Web3におけるフィッシング詐欺から資産を守る

Web3におけるフィッシング詐欺から資産を守る

Web3におけるフィッシングとは?

ユーザーがブロックチェーントランザクションを通じてトークン取引を行う中で、新たな形態のフィッシング詐欺が出現しています。被害者から個人情報や金融情報を取得することに重点を置いた従来のフィッシング詐欺とは異なり、この特定のフィッシング手法は、トランザクションを悪用してユーザーの資産を盗み取ることを目的としています。本質的に、詐欺師は被害者を欺き、被害者のトークンを引き出すことができるトランザクションやメッセージに署名させます。 続くセクションでは、Web3で蔓延している様々なフィッシング詐欺について詳しく掘り下げ、それらから資産を保護するための実践的な戦略を習得します。

Web3における一般的なフィッシング詐欺の種類

1. 直接トークン転送

この詐欺は、ユーザーを欺き、資産を悪意のあるアドレスに直接転送させます。これらの詐欺の成功は、しばしば洗練されたソーシャルエンジニアリング技術に依存しています。「セキュリティアップデート」や「請求」を装ってユーザーにトランザクションの署名をさせ、最終的に資産の盗難につながるという、一般的なバリエーションがあります。この種の詐欺は、通常、偽インターフェース詐欺を利用して実行されます。

2. トークン承認 / 許可

承認と許可の方法は、他者(支出者と呼ばれる)があなたの代わりにあなたのトークンを利用できるようにするものです。ユーザーが取引活動を容易にするために、DAppにトークン承認を付与することは一般的な慣行です。しかし、フィッシングアドレスのような悪意のあるアクターに承認を付与すると、経済的損失につながる可能性があります。被害者が承認に気づかず、取り消さない場合、フィッシング攻撃は長期間継続する可能性があります。

攻撃トランザクション例

3. 攻撃トランザクション例

「ポイズニング」としても知られるゼロバリュー転送詐欺は、フィッシャーが被害者のアドレスから、被害者が以前やり取りした正規のアドレスに似たフィッシングアドレスへゼロバリュー転送を操作する際に発生します。この欺瞞的な戦術は、被害者をこれらのフィッシングアドレスに誤って資金を転送させて、大幅な資産損失につながることを目的としています。

被害者アドレス例

4. ガス・トークン詐欺

Binance Smart Chain (BSC) では、一部のフィッシャーはエアドロップ詐欺を採用しており、被害者に不正なトークンを配布し、それらのトークンの承認または転送を説得します。残念ながら、被害者はこれらの詐欺トークンに関与する際に、気づかずに多額の手数料を負担します。これらの手数料は、詐欺師のアドレスにガス・トークンをミントするために使用され、その後、利益のために交換されます。

フィッシングトランザクション例

5. NFTマーケット詐欺

NFTはユニークな仮想資産です。同じコレクションのNFTは価格に大きなばらつきがあるため、分散型取引所(Dex)での自動取引は非現実的です。その結果、NFTマーケットが登場し、ユーザーがより円滑に注文を出し、購入できるプラットフォームを提供しています。しかし、詐欺師はこれらのマーケットを悪用し、悪意のある注文を作成して、被害者のNFTを盗みます。

フィッシングトランザクション例

6. 偽インターフェース詐欺

ユーザーは、インターフェース呼び出しのようなオンチェーンコントラクトとやり取りします。ユーザーの理解を深めるために、これらのインターフェースは通常、メソッド名の形式で表示されます。ただし、メソッド名がメソッドの具体的な実装を必ずしも正確に表しているわけではないことに注意することが重要です。「SecurityUpdate」という名前のメソッドは、必ずしもセキュリティアップグレードを伴うわけではなく、代わりに呼び出し者の資産の転送を伴う可能性があります。

フィッシングトランザクション例

Web3におけるフィッシングから安全を保つ方法

  • 信頼できないソースからの疑わしいウェブサイトへのアクセスは避け、ウォレット接続を要求するサイトには細心の注意を払ってください。 多くのウォレットやエクスプローラー拡張機能は、フィッシングサイトを警告してくれます。MetaMaskのようなツールが役立ちます。
  • EOAやコントラクトを含む、やり取りするアドレスをすべて再確認してください。 アドレスの先頭と末尾の数文字が familiar であっても、正しいと仮定しないでください。初めてやり取りするアドレスについては、AvengerDAOのリスクスキャナーやMetaDockのようなツールを使用して、リスクを確認してください。
  • トークン承認を定期的に確認し、取り消してください。 多くのツールがこの作業を支援します。たとえば、MetaDockは、ブロックチェーンエクスプローラーのトークン承認管理機能を改善することで、リスクのある承認を特定するのに役立つブラウザ拡張機能です。
  • 複数のウォレットを使用し、資産を分散させてください。 日常使用するホットウォレットには、必要な資産のみを保管してください。資産の大部分は、ハードウェアウォレットのような、より安全なコールドウォレットに保管してください。

MetaSleuthについて

MetaSleuthは、ユーザーがすべての暗号活動を効果的に追跡および調査できるように開発された、BlockSecによる包括的なプラットフォームです。MetaSleuthを使用すると、ユーザーは簡単に資金を追跡し、資金の流れを視覚化し、リアルタイムの資金移動を監視し、重要な情報を保存し、調査結果を共有して共同作業を行うことができます。現在、Bitcoin (BTC)、Ethereum (ETH)、Tron (TRX)、Polygon (MATIC) など、13種類のブロックチェーンをサポートしています。

ウェブサイト:https://metasleuth.io/

Twitter:@MetaSleuth

Telegram:https://t.me/MetaSleuthTeam

Sign up for the latest updates
#1 Cetus Incident: One Unchecked Shift Drains $223M in the Largest DeFi Hack of 2025

#1 Cetus Incident: One Unchecked Shift Drains $223M in the Largest DeFi Hack of 2025

Cetus Protocol, the largest concentrated-liquidity DEX on Sui, was exploited on May 22, 2025, resulting in an estimated ~$223M loss across multiple liquidity pools. The attacker leveraged a flaw in checked_shlw(), a custom overflow-prevention helper used in fixed-point u256 math, where an incorrect constant and comparison failed to block unsafe left shifts and caused silent truncation of high bits during liquidity delta calculations. By crafting specific liquidity and tick/price-range parameters, the exploit made required deposits appear near-zero while minting an oversized liquidity position, which was later withdrawn to drain real pool reserves.

#2 Bybit Incident: A Web2 Breach Enables the Largest Crypto Hack in History

#2 Bybit Incident: A Web2 Breach Enables the Largest Crypto Hack in History

The largest crypto hack ever, the February 21, 2025 Bybit breach stole about $1.5B after attackers used social engineering to compromise a Safe{Wallet} workflow, injected malicious JavaScript into an AWS S3 bucket, tampered with the transaction signing process, and upgraded Bybit’s Safe{Wallet} contract to a malicious implementation that drained funds across multiple chains.

Weekly Web3 Security Incident Roundup | Jan 25 – Feb 1, 2026

Weekly Web3 Security Incident Roundup | Jan 25 – Feb 1, 2026

During the week of January 25 to February 1, 2026, six blockchain security incidents were reported with total losses of ~$18.05M. These involved improper input validation, token design flaws, key compromises, and business logic errors across DeFi protocols on multiple chains. The primary causes included unchecked user inputs enabling arbitrary calls, flawed burn mechanisms allowing price manipulation, compromised developer tools, and missing solvency checks in lending functions.