2025年8月22日、驚くべき仮想通貨詐欺事件が、DeFi市場におけるリスクを改めて痛感させる出来事となりました。セキュリティプラットフォームScamSnifferによると、あるユーザーが約100万ドル相当のトークンとNFTを、悪意あるトランザクションをサインしてしまった結果、失ってしまったとのことです。このトランザクションはUniswapのスワップに見せかけていました。
この事件は、分散型トレーディングの利便性とユーザーの注意力不足を悪用する、よくあるフィッシングと署名詐欺の典型例です。
### フィッシング詐欺の仕組み:偽署名による誘導
この詐欺の巧妙さは、その巧みな実行方法にあります。以下の主要なステップで進行します:
-
#### 偽インターフェースと巧妙な騙し: 攻撃者は公式のUniswapインターフェースをほぼ完全に模倣した偽のウェブサイトを作成します。このサイトは、フィッシングリンク(偽広告、悪意あるSNS投稿、または一見信頼できるプライベートメッセージなど)を通じて拡散されます。多くのユーザーは、この偽サイトに誘導されても気づきません。
-
#### 悪意ある取引にサインさせる手口: ユーザーが偽サイトでトランザクション(例:トークンスワップ)を開始すると、このサイトは悪意のあるトランザクションリクエストを生成し、ユーザーに署名を求めます。これは通常のUniswapトランザクション署名ではなく、実際には「バッチトランザクション承認」やその他の隠れた権限を含む悪意のある契約に対する署名です。
-
#### 資産の静かな移転: ユーザーがこの悪意あるリクエストに署名すると、知らず知らずのうちに攻撃者にウォレット資産を一括操作する権限を与えてしまいます。その結果、攻撃者はこの権限を利用して、トークンやNFTなど高価値資産を被害者のウォレットから引き出すことができます。この操作は、ユーザーからのさらなる承認を必要としません。
このケースでは、被害者が「バッチ決済」リクエストという詐欺を「単なるスワップ」と誤認してサインをしてしまい、結果としてウォレットが完全に空になりました。この種の攻撃は非常に危険で、通常のDeFiプロセスと見た目が全く同じである一方、裏で動くコードは資金を盗むためだけに設計されています。
暗号資産を守る方法:署名詐欺を回避するための重要なステップ
署名詐欺は暗号資産の世界でよく見られますが、以下のシンプルな予防策を取ることでリスクを大幅に減らすことができます:
-
常にドメインを確認する:分散型取引所にアクセスする際は、公式チャンネルまたはブックマークを通じて行いましょう。最初にブラウザのアドレスバーに表示されているURLを確認し、それが正確な公式ドメインであることを確認してください。すべての署名リクエストに注意を払う:
-
ウォレットに署名リクエストが表示されたとき、「確認」を急いでクリックしないでください。リクエスト内容を注意深く読みましょう。MetaMaskのようなEVMウォレットを使用している場合、通常はトランザクションの詳細が表示されます。不審な点があったり、許可を求めているスマートコントラクトを認識できない場合は、すぐにリクエストをキャンセルしましょう。トランザクションシミュレーションツールを使用する:
-
多くのウォレットやサードパーティのセキュリティツール(例えばScamSnifferなど)はトランザクションシミュレーション機能を提供しています。署名する前にトランザクションの結果をシミュレーションしましょう。シミュレーション結果で資産が不明なアドレスに送信されると示された場合、それは詐欺の明確な警告です。
-
ウォレットの許可状況を定期的に確認する:多くの詐欺は長期的な許可に依存しています。不要または疑わしい権限を定期的に確認し、取り消す習慣をつけましょう。Etherscanなどのツールやその他のウォレットセキュリティサービスを使用して、コントラクトの承認状況を管理することができます。
-
ウォレットを分けて使用する:高額資産を1つのウォレットにすべて保管するのはやめましょう。dAppsに接続してトランザクションに署名するための専用の「ホットウォレット」を使用し、多くの資産はより安全で使用頻度の低いウォレット、できればコールドウォレットに保管してください。
Web3の世界では、署名があなたの身元であり、許可があなたの指示となります。署名を保護することは、資産を保護する最良の方法です。常に警戒を怠らず、たった1回のクリックが数百万ドルの損失の始まりとならないよう心がけましょう。