偽のMetamaskトークンと、新年にちなんで$YEARと名付けられたトークンが、多くのユーザーからお金を奪うことに成功した。残念ながら、このやり方は2021年に再び流行しました。
MetaMaskトークンの詐欺
詐欺師は400人近くの人に約180万円の詐欺を働くことに成功しました。
犯人は、将来の公式MetaMaskウォレットトークンに関する噂を利用して、MASKというトークンを発表し、興味のある人にはUniswap取引所プラットフォームでwETH/MASKペアに資金を投入することを提案しました。そのペアは今でもここで見ることができます。
一部のユーザーは、しばらくの間、自分のトークンを転売することができたと報告していますが、これはおそらく、購入者に疑念を抱かれないようにするために、詐欺師が可能にしたことでしょう。
そして、プールの現金総額が100万ドルに達した時点で売却が不可能となり、購入者の財産を奪ってしまったのです。
coby.eth氏のTwitterのスレッドによると、DexTools社のウェブサイトのフロントエンドコードの欠陥を利用して、プラットフォームのユーザーにMASKトークンが検証済みで安全であると表示していたとのことです:
Captures of verification popup and capture of the verified token (Source: Twitter)
イーサリアムブロックチェーン(ETH)上で行われている取引を追跡するツールであるetherscanによると、この不正を仕掛けた人物は475ETH(記事執筆時点で1,594,575ドル相当)の送金に成功し、さらに1,000万ドル近いMASKトークンを持っていたとのことです。
いずれの取引も、Uniswapプラットフォームにホストされた流動性プールから行われ、デジタルウォレットに転送されました。
そして、そのお金は、取引を完全に匿名化するためにコインの「混合」を可能にするプラットフォームであるTornado Cashに送金されました。これでは、利益を受け取った人を追跡することができません。
今日現在、Dextools社は、詐欺成功の主因となった自社コードのセキュリティホールに対する対応策をまだ発表していません。
2022年最初のスキャム
Unfortunately これは孤立したケースではなく、12月31日には「EtherWrapped」と名乗るプロジェクトが出現し、Ethereumブロックチェーンのユーザーのためのエアドロップを装っていました。
最初の発表は、@etherwrappedというTwitterアカウントで行われましたが、その後削除されています。
ユーザーは、詐欺サイトにアクセスしてMetaMaskウォレットを接続すると、ブロックチェーンへの投資額に応じて「YEAR」と呼ばれるトークンの報酬を受け取ることができると招待されました。
YEARトークンのエアドロップで提供される報酬を獲得する(Source: Twitter)
YEARトークンのスマートコントラクトは、まずイーサリアムのバーチャルマシン(EVM)で検証されずに登場し、その後トークンの作者がコードを公開して誰もが悪意のあるコードをチェックできるようにした、というのが定番の流れです。
Twitterユーザーのmeows.eth氏によると、一見無害に見えるコードが盗難を可能にしたとのことです。
詐欺師はこのコードを使って、トークンの所有者がトークンを売ることができないようにし、転売することなく、購入のみで上昇曲線を描いていたのでしょう。
そして、30分後、詐欺師はプールからすべての現金、つまり30ETH(現時点で100,410ドル相当)を引き出し、YEARトークンの価値を0ドルにしていたのです。
なお、購入者が自分のMetaMaskウォレットを詐欺サイトにリンクさせていたにもかかわらず、購入者のウォレットからの直接的な窃盗は発生していません。泥棒は、不正なトークンの購入者のおかげで得られた、流動性プールの30ETHの恩恵を「唯一」受けたことになります。
フェイスブックで「メタ」詐欺が出回っています
例えば、現在、Facebookの名称変更に関連して、「Meta」トークンの広告が出ています。
ただ、その広告は、Facebookのサイト上で紹介されています。
これは異常に見えるかもしれませんが、それが問題で、詐欺がなりすましているプラットフォームで放送されるとは信じられないため、簡単に引っかかってしまいます!
詐欺広告の例(出典:Facebook)
このような場合には、Scam Detectorツールをご利用ください。ここでは、このサイトは信頼性の面で0.6/100のスコアを獲得しており、これは最小値です。簡単なコツで手間を省くことができます。
ラグプル・メソッド
上記のような詐欺は、いわゆるラグプル方式を使用しており、残念ながら暗号通貨の世界ではあまりにも一般的な手順となっています。
簡単に言えば、詐欺師はFOMO(Fear Of Missing Out)効果に賭けるのです。
彼は、自分のイメージを大切にしてトークンを発売するでしょう。例えば、広告にお金をかけたり、有名な人に自分のプロジェクトは安全で、いつもうまくいくと信じ込ませたりすることです。
また、Instagram、Facebook、Twitterなどの人気のあるソーシャルネットワーク上で広告を出しているところもあります。
このように、プロジェクトが開始されると、トークンの価値は急上昇し、高値で転売するために、自分のトークンを安く手に入れる機会を逃すという有名な恐怖が生まれるのです。
詐欺師は目的の金額に達すると、レジを持って立ち去ることができます.
Rug pull example (Source: ByBit)
新しいプロジェクトに投資する前に、いくつかの基本的なステップがあります:
。
1つ目は、プロジェクトのホワイトペーパーの確認です。安全性を100%保証するものではありませんが、プロジェクトの信頼性を知ることができ、一貫性があるかどうか、文章が真剣に書かれているかどうかを見ることができます。5ページのホワイトペーパーと50ページのホワイトペーパーでは、後者の方が信頼性が高いのは明らかです。
その上で、誰がプロジェクトを支えているのか、他の有名なプロジェクトに参加したことがあるのか、などを確認します。ブロックチェーンやテクノロジー分野での経験を持っているか。その分野で著名な人物や企業がプロジェクトを支援しているか?
より専門的なチェックとしては、プロジェクトの資金がどのように分担されているかを確認することです。例えば、Ethereumのブロックチェーンでは、etherscanを使って、トークンを保有している人が少ないか多いかを確認することができます。もし、ごく少数の人がすべてのトークンを保有していたら、注意が必要です。
もう1つのよくある詐欺の手口は「ハニーポット」で、少し複雑な手法を使っていますが、同じような予防策をとることで回避することができます。
詐欺師は被害者を騙すために、セキュリティホールのあるスマートコントラクトを発行し、それを悪用してお金を稼げると思わせます。
例えば、被害者は、スマートコントラクトを使えば、まったく気づかれずに定期的にお金を稼ぐことができると信じているかもしれません。ただし、戦利品を取り戻すためには、被害者がお金を立て替えなければなりません。
もちろん、そのお金は二度と手にすることはできません。なぜなら、この偽の欠陥は完全に任意の方法でコード化されていたからです。これは、より人気のある「4-1-9詐欺」のバージョンですが、暗号通貨に適応しています。
また、Ethereum用のハニーポット検出ツールやBinance Smart Chain用のハニーポット検出ツールもご利用いただけます。
2021年の1年間、暗号通貨の世界でこれらのような不謹慎な方法で盗まれたのは77億ドル以上で、2020年の1年間に比べて81%も多いことを意識してください。
私たちがお勧めできるのは、新しいプロジェクトには細心の注意を払うこと、特に月を約束するようなプロジェクトには注意を払うことです。常に細心の注意を払っています
