ブロックチェーンのセキュリティ

セキュリティ 仮想通貨・ブロックチェーン

【DeFi】詐欺・Rug Pull(ラグプール)のリスク回避のための基礎知識

 

今回は、仮想通貨/暗号資産においてリスクとなる「詐欺」や「rug pull」(運営による資金持ち逃げ)を回避するための知識を書き留めておきます。この記事を読んで、詐欺に遭う人が1人でも減ればと思います。

理解している部分は読み飛ばしてもらえればと思います!

 

この記事は、こんな人におすすめ!

  • 仮想通貨のリスクを知りたい!
  • 実際にあった詐欺事例
  • リスクに対しての対策を知りたい!

 

メタマスクのシードフレーズを教えない

まず、基礎中の基礎の部分から。理解している場合は飛ばしてください。

 

偽の運営がDMでサポートをしてくる

質問をした時点で詐欺師に狙われます

TwitterやTelegram等で質問をすると、偽の運営者からDMが送られてくることがあります。プロジェクト公式のDiscordに参加しているだけで謎のDMが飛んでくることもあります。

  • サポートするからメタマスクのシードフレーズを教えてほしい
  • 怪しいURLが送られてくる
  • このアプリをインストールしてほしい

といった手法で情報を盗み取ろうとします。

シードフレーズは絶対に教えてはいけませんし、怪しいURLはクリックしないのが鉄則です。マルウェアを仕込まれるかもしれません。

 

偽のサイトに注意

アクセスした時点でシードフレーズを要求されたり、偽のコントラクトを実行させられたりして、資金を失う可能性があります。

本物そっくりの見た目・URLのため、ご注意ください。

 

特に気を付けるべきなのはGoogle検索の広告です。偽サイトが広告として表示されるケースがありました。

対策としては

  • プロジェクト公式のTwitter等に貼られているリンクを使う
  • 公式HPをブックマークしておく(検索を使用しない)

といった手法があります。

 

とはいえ、Twitter自体が偽物の可能性があるので、フォロワー数・過去のツイート等をよく観察しましょう。

 

プロジェクトの公式サイトであっても、いつもと表示が違ったり、違和感を感じた場合は操作をしないことをおすすめします。

 

過去の事例として、PancakeSwapとCreamにDNS攻撃が発生し、偽ページの表示で秘密鍵の入力求める事例がありました。メタマスクから秘密鍵を要求される手法だったので、騙されてしまう人もいたようです。

DNS攻撃とは、IPアドレスとURLの関係を書き換えることにより、公式サイト上であっても、偽の画面などを表示させる攻撃です。

 

偽の通貨に注意する

リリース前に偽の通貨が出現します。本物と同じ名前ですが、コントラクトアドレスが違います。

例えば、19:00リリース予定なのに、18:00から買えるんだけど?っていうのは注意です。

公式Twitter等で情報を集め、コントラクトアドレスはよく確認してから通貨を購入することです。

結構良くあることで、間違って購入したら流動性が無くて手放せなくなります。

買えるけど売れないパターンの通貨もあるので注意してください。売れないから値段だけが吊り上がっていきます。

 

偽のNFTに注意する

偽物のNFTコレクションを出す詐欺師がいます。

NFTの見た目は完全に同じですが、フロアプライスや出来高、コレクションの発行数などで(あるていどは)本物かどうか見分けることはできます。

Openseaの検索機能は使わずに公式のDiscordサーバーからOpenseaのページにアクセスするのが安全です。

 

運営力の判断をする

プロジェクトの運営力は重要。

トラブルが発生した際の対応の良し悪しに関わってきますし、この運営はRug pullしないっていう確信が欲しいところ。

ここからは、運営力の判断材料を書いていきます。

 

匿名チームである

ほとんどのプロジェクトが匿名で運営されていますが、運営者のTwitterが公開されていたり、プロジェクトメンバーの顔写真が掲載されている場合は信頼度が高まります。

とはいえ、偽の写真や偽名を使っている可能性も捨てきれないので、判断材料としては微妙かもしれませんね。

 

Telegram・Discordの運営が微妙

運営のレスポンスが遅かったり、質問に答えない運営は微妙です。

トラブルが発生した際に対応が遅れたら嫌なので、そういったプロジェクトには投資しないようにしています。

トラブル発生時の対応・正確さは重要なので、運営のレスポンスが遅かったり、質問に答えない運営である場合、投資しないようにしています。

 

Mediumがコピペ

他のプロジェクトの丸パクリなパターン。完全にスキャムだと思ってください。

 

UIが使いづらい・動作がおかしい

UIが使いづらいプロジェクトは成長しない傾向にあります

動作がおかしい(APRの表記がバグる・APRの表記よりも収益が少ない)等のプロジェクトも成長しない傾向にあります。

 

PCのセキュリティを高める

フリーWiFiを使用しない

暗号化されていないフリーWi-Fiは特に危険です。同じフリーWiFiに接続してい人からは、メールの内容・Webサイトの履歴等の個人情報が丸見えの状態となります。

また、偽のフリーWiFiになりすまし、接続してきた人から情報を抜き取ることもあり得ます。

対策としては

  • フリーWiFiを使わない
  • VPINを活用する
  • スマホのテザリングを使用する

VPINを活用すると、フリーWi-Fi利用時の通信を暗号化できます。完全なセキュリティが構築できるわけではありませんが、安全性がアップします。

とはいえ、DeFiが使えるパソコンやスマホを外に持ち出すこと自体がリスクです。紛失した際に、DeFiを操作できる悪意のある人間に拾われたら終わりです。

 

ウイルス対策ソフトを使う

マルウェアに感染すると、情報を抜き取られたり、送金の際に勝手にアドレスを書き換えられることがあります。

マルウェアを100%防げるわけではありませんが、ウイルス対策ソフトは使っておきましょう

被害に遭った際に、ウイルス対策ソフトを導入しておけばよかったと後悔しないように。

できれば有料のウイルス対策ソフトを導入したいところ。必要経費と割り切って、できる限りの対策はしておくべきです。

 

怪しいサイトにアクセスしない

サイトにアクセスした時点でマルウェア感染します。

怪しいURLは無視しましょう。TwitterやTelegram、仮想通貨系のコミュニティやチャットに貼られるURLにも注意してください。

 

DeFi専用パソコンを導入

心配なら、DeFi操作用にPCを1台用意するべき。

そのPCにウイルス対策ソフトをインストールし、DeFi以外の操作は行わないようにします。

家の外にも持ち出さず、家の中で有線LAN接続します。

 

ハードウェアウォレットも安心できない

ハードウェアウォレットもマルウェアの餌食となっています。過去に、送金時にアドレスを書き換えられるケースがありました。

仮想通貨界では、少額をテスト送金することがありますが、テスト送金の際は正しいアドレスで送金できても、本送金(額が大きい)のときだけアドレス書き換える頭のいいマルウェアが存在しました。

また、ハードウェアウォレット出荷時にマルウェアが仕込まれている可能性もあります。

 

ハードウェアウォレットを購入する際は、ハードウェアウォレットの公式サイトから購入し、封印シールが剥がされていないかを確認しておきましょう。

間違っても中古のハードウェアウォレットなんて買っちゃだめですよ?

 

セキュリティ
NFTの盗難を防ぐ方法は?ハードウェアウォレットで詐欺師からNFTを守る【Ledger】

続きを見る

 

まとめ

長くなったので、最後にまとめておきます。

  • 秘密鍵・シードフレーズは教えない
  • 偽サイト・偽運営・偽通貨に注意
  • 運営を信頼できるか確かめる
  • PCのセキュリティは高めれるだけ高める

リスクの多い世界なので、失っても耐えられる金額で運用するのが大切です。

 

-セキュリティ, 仮想通貨・ブロックチェーン
-

© 2024 WEB3の教科書 Powered by AFFINGER5