--- title: Walletや通貨はどうやって抜かれるのか --- ## Walletや通貨はどうやって抜かれるのか 基本的にWeb2とやっていることは同じになります。 Web3とは言え、必ず人が操作をしている以上セキュリティホールは存在します。 自分が所有するウォレットを指紋を通さないと使えないとした場合でも、指紋さえ入手できれば突破できてしまう訳です。 我々人が仲介しない機械同士が勝手に判定を行うようなシステムであれば リスクは極限まで抑えられますがそのような未来はきっと何十年後になるでしょう。 そしてWeb2であればそれらを突破させないようにする為にOAuth認証や2FA認証などが主流になってきましたが、Web3ではそういったものがありません。 なぜならWeb3の仕組みそのものが非中央集権型と呼ばれる構造の為、それらを管理する仕組みを作れないのです。 MetaMaskでもセキュリティを強化したいのであればハードウェアウォレットを作れと言っています。 https://metamask.zendesk.com/hc/en-us/articles/4415327052443-When-Two-Factor-Authentication- セキュリティ自身を強化するのは大事ですが、問題はセキュリティ意識を高めるために**どういった攻撃があるのかをまず知る必要**があります。 情報リテラシーとも呼ばれますが、情報を扱う上で**大事なことは知ること**です。 知ることで悪い攻撃があった際に「はいブロックx」と瞬発的に動けるようになります。 過去に痛い目にあった人は嫌でも知ることになるでしょう。 でも痛い目には合いたくないので、事例などをインプットし類似しているかどうかの判断力を付けることが大事です。 ### フィッシングサイト(危険度: ★★★★★) - https://www-oncyber.io/ あたかもWalletアプリと見せかけて**シードフレーズを盗む手法**。 これをやってしまうと、Walletに存在する通貨やNFTまでもがすべて失います。 上記はGoogleの広告に出されていました。 ![](https://i.imgur.com/yuPRofk.png) 本物と思わせておいての...なのでとても危険です。 ### 公式アカウントから偽のフィッシングサイト誘導詐欺(危険度: ★★★★) 上記関連で... https://www.neweconomy.jp/posts/231723 これはニュースにもなりましたね。 公式のマネージャーの方(Adminかな?)がDiscordのアカウントから抜かれて 本人と偽ってフィッシングサイトへ誘導した事件です。 ここでボリス・バグナーはDiscordは脆弱すぎると言っているのですが おそらく2FAも電話番号バックアップも何もしていなかったんでしょうね。 Discordが脆弱なのではなく、人が脆弱なのです。 これはフィッシングサイトのやり方と同じなので割愛します。 ### 今話題のNFTが安く買えちゃうぞ詐欺(危険度: ★★★★) ![](https://i.imgur.com/PJWdtHx.png) - https://www.cryptopunks.minting-sale.com/ 「君ホワイトリストに選ばれたから、Cryptopunksを0.6ETHで売りますよ!」っていうDM これはフィッシングの場合もあるし、実際にNFTの送金だけっていう場合もあります。 無いです。基本的にDMで送られ来るようなものは全部スパムです。 ちなみに上記のサイトはちゃっちく自動的に数字が上がるようなものになっています。 なので早く買わないとという心理を働かせようとしています。(リロードするとリセットされます。) これはよくWeb2時代にもあるやり方で「今なら限定で1000円で買えちゃいます!ただし残り2時間」みたいなやつと一緒です。 WLとかはあり得ますが、こういったものは公開されているもののみ信用しましょう。 これは現実世界と同じです。 いきなり商店街歩いてて「おめでとう!君は選ばれた人だよ!ハワイ旅行券プレゼントするからこっち来て記入して!」って言われたら怖くないですか? こういうのが来たら3回自問自答してください。 基本的に時間や有効期限があるものは一般的に公開されるはずです。 なぜ陰でやり取りをするのかを考えてみてください。 ### 某大手企業NFTの子会社で製作を依頼したい20ETHは毎月出せるよ詐欺(危険度: ★★★) これは過去に自分にDMが来ました。(DM消えちゃったので以下は例です) 詐欺師「製作しているNFTが素晴らしいんだけど君絵描くの上手いね。 これはオフレコでお願いね。 私スクエアエニックスの子会社で働いている者で、NFTのプロジェクトが始まろうとしている。 メンバーが足りてなくて、君に依頼したいんだけど興味ある?」 まよ「マっ?!証拠あるの?」 詐欺師「これスクエアからのメールだよ」 info-xxxxx@square-enix.com 英語でなんちゃらNFTのプロジェクトに関する案内みたいなやつ まよ「ほーん。仕事内容はなに?私エンジニアだけど」 詐欺師「すぐには支払えないんだけど、毎月20ETHくらいは出せるよ。仕事内容はFFのキャラを模倣してカードを作ってほしいんだ」 まよ「ちょっとよく分かんないっすね。子会社が個人に依頼すること自体おかしくない?」 ![](https://i.imgur.com/aQpY6GC.png) 詐欺師「あまり知られてはいけないから」 まよ「((詐欺確定演出))面白いね!契約書とか詳細みたいんだけどなんかないの?」 詐欺師「これは極秘だから特殊なアプリケーションを通してコミュニケーションをやらないといけないんだ。これ開いてみてみてよ。(っFinalFantasyNFTProject.exe」 まよ「ありがとう!後で開いてみる!」 みたいなやり取りをしました。 はい。詐欺です。まず極秘プロジェクトを個人に依頼することはありませんし、 内容を締結する前にexeファイルを開かせることもありません。 まずはNDA契約を結んだりしてからそういったことを行います。 これがガチのモノだった場合、この詐欺師(仮)は営業秘密侵害罪とかに問われるでしょう。 極秘なのに一般人を企業内コミュニケーション取れるアプリケーションに誘導してるわけですし。 こういうのが来たらチャンスと思わないでまず疑いましょう。 ### 宣伝するよ詐欺(危険度: ★) これはけいすけさんがやっていましたね。 お金持ちに宣伝するんだけど仲介手数料が...手数料が...手数料が...チーンのパターンです。 近道はないのでこういうのは辞めましょう。 こんな宣伝PRにお金を払うくらいなら、NFT買いましょうw https://twitter.com/kei31/status/1532676651099693056?s=20&t=XljNu9Uhuluqgop7JSKVoQ ## ファイルに関する知識 DMやunlockable contentなどでファイルを共有されるパターンがあります。 まずexeファイルやbatファイル、apkファイルなど実行系に関するファイルは絶対に開かないでください。 (iphoneだとipswですが脱獄しないとインストールできないはずなので大丈夫だと信じたい) 絶対に絶対に絶対に開かないでください。 これをすると一発アウトです。 というかパソコン自体がアウトになります。 キーロガーとよばれる入力を外部に送信する系のものが多かったりします。 PDFは幸いなことに事例を聞いたことが無いため安全の可能性は高いです。 ## Hiidenによる知識 実はHiddenというのはフラグを切り替えているだけの作業でいわゆるリビール操作に似たような行為になっています。ただこれはOpenSea側が持っているだけの機能になるのでブロックチェーン上とは関係が無いです。 独自コントラクトのNFTの場合unhiddenをキックしてはちょっと分からないですが、transferなどをキックして何かをするみたいなことは出来そうです。 ただ、基本的にガス代が掛かったりする関係で、ETHチェーン上のNFTを利用してスパム行為をする業者は存在しないはずなので今は大丈夫だと思いますが、今後は出てくるかもしれません。 HiddenにあるNFTで独自コントラクトで定義したものに関してはマジでヤバいのでスルーしてください。 触ることもやめた方がよいでしょう。 またUnlocableにあるContentは絶対に触らないでください。 ![](https://i.imgur.com/oSs6ixh.png) ここに攻撃用のファイルが仕込まれている可能性が高いです。 ## 画像によるハッキング https://youtu.be/7hSijl1TFjA 実は画像にコードを埋め込むことが出来ます。 ImageTragickという手法だったりでサイト側で使っているライブラリの画像の読み込みの際に 任意のコードを実行させるというハックになります。 音声ファイルからコードを実行させる脆弱性もあったりするので要注意です ## Twitterの公式アカウントについて 実は公式マークはお金で買うことが出来ます。 なんならフォロワーも買えます。 なのでフォロワーが多いかつ公式マークがあるからと言って善良とは限りません。 また偽物のアカウントも多く存在します。 本人よりもフォロワーが多く公式マークを付けている偽物がいる可能性もあります。 @loveme_tunaxmayoが@Ioveme_tunaxmayoだったり oが0になっている場合もあります。 機種のフォントによっては区別がつきにくい場合もある為要注意です。 ## どうやって身を守ると良いか いろいろな事例を出しましたが以下の項目を覚えておきましょう。 - **MetaMaskの承認内容をよく見ること** - 変な送金になっていないかなど - **知らない人、信頼してない人から送られた画像+PDF以外のファイルは開かない事** - exeダメ絶対 - **シードフレーズを求められたら閉じること** - 無いです。100%。もし有名なサイトが求めてきたらそれはサイトが死んでます - **集団心理に惑わされない事** - みんながやってるから、私もやるは良い事ですが1STEP調べる事をしてみましょう ## その他 ちなみにパスワードというのは人が覚えられるからこそ**攻撃の手法の辞書攻撃で突破することが出来ます**。 なのでパスワード等も自分が知らない状態にするのが一番のセキュリティ向上につながります。 1passwordなどでランダムに生成されたパスワードを利用することをおススメします。 Twitterアカウントのパスワードが抜かれて、Discordが抜かれて、楽天が抜かれて不正利用され...。 自分が覚えられるパスワードというのは、何かの組み合わせでしかないことにご注意ください。