Back to Blog

Web3におけるフィッシング詐欺対策:資産保護

MetaSleuth
December 14, 2023
5 min read

Web3におけるフィッシングとは?

ユーザーがブロックチェーントランザクションを通じてトークン取引を行うにつれて、新しい形態のフィッシング詐欺が出現しました。被害者から個人情報や金融情報を入手することに焦点を当てた従来のフィッシング詐欺とは異なり、この特定のフィッシング手法は、トランザクションを悪用してユーザーの資産を盗むことを目的としています。本質的に、詐欺師は、被害者にトークンを引き出すことを可能にするトランザクションまたはメッセージに署名するように騙します。 次のセクションでは、Web3で蔓延しているさまざまなフィッシング詐欺について詳しく説明し、それらから資産を保護するための実践的な戦略を習得します。

Web3における一般的なフィッシング詐欺の種類

1. 直接トークン転送

この詐欺は、ユーザーに資産を悪意のあるアドレスに直接転送するように誘導するものです。これらの詐欺の成功は、巧妙なソーシャルエンジニアリング技術に依存することがよくあります。「セキュリティアップデート」や「請求」を装ってユーザーにトランザクションに署名させることで資産の盗難につながるのが一般的な手口です。この種の詐欺は、通常、偽のインターフェース詐欺を利用して実行されます。

2. トークン承認 / 許可

承認と許可の方法により、第三者(支出者)があなたの代わりにあなたのトークンを使用できるようになります。ユーザーが取引活動を容易にするためにDAppにトークン承認を付与することは一般的な慣行です。ただし、フィッシングアドレスのような悪意のあるアクターに承認を付与すると、金銭的損失につながる可能性があります。被害者が承認に気づかずに取り消さない場合、フィッシング攻撃は長期間継続する可能性があります。

攻撃トランザクションの例

3. 攻撃トランザクションの例

「ポイズニング」としても知られるゼロバリュー転送詐欺は、フィッシャーが被害者のアドレスから、被害者が以前に対話したことのある正規のアドレスに似たフィッシングアドレスへのゼロバリュー転送を操作する際に発生します。この欺瞞的な戦術は、被害者にこれらのフィッシングアドレスに誤って資金を転送するように誘導し、資産の重大な損失につながることを目的としています。

被害者アドレスの例

4. ガス・トークン詐欺

Binance Smart Chain(BSC)では、一部のフィッシャーはエアドロップ詐欺を利用して、被害者に不正なトークンを配布し、これらのトークンを承認または転送するように説得します。残念ながら、被害者はこれらの詐欺トークンに関与する際に、知らないうちに多額の手数料を負担します。これらの手数料は、詐欺師のアドレスにガス・トークンをミントするために使用され、その後、利益のために交換されます。

フィッシングトランザクションの例

5. NFTマーケット詐欺

NFTはユニークな仮想資産の形態です。同じコレクションのNFTの価格は大きく変動するため、分散型取引所(Dex)を通じた自動取引は非現実的です。その結果、NFTマーケットが出現し、ユーザーがより円滑に注文を出し、購入できるプラットフォームが提供されました。しかし、詐欺師はこれらのマーケットを悪用して不正な注文を作成し、被害者のNFTを盗みます。

フィッシングトランザクションの例

6. 偽インターフェース詐欺

ユーザーは、インターフェース呼び出しを通じて、DAppなどのオンチェーンコントラクトと対話します。ユーザーの理解を深めるために、これらのインターフェースは通常、メソッド名の形式で提示されます。ただし、メソッド名は、メソッドの特定の実装を常に正確に表しているとは限らないことに注意することが重要です。たとえば、「SecurityUpdate」という名前のメソッドは、必ずしもセキュリティアップグレードを伴うわけではありませんが、代わりに呼び出し元の資産の転送を伴う可能性があります。

フィッシングトランザクションの例

Web3におけるフィッシングから安全を保つ方法

  • 信頼できないソースからの不審なウェブサイトへのアクセスは避け、ウォレット接続を要求するウェブサイトには特に注意してください。 多くのウォレットやエクスプローラー拡張機能は、フィッシングウェブサイトについて警告してくれます。MetaMaskのようなツールが役立ちます。

  • EOAやコントラクトを含む、対話するアドレスをすべて再確認してください。 アドレスの最初の数文字と最後の数文字が familiar だからといって、正しいとは限りません。初めて対話するアドレスについては、AvengerDAOのリスクスキャナーやMetaDockのようなツールを使用してリスクを確認してください。

  • トークン承認を定期的に確認し、取り消してください。 多くのツールがこれを支援します。たとえば、MetaDockは、ブロックチェーンエクスプローラーのトークン承認管理機能を改善することにより、リスクのある承認を特定するのに役立つブラウザ拡張機能です。

  • 複数のウォレットを使用し、資産を分散させてください。 日常使用するホットウォレットには、必要な資産のみを保管してください。資産の大部分は、ハードウェアウォレットのような、より安全なコールドウォレットに保管してください。

MetaSleuthについて

MetaSleuthは、BlockSecによって開発された包括的なプラットフォームであり、ユーザーがすべての暗号資産活動を効果的に追跡および調査できるように支援します。MetaSleuthを使用すると、ユーザーは簡単に資金を追跡し、資金の流れを視覚化し、リアルタイムの資金移動を監視し、重要な情報を保存し、調査結果を他の人と共有することで共同作業を行うことができます。現在、Bitcoin(BTC)、Ethereum(ETH)、Tron(TRX)、Polygon(MATIC)など、13の異なるブロックチェーンをサポートしています。

ウェブサイト: https://metasleuth.io/

Twitter: @MetaSleuth

Telegram: https://t.me/MetaSleuthTeam

Sign up for the latest updates
Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly
Security Insights

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly

This BlockSec weekly security report covers eight attack incidents detected between April 20 and April 26, 2026, across Ethereum, Avalanche, Sui, Base, HyperLiquid, and MegaETH, with total estimated losses of approximately $7.04M. The highlighted incident is the $1.3M GiddyDefi exploit, where the attacker did not break any cryptography or use a flash loan but simply replayed an existing on-chain EIP-712 signature with the unsigned `aggregator` and `fromToken` fields swapped out for a malicious contract, demonstrating how partial signature coverage turns any historical signature into a generic permit. Other incidents include a $3.5M Volo Vault operator key compromise on Sui, a $1.5M Purrlend privileged-role takeover, a $413K SingularityFinance oracle misconfiguration, a $142.7K Scallop cross-pool index injection, a $72.35K Kipseli Router decimal mismatch, a $50.7K REVLoans (Juicebox) accounting pollution, and a $64K Custom Rebalancer arbitrary-call exploit.

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation