Back to Blog

Web3におけるフィッシング詐欺から資産を守る

MetaSleuth
December 14, 2023

Web3におけるフィッシングとは?

ユーザーがブロックチェーントランザクションを通じてトークン取引を行う中で、新たな形態のフィッシング詐欺が出現しています。被害者から個人情報や金融情報を取得することに重点を置いた従来のフィッシング詐欺とは異なり、この特定のフィッシング手法は、トランザクションを悪用してユーザーの資産を盗み取ることを目的としています。本質的に、詐欺師は被害者を欺き、被害者のトークンを引き出すことができるトランザクションやメッセージに署名させます。 続くセクションでは、Web3で蔓延している様々なフィッシング詐欺について詳しく掘り下げ、それらから資産を保護するための実践的な戦略を習得します。

Web3における一般的なフィッシング詐欺の種類

1. 直接トークン転送

この詐欺は、ユーザーを欺き、資産を悪意のあるアドレスに直接転送させます。これらの詐欺の成功は、しばしば洗練されたソーシャルエンジニアリング技術に依存しています。「セキュリティアップデート」や「請求」を装ってユーザーにトランザクションの署名をさせ、最終的に資産の盗難につながるという、一般的なバリエーションがあります。この種の詐欺は、通常、偽インターフェース詐欺を利用して実行されます。

2. トークン承認 / 許可

承認と許可の方法は、他者(支出者と呼ばれる)があなたの代わりにあなたのトークンを利用できるようにするものです。ユーザーが取引活動を容易にするために、DAppにトークン承認を付与することは一般的な慣行です。しかし、フィッシングアドレスのような悪意のあるアクターに承認を付与すると、経済的損失につながる可能性があります。被害者が承認に気づかず、取り消さない場合、フィッシング攻撃は長期間継続する可能性があります。

攻撃トランザクション例

3. 攻撃トランザクション例

「ポイズニング」としても知られるゼロバリュー転送詐欺は、フィッシャーが被害者のアドレスから、被害者が以前やり取りした正規のアドレスに似たフィッシングアドレスへゼロバリュー転送を操作する際に発生します。この欺瞞的な戦術は、被害者をこれらのフィッシングアドレスに誤って資金を転送させて、大幅な資産損失につながることを目的としています。

被害者アドレス例

4. ガス・トークン詐欺

Binance Smart Chain (BSC) では、一部のフィッシャーはエアドロップ詐欺を採用しており、被害者に不正なトークンを配布し、それらのトークンの承認または転送を説得します。残念ながら、被害者はこれらの詐欺トークンに関与する際に、気づかずに多額の手数料を負担します。これらの手数料は、詐欺師のアドレスにガス・トークンをミントするために使用され、その後、利益のために交換されます。

フィッシングトランザクション例

5. NFTマーケット詐欺

NFTはユニークな仮想資産です。同じコレクションのNFTは価格に大きなばらつきがあるため、分散型取引所(Dex)での自動取引は非現実的です。その結果、NFTマーケットが登場し、ユーザーがより円滑に注文を出し、購入できるプラットフォームを提供しています。しかし、詐欺師はこれらのマーケットを悪用し、悪意のある注文を作成して、被害者のNFTを盗みます。

フィッシングトランザクション例

6. 偽インターフェース詐欺

ユーザーは、インターフェース呼び出しのようなオンチェーンコントラクトとやり取りします。ユーザーの理解を深めるために、これらのインターフェースは通常、メソッド名の形式で表示されます。ただし、メソッド名がメソッドの具体的な実装を必ずしも正確に表しているわけではないことに注意することが重要です。「SecurityUpdate」という名前のメソッドは、必ずしもセキュリティアップグレードを伴うわけではなく、代わりに呼び出し者の資産の転送を伴う可能性があります。

フィッシングトランザクション例

Web3におけるフィッシングから安全を保つ方法

  • 信頼できないソースからの疑わしいウェブサイトへのアクセスは避け、ウォレット接続を要求するサイトには細心の注意を払ってください。 多くのウォレットやエクスプローラー拡張機能は、フィッシングサイトを警告してくれます。MetaMaskのようなツールが役立ちます。
  • EOAやコントラクトを含む、やり取りするアドレスをすべて再確認してください。 アドレスの先頭と末尾の数文字が familiar であっても、正しいと仮定しないでください。初めてやり取りするアドレスについては、AvengerDAOのリスクスキャナーやMetaDockのようなツールを使用して、リスクを確認してください。
  • トークン承認を定期的に確認し、取り消してください。 多くのツールがこの作業を支援します。たとえば、MetaDockは、ブロックチェーンエクスプローラーのトークン承認管理機能を改善することで、リスクのある承認を特定するのに役立つブラウザ拡張機能です。
  • 複数のウォレットを使用し、資産を分散させてください。 日常使用するホットウォレットには、必要な資産のみを保管してください。資産の大部分は、ハードウェアウォレットのような、より安全なコールドウォレットに保管してください。

MetaSleuthについて

MetaSleuthは、ユーザーがすべての暗号活動を効果的に追跡および調査できるように開発された、BlockSecによる包括的なプラットフォームです。MetaSleuthを使用すると、ユーザーは簡単に資金を追跡し、資金の流れを視覚化し、リアルタイムの資金移動を監視し、重要な情報を保存し、調査結果を共有して共同作業を行うことができます。現在、Bitcoin (BTC)、Ethereum (ETH)、Tron (TRX)、Polygon (MATIC) など、13種類のブロックチェーンをサポートしています。

ウェブサイト:https://metasleuth.io/

Twitter:@MetaSleuth

Telegram:https://t.me/MetaSleuthTeam

Sign up for the latest updates
Building a Secure Stablecoin Payment Network: BlockSec Partners with Morph
Partnership

Building a Secure Stablecoin Payment Network: BlockSec Partners with Morph

BlockSec has partnered with Morph as an official audit partner for the $150M Morph Payment Accelerator. By offering exclusive discounts on smart contract audits and penetration testing, BlockSec provides institutional-grade security to payment builders, ensuring a safe and resilient foundation for the future of global stablecoin payments.

Weekly Web3 Security Incident Roundup | Mar 9 – Mar 15, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 9 – Mar 15, 2026

This BlockSec weekly security report covers eight DeFi attack incidents detected between March 9 and March 15, 2026, across Ethereum and BNB Chain, with total estimated losses of approximately $1.66M. Incidents include a $1.01M AAVE incorrect liquidation caused by oracle misconfiguration, a $242K exploit on the deflationary token MT due to flawed trading restrictions, a $149K exploit on the burn-to-earn protocol DBXen from `_msgSender()` and `msg.sender` inconsistency, and a $131K attack on AM Token exploiting a flawed delayed-burn mechanism. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Venus Thena (THE) Incident: What Broke and What Was Missed

Venus Thena (THE) Incident: What Broke and What Was Missed

On March 15, 2026, an attacker bypassed the THE (Thena) supply cap on Venus Protocol (BNB Chain) through a donation attack, inflating a collateral position to 3.67x the intended limit and borrowing ~$14.9M in assets. Both sides lost money on-chain: Venus was left with ~$2.15M in bad debt after 254 liquidation bots competed across 8,048 transactions, while the attacker retained only ~$5.2M against a $9.92M investment. This deep dive examines what broke across three lines of defense (exposure limits, collateral valuation, and liquidation) and the monitoring gaps that left months of on-chain warning signals unacted upon.

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation