トークン承認エクスプロイト:詐欺師がWeb3ウォレットを枯渇させる仕組み
トークン承認エクスプロイトは、攻撃者がユーザーをスマートコントラクト取引にデジタル署名するよう操作し、ウォレットから特定のトークンを無制限に転送する権限を付与する高度なWeb3詐欺です。従来のハッキングとは異なり、この攻撃には明示的なユーザーの同意が必要です。ただし、被害者は自分が何を認可しているかを理解していません。一度承認されると、詐欺師は被害者のウォレットから攻撃者が管理するアドレスにトークンを流出させる取引を実行し、多くの場合、数時間以内に実行されます。分散型金融(DeFi)の成長に伴い、この攻撃はますます多く見られるようになっています。ブロックチェーン分析企業のChainalysisは、2022年から2023年の間に承認ベースの盗難が400%増加し、被害者が毎年合計2億8000万ドル以上の損失を被っていることを報告しています。この仕組みは基本的なWeb3設計原則を悪用しています。スマートコントラクトがユーザーのトークンと相互作用するために承認権限を必要とするのです。詐欺師はこれを悪用し、承認リクエストを正当な取引に偽装します(NFTミント、トークンスワップ、ガバナンス投票を装う)が、実際には無制限の転送権を付与しています。特に危険なのは時間的な遅延です。被害者がウォレットが侵害されていることに気付くまでに数日から数週間かかる場合があり、その時点までにトークンはすでにミキシングサービスと取引所に転送されており、回復はほぼ不可能になります。
主な手口
- • 欺瞞的なdAppインターフェースを使用したフィッシング:詐欺師は正当なプラットフォーム(OpenSea、Uniswap、Aave)を模倣した偽の分散型アプリケーションを作成しますが、ユーザーを悪意のあるスマートコントラクトにリダイレクトし、要求された関数を実行する代わりにトークン承認をリクエストします。
- • Discord/Telegramを介したソーシャルエンジニアリング:攻撃者はWeb3コミュニティサーバーに偽のリンクを投稿し、排他的なNFTドロップ、ガバナンスエアドロップ、またはイールドファーミングの機会を装い、ウォレット接続とトークン承認が必要だと主張します。
- • 侵害されたウォレットブラウザ拡張機能:悪意のあるChromeまたはFirefox拡張機能がMetaMaskまたはウォレット管理ツールとして偽装し、ユーザーの知識なしに正当なdApp相互作用に偽の承認リクエストを注入します。
- • 承認メカニズムに関するユーザーの混乱を悪用:詐欺師は、ほとんどのユーザーがトランザクション承認(単一のアクションへの署名)とトークン承認(無制限の将来のアクセスを付与)の違いを理解していないという事実を活用し、リクエストに本物らしい技術言語を埋め込みます。
- • NFRレアリティフィッシングキャンペーン:攻撃者は偽のNFT取引プラットフォームまたはローンチパッドを作成し、レアコレクションを提供し、ユーザーにトークンを承認してクレームまたは入札を行わせてから、承認直後にウォレットを枯渇させます。
- • 誤解を招くUI/UX操作:詐欺dAppは曖昧なトランザクション説明(「スワップを確認」、「取引を有効化」)を表示しながら実際の承認額を隠し、多くの場合、コード内に無制限の許可額(type(uint256).max)を設定します。
見分け方
- 特定のトークンの承認を要求されていますが、dAppは無関連のサービスを提供していると主張しています(例えば、保有していないガバナンストークンの承認をリクエストするNFTミント)。
- 承認リクエストに異常に高い、または「無制限」の許可額が表示されています(トランザクション詳細で非常に大きな数字またはMAXとして表示)。
- トランザクションURLまたはdAppドメインが正当なバージョンと比べてわずかに綴り間違えられています(例:「uniswap.org」ではなく「uniswapp.org」)。
- トランザクション確認画面に、何を承認しているのか、または意図したアクションと一致しているのかが明確に記載されていません。
- 明示的に転送していないトークンに対してウォレット残高が急激に減少しており、多くの場合、ウォレット履歴を確認して開始していないトランザクションを見た時に気付きます。
- 正当なdAppまたはウォレットが何度も同じトークンの再承認をリクエストしており、これは許可額が完全に使い果たされない限り必要となるべきではありません。
身を守る方法
- ソーシャルメディア、Discord、またはメールのリンクをクリックする代わりに、ブラウザに直接入力してdAppドメインを常に検証してください。Revoke.cashなどのブロックチェーンドメイン検証ツールを使用してURLをダブルチェックしてください。
- Revoke.cashまたはEtherscanの承認タブなどのトークン承認監視サービスを使用して、ウォレット内のすべてのアクティブなトークン承認を定期的に監査し、使用しなくなったサービスの権限を取り消してください。
- 単一のトランザクションに必要な特定の金額のみを承認してください。無制限の許可ではなく、ほとんどの正当なdAppはユーザーがカスタム承認額を入力できるようにしています。
- TenderlyやEtherscanのシミュレーション機能などのトランザクションシミュレーションツールを有効にして、署名前に何が起こるか(どのトークンが移動し、どこに移動するか)を正確に確認してください。
- 積極的に取引していないトークンを別個のコールドストレージウォレット(LedgerやTrezorなどのハードウェアウォレット)に保管し、dAppに接続しないようにして、高価値資産への露出を隔離してください。
- 「レイヤード化されたウォレット」戦略を実践してください。小額のdApp相互作用とテストに使用するウォレットを使用し、長期保有用の別個のセキュアなウォレットを維持し、侵害されたアドレスからの潜在的な損失を削減してください。
実例
ユーザーがEthereum L2エアドロップを配布する保証されたリワードを含むTwitter投稿を見ています。リンクをクリックし、MetaMaskウォレットを接続すると、「エアドロップをクレーム」というラベルの付いたボタンが表示されます。処理前に、dAppはUSDCトークンを移動する権限をリクエストします(クレームに必要、またはそう信じられています)。ユーザーは無制限の許可を承認します。6時間以内に、彼らの全18,000ドルのUSDC残高が攻撃者のアドレスに転送されます。エアドロップは偽物でした。承認リクエストが実際の攻撃でした。
Discord モデレーターが人気のあるNFTコミュニティで、ブルーチップコレクションへの早期アクセスを提供する「検証済み」NFTマーケットプレイスへのリンクを共有しています。ウォレットを接続するユーザーは、取引用にETHを承認するよう促されます。UIは単一のトランザクションを表示しますが、コントラクトコード内に隠されているのは、異なるトークン(多くの場合、メンバーが保有する貴重なガバナンストークン)に対する無制限の承認です。2日後、被害者は、影響を受けたグループ全体で合計25,000ドルのUniswapガバナンストークンが枯渇していることを発見します。
投資家が、「流動性調整」のためにAave貸出ポジションに即座の対応が必要であると主張するフィッシングメールを受け取ります。メールは実在するAaveインターフェース(わずかなドメイン綴り間違え)のようなものにリンクしています。ログインして「調整」を確認すると、ユーザーが日常的なメンテナンスと想定するトークン承認リクエストがトリガーされます。その後、攻撃者は翌週にかけて承認されたトークンを静かに枯渇させ、その時までに被害者はそのウォレットの監視を停止しており、四半期のポートフォリオレビューの間でのみ34,000ドルの損失を発見しています。
よくある質問
トランザクション承認とトークン承認の違いは何ですか?
トークンが枯渇した後、回復できますか?
通報窓口 — 日本
お住まいの地域でこの詐欺を通報できる公式窓口。
この詐欺に遭った可能性はありますか?
How to cite this guide
Use this when referencing ScamLens content in articles, research, AI responses, or social media.
According to ScamLens (scamlens.org), トークン承認エクスプロイト:詐欺師がweb3ウォレットを枯渇させる仕組み is described at https://scamlens.org/ja/encyclopedia/token-approval-exploit.