ScamLens
危険 平均被害額: $20,000 標準的な期間: 1-7 days

スマートコントラクト ソーシャルエンジニアリング詐欺

スマートコントラクト ソーシャルエンジニアリング詐欺は、特に中程度の技術知識を持つ暗号資産保有者を狙った急速に進化する脅威です。単純なフィッシングとは異なり、これらの詐欺はブロックチェーン取引の正当な外観を悪用し、ユーザーを騙してスマートコントラクトに署名させ、詐欺師にデジタル資産へのアクセスを与えます。詐欺は通常1〜7日間で展開され、被害者の平均損失額は20,000ドルですが、高度な標的はより多くの損失を被っています。詐欺師はAI生成コンテンツ、偽のプロジェクトウェブサイト、正規のDeFiプロトコルの詐称を組み合わせて、限定的なトークンエアドロップ、イールドファーミング機会、またはNFTミントイベント周辺に虚偽の緊急性を作り出します。ブロックチェーンセキュリティ企業のCertikによると、スマートコントラクト悪用およびソーシャルエンジニアリング事件は2023年に156%増加し、DeFi詐欺の幅広いカテゴリーで140億ドルを超える損失が発生しました。この脅威が特に危険な理由は、ブロックチェーン取引は署名されると永続的で取り消し不可能であり、被害者は初期の承認から数日後まで資金が侵害されていることに気付かないことが多いためです。

主な手口 見分け方 身を守る方法 実例 よくある質問 通報窓口

主な手口

  • Uniswap や OpenSea などの正規のDeFiプラットフォームの説得力のあるレプリカウェブサイトを作成し、盗まれたブランディングと非常に似たURL(例:『uniswap.org』ではなく『uniswap-swap.net』)を完備し、インターフェース内に悪意のあるスマートコントラクトコードを埋め込みます。
  • プロジェクトモデレーターを詐称するターゲット化されたDiscordまたはTelegramメッセージを送信し、偽のdAppを通じてウォレット接続が必要な排他的なトークン配分またはプレセール早期アクセスを提供し、自動的にコントラクト承認署名をトリガーします。
  • 暗号資産インフルエンサーのディープフェイク版を特徴とするAI作成のYouTubeビデオまたはTwitterスペースを生成し、500%以上のAPY収益を持つ偽のイールドファーミング戦略を宣伝し、数分以内に視聴者を詐欺コントラクトに誘導します。
  • テスト取引で利益を生成しているように見えるハニーポットコントラクトを使用し、被害者が実際のドレインコントラクトに署名する前に小さな利益(10~50ドル)を表示し、その機会が検証されたという心理的信念を悪用します。
  • 一見合法的なNFTミントページ内に悪意のあるコントラクトコードを埋め込み、ユーザーはガス代のみを支払っていると信じてトークン支出制限(通常無制限に設定)を承認させ、数週間後にウォレットから資金を流出させます。
  • 正規プロジェクトのソーシャルメディアアカウントをハッキングして逆方向のソーシャルエンジニアリングを実行し、詐欺コントラクトにリンクする出金またはトークンスワップの案内を投稿し、確立されたコミュニティの信頼を活用します。

見分け方

  • 接続されたウォレットが開始したことのない取引を表示するか、承認した覚えのないトークン承認に関する通知を受け取ります。これは非表示のドレイン機能を持つコントラクトが実行されたことを示しています。
  • 新たに発見された『機会』が、プロジェクトマネージャーであると主張する人からの無請求メッセージを通じて到着し、公式ウェブサイトのような通常の公開チャネルをバイパスする排他的アクセスを提供します。
  • ウェブサイトURLには軽微なスペルミスが含まれているか、正規プロジェクトの公式サイトと比較して異なるが類似したドメイン拡張子(『.org』の代わりに『.net』、または異常な場所にハイフンを含む)を使用しています。
  • Etherscanなどのブロックチェーンエクスプローラーでコントラクトを表示するとき、ソースコードが未検証であるか、コントラクト機能にトークンスワップのみを促進すると主張しているにもかかわらず『transferFrom』のような無制限の許可を含む疑わしい権限が含まれています。
  • その機会は数学的に不可能またはかなり市場レートを超える収益(400%以上のAPY収益)を約束し、極端な時間的プレッシャーが数時間以内にオファーが期限切れになると述べています。
  • ウォレット残高は、あなたが無害だと信じていたコントラクト相互作用を承認した直後に予期しない金額だけ減少し、ブロックチェーン記録は見知らぬウォレットアドレスへのトークン転送を示しています。

身を守る方法

  • DeFiプラットフォームには、ソーシャルメディア、メール、またはメッセージのリンクをクリックするのではなく、完全な公式URLをブラウザに直接入力するか、ブックマークを使用して常にアクセスし、送信元の信頼性に関係なくアクセスします。
  • ウォレットを任意のdAppに接続したり、任意のコントラクト相互作用に署名したりする前に、EtherscanまたはPolygonScanでコントラクトアドレスを表示し、それが公式プロジェクト文書と一致することを確認し、未知のアドレスへの転送のソースコードを確認します。
  • Revoke.cashまたはEtherscanのトークン承認ページなどのコントラクト承認ツールを使用して、無制限の承認を付与するのではなく、特定の金額または取引回数にトークン支出権限を制限します。
  • DeFi相互作用専用に限定された資金のみを保有する別の暗号資産ウォレットを作成し、保有資産の大部分をセキュアなハードウェアウォレットまたはdAppに接続しない専用のストレージウォレットに保管します。
  • MetaMaskのセキュリティ機能またはTenderlyなどのスタンドアロンサービスで利用可能なトランザクションシミュレーションツールを有効にして、署名する前にスマートコントラクトが何を実行するかを正確にプレビューし、不正なトークン転送を監視します。
  • 重大な案内は、公式プロジェクトチャネル(プライマリウェブサイト、ブルーチェック付きの検証済みTwitterアカウント、公式Discord/Telegram)を通じて任意のアクションを実行する前に確認し、CertiKやTrail of Bitsなどの独立したブロックチェーンセキュリティサイトで相互参照してください。

実例

ユーザーはOpenSeaモデレーターバッジを表示しているアカウント(Discordの有料検証機能を通じて購入)からDiscordメッセージを受け取り、メジャーなNFTドロップへの排他的な早期アクセスを提供していました。メッセージにはOpenSeaと視覚的に同一のウェブサイトへのリンクが含まれており、ユーザーはMetaMaskウォレットを『適格性の確認』に接続しました。接続ページには『ガス代管理』用のトークン承認リクエストが表示され、ユーザーはコントラクト詳細を読まずに署名しました。6時間以内に、ユーザーのウォレットは15 ETH(当時約27,000ドル)から排出されました。コントラクトには無限承認句が含まれており、詐欺師はすべてのERC-20トークンを引き出すことができました。

暗号資産トレーダーは、よく知られたDeFiインフルエンサーのように見える動画(実際には生成型AIを使用して生成されたディープフェイク)を特徴とするYouTube動画を見つけました。この動画は、未知のプロトコルで新しいイールドファーミング戦略を実演し、テスト取引が30分以内に8 ETHの収益を生成することを示していました。詐欺師は短縮URLを提供し、コントラクトインターフェースに誘導しました。被害者が2 ETHをデポジットし、約束された8 ETH(信頼を構築するために詐欺師から資金提供された)をウォレットで受け取った後、彼らは『出金手数料』の第2コントラクト承認に署名しました。そのコントラクトにはドレイン機能が含まれており、すべての10 ETHと複数の他のトークン(合計32,000ドルの損失)を詐欺師のウォレットに即座に転送しました。

Telegramグループメンバーは新しいDeFiガバナンストークンの限定時間エアドロップを発表し、10,000トークンが最初の100人のコミュニティメンバーに利用可能であると主張し、ウォレットを接続して身分を確認する必要があります。プロセスでは2時間以内にコントラクト相互作用に署名する必要がありました。被害者は提供されたウェブサイトに移動し、ウォレットを接続し、標準的なトークンクレームコントラクトであるように見えるものに署名しました。被害者に知られずに、コントラクトに非表示コードが含まれており、ウォレットの承認されたトークンを監視し、詐欺師のアドレスに自動的に転送しました。次の3日間、被害者は通常のDeFi活動を実施し、正規のプロトコルと相互作用すると、複数の不正転送が発生し、最終的に複数のトークン全体で18,500ドルの損失になりました。

よくある質問

署名する前に、スマートコントラクトが正規であるかどうかをどのように判断できますか?
常にEtherscanまたはあなたのチェーンのブロックエクスプローラーでコントラクトアドレスを確認し、公式プロジェクト文書(ソーシャルメディアだけでなく)と一致していることを確認し、疑わしい機能のコントラクトソースコードを確認してください。未知のアドレスへの転送、無制限の承認、または隠れたドレイン機構を探してください。コードが未検証であるか、理解できない場合は、正規のコミュニティチャネルで質問するか、AIコントラクト分析ツールを使用してください。ただし、許可するコンテンツを理解してから署名してください。
悪意のあるスマートコントラクトに署名した後、資金を回復できますか?
残念ながら、ブロックチェーン取引は確認されると永続的で取り消し不可能です。ただし、Revoke.cashを使用してすべてのトークン承認を直ちに取り消し、残りの資金をセキュアなウォレットに移動し、詐欺アドレスをブロックチェーンセキュリティプラットフォームとFBIのIC3に報告してください。いくつかの高度な回復サービスは、数分以内に行動すれば保留中のトランザクションを傍受しようとすることができますが、成功は非常にまれです。予防は回復よりもはるかに効果的です。

通報窓口 — 日本

お住まいの地域でこの詐欺を通報できる公式窓口。

警察庁サイバー犯罪相談窓口

サイバー犯罪

都道府県警察のサイバー犯罪相談窓口(電話番号は地域別)。

訪問 →

消費者庁 消費者ホットライン

消費者保護

消費者ホットライン「188(いやや!)」。最寄りの消費生活センターへ。

188 訪問 →

IPA 情報セキュリティ安心相談窓口

通報

独立行政法人 情報処理推進機構による情報セキュリティ全般の相談。

03-5978-7509 訪問 →

金融庁 金融サービス利用者相談室

金融監督

投資詐欺・金融商品トラブルに関する相談窓口。

0570-016811 訪問 →

この詐欺に遭った可能性はありますか?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), スマートコントラクト ソーシャルエンジニアリング詐欺 is described at https://scamlens.org/ja/encyclopedia/smart-contract-social-engineering.
https://scamlens.org/ja/encyclopedia/smart-contract-social-engineering