別のウォレットアドレスに保管してください。
  • 第三に、承認を確認し、不要なものは削除してください。この目的のために、MetaSuitesの承認診断を利用できます。
Sign up for the latest updates
~$15.9M Lost: Trusted Volumes, Wasabi & More | BlockSec Weekly
Security Insights

~$15.9M Lost: Trusted Volumes, Wasabi & More | BlockSec Weekly

This BlockSec bi-weekly security report covers 11 notable attack incidents identified between April 27 and May 10, 2026, across Sui, Ethereum, BNB Chain, Base, Blast, and Berachain, with total estimated losses of approximately $15.9M. Three incidents are analyzed in detail: the highlighted $1.14M Aftermath Finance exploit on Sui, where a signed/unsigned semantic mismatch in the builder-fee validation allowed an attacker to inject a negative fee that was converted into positive collateral during settlement; the $5.87M Trusted Volumes RFQ authorization mismatch on Ethereum; and the $5.7M Wasabi Protocol infrastructure-to-contract-control compromise across multiple EVM chains.

Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly
Security Insights

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly

This BlockSec weekly security report covers eight attack incidents detected between April 20 and April 26, 2026, across Ethereum, Avalanche, Sui, Base, HyperLiquid, and MegaETH, with total estimated losses of approximately $7.04M. The highlighted incident is the $1.3M GiddyDefi exploit, where the attacker did not break any cryptography or use a flash loan but simply replayed an existing on-chain EIP-712 signature with the unsigned `aggregator` and `fromToken` fields swapped out for a malicious contract, demonstrating how partial signature coverage turns any historical signature into a generic permit. Other incidents include a $3.5M Volo Vault operator key compromise on Sui, a $1.5M Purrlend privileged-role takeover, a $413K SingularityFinance oracle misconfiguration, a $142.7K Scallop cross-pool index injection, a $72.35K Kipseli Router decimal mismatch, a $50.7K REVLoans (Juicebox) accounting pollution, and a $64K Custom Rebalancer arbitrary-call exploit.

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation