投機的な目的の人だけでなく、ブロックチェーンの魅力や将来性を感じ、暗号資産を保有する人も増えてきているのではないでしょうか。
またNFTプロジェクトやGameFiプロジェクトも続々と登場しており、NFTを保有する方も増加しています。
ブロックチェーンは、中央集権的な要素をなくすことが可能で、さまざまな信頼性を担保できる素晴らしい技術。
しかし、多くの暗号資産やNFTがハッキング被害に遭い、資産を盗まれているケースも多いです。
クリプト市場の成長と共に、ハッキングの手口もより巧妙になってきており、今後も被害が出る可能性は十分にあるでしょう。
今後のクリプト市場において自分が被害に遭わないためにも、ハッキングに関する知識を身につけ、自分で自分の資産を守ることが大切です。
よくあるハッキングの手口
まずは、被害がよく出るハッキングの手口を紹介します。
Discord・TwitterのDMで送付されるScamリンク
これは、普段からNFTや暗号資産を購入している方にとっては有名な手口でしょう。
多くのケースでは、実際に存在するプロジェクトと同じ名前のアカウントやアイコンにした上で、公式を装ってDMをしてきます。
英語の場合、基本的に内容は見ずにすべて無視で良いですが、「NFTセール・Giveawayを開催しているので見てね。リンクはこちら。」みたいなパターンが多数。
他にも、さまざまな内容のDMが届きますが、知らない人やアカウント・プロジェクトからのDMはすべて無視しましょう。
偽NFT
🚨注意喚起🚨#AZITO の【偽物NFT】が、既にOpenSeaにて販売されていることを確認しています。
— AZITO/Reveal Date Sep 4 (@AZITOofficial) August 21, 2022
AZITO公式では、まだ販売&URLを公開しておりません。
皆さんご注意ください!#拡散希望 pic.twitter.com/i3tb4aFgKb
有名なNFTプロジェクトと見せかけた、偽NFTプロジェクトも多数存在。
そして、このようなNFTを購入した際にウォレットから資産を抜き取られます。
これはOpenSeaなど、それぞれのNFTマーケットプレイスが判別して対応して欲しいところでありますが、なかなか完璧ではありません。
特に、OpenSeaの検索機能はあまり信用しないことをお勧めします。
もし、使用する際は公式のチェックマークは必ず確認し、コントラクトアドレスも確認しましょう。
できるだけ欲しいNFTの公式Twitter・Discordを探した上で、販売サイトのリンクに飛ぶのが良いです。
Google検索に出る公式っぽいScamサイト
注意:DeFiはフィッシングのオンパレードです。「Curve Finance」でググるとわかりますが、Curve[.]frlというスキャム広告がトップにでます
— 墨汁うまい(Bokujyuumai) (@bokujyuumai) October 6, 2020
前はCurve[.]fmというフィッシングサイトがありました。URL確認は必ず行い、検索ではなくアクセスはTwitter公式から#イーサリアム #仮想通貨 #暗号資産 #DeFi pic.twitter.com/ZF5pe7Yz6H
原因分かりました。
— daitote (@daitote) November 3, 2021
グーグルで
pancakeswapと検索して、
一番上に出てきたサイトでスワップしたんですが、スキャムサイトでした😂😂😂
URLは、こちらでした。
リンク飛べないように最初の文字だけ全角にしています。
皆さんお気をつけください😭😭
phttps://t.co/g5bUyevSyw https://t.co/2AEcXje9TV
これは、Google検索でDeFiやクリプト系のプロジェクトを検索した際に、上位にScamサイトが表示されるケース。
Scamサイトを公式サイトと勘違いしたままウォレットを接続し、資産を抜き取られるパターンです。
もちろん、公式サイトとScamサイトはURLが異なるので、確認することは大切。
しかし、公式だと勘違いしてしまうようなURLのScamサイトもあるため、注意しましょう。
一番大事なのは、各プロジェクト・サービスの公式サイトにアクセスする際にTwitterを使用することです。
公式Twitterには、大抵のサービスで公式サイトのURLが貼ってあるので、そのリンクからアクセスしましょう。
Google検索は、プロジェクトの公式のサイトを探すことには適していないので、使用するのを避けるべきです。
ハッキングから資産を守るために重要なこと
ハッキング対策・資産を守る上で重要な部分をまとめると、下記の通り。
- 自分以外にウォレットのシードフレーズは教えない
- シードフレーズは紙か1Passwordで保存する
- ウォレットは複数に分けて使用する
- Twitter・DiscordのDMは無視する
- 公式Twitterから公式サイトのリンクを探す
- フリーWiFiでウォレットを触らない
- 取引所でのメールアドレス・パスワードの使い回しを避ける
- それぞれ解説します。
自分以外にウォレットのシードフレーズは教えない
絶対に、他人に暗号資産ウォレットのシードフレーズを教えてはいけません。
怪しいと感じるサイトやアカウントに教えることはないかもしれませんが、仮に信頼できる人でもNG。
前提として、暗号資産ウォレットには、シードフレーズ(ニーモニック・パスフレーズ)が存在します。
メタマスクを作成する際に、「メモしておきましょう」と書かれている12個の単語を見たことがあるでしょう。
このシードフレーズは、ブロックチェーン上の資産(暗号資産)を操作する上で極めて重要。
このシードフレーズを他人に教えてしまうと、自分の秘密鍵を知られてしまい、公開鍵を生成されて資金を移動されてしまいます。
どんなに信頼できる人でも、自分以外にシードフレーズを教えることだけはやめましょう。
シードフレーズは紙か1Passwordで保存する
シードフレーズは他人に教えなくても、ハッキングされて取られるケースも存在します。
例えば、スマホやPCのデジタルデータとして保存した場合、簡単にハッキングできてしまいます。
このため、基本的には紙で保存することが重要。
ただし、紙の保管が苦手な人や難しい人は、ステンレスに刻み込める物もあったりするので、とにかくPCと切り離されている物を使用して管理しましょう。
また、1Passwordを使用して管理する方法も良いです。
ウォレットは複数に分けて使用する
どんなに気をつけていても、Scamサイトに繋いでしまったり、ハッキングされて資産を盗まれてしまったりする可能性はあります。
重要なのは、万が一に備えてウォレットを複数に分けて使用すること。
例えば、下記のように3つに分けるのも良いでしょう。
- 資産を管理するウォレット
- 信頼できるメジャーなサイトのみで使用するウォレット
- 魔界やマイナーなサービスを使用する際のウォレット
ウォレットを分けて使用することを面倒くさがる人もいますが、資産を盗まれてからでは取り返しがつきません。
1つのウォレットにすべての資産を入れ、たった1回のミスですべての資産を奪われたことを想像すれば、どれだけ恐ろしいことかわかると思います。
仮に、「Scamサイトに繋いでしまった」「シードフレーズを教えてしまった」と気づいた場合はまず、資産を別のウォレットに移動させましょう。
「すぐにRebokeしないといけない!」と焦る方も多くいますが、まずは資金を移動した後にRebokeすれば問題ありません。
また、①の資産管理用のウォレットは、金額がそれなりに多い場合はハードウォレットの使用を推奨します。
Twitter・DiscordのDMは無視する
冒頭でも書きましたが、Twitter・Discordで知らない人から届くDMは、基本Scamだと思いましょう。
どんな内容か気になり、DMを読んでしまう気持ちもわかりますが、読んでいる最中に誤ってリンクを踏んでしまったりする可能性もあります。
特に、個人に届く日本語以外のDMは、ほとんどがScamなのでとにかく無視しましょう。
基本的にはScamですが、Giveawayに当選したりすると本物の公式(国内PJ)からDMが届くこともあるので、その場合はDiscordのコミュニティ等に聞くのも効果的。
クリプト市場においては、Scamの報告が拡散される風潮もしっかりとあるので、まずは同じようなDMが届いている人がいないか確認するのも良いです。
基本的な心構えとしては「日本語以外のDMは無視」「本物かわからない場合は他の人に聞く」という2点が重要。
典型的なScamのパターンなので、引っ掛かると資産がなくなるだけでなく、自分に対してもショックを受けてしまう可能性もあるので注意しましょう。
公式Twitterから公式サイトのリンクを探す
Google検索を使用して公式のサービスを探すと、Scamサイトに引っ掛かるリスクが高いです。
クリプト関連のサービスやプロジェクトの公式サイトを探す際は、まず公式Twitterを探しましょう。
大抵の場合、公式Twitterには公式のウェブサイトのリンクが載っています。
上記のように公式Twitterからリンクに飛ぶことが重要ですが、仮に検索を使用する場合はURLを確認するのが必須。
Scamサイトは公式のように見せかけるのが上手いので、違和感を感じずにウォレットを繋いでしまう人もいます。
クリプト系のサービスにはScamが付き物であることを認識した上で、慎重に向き合いましょう。
フリーWiFiでウォレットを触らない
カフェ等にあるフリーWiFiを使用した状態でウォレットを触らないのは鉄則です。
フリーWiFiは外から通信が見えるので、セキュリティに弱く、ハッカーからすると標的にしやすいでしょう。
実際に、フリーWiFiを使用した状態でウォレットを操作し、秘密鍵を盗まれて資産を取られるパターンもありました。
もし、過去にフリーWiFiを使用した状態でウォレットを触っていた方がいたら、今すぐやめましょう。
取引所でのメールアドレス・パスワードの使い回しを避ける
暗号資産を購入する際には、まず取引所を使用すると思いますが、国内と海外の取引所を使用する方も多いでしょう。
このように、複数の取引所を使用するケースでは、メールアドレスとパスワードを使い回さないことが重要。
仮に、資産を預けている1つの取引所でメールアドレスが流出した際に、大きな被害に遭う可能性があります。
また、二段階認証を設定することを推奨されると思いますが、面倒くさがって設定しない人もいるでしょう。
しかし、これは大きな問題なので、二段階認証も確実に設定しておくことが大切です。
暗号資産・NFTを扱う上でのハッキング対策:まとめ
個人ができるハッキング対策の基本
- 他人にシードフレーズは教えない
- シードフレーズはオフラインで保存する
- ウォレットは複数に分ける
- Twitter・DiscordのDMは無視
- 公式Twitterからリンクを探す
- フリーWiFiでウォレットを触らない
- メールアドレス・パスワードの使い回しを避ける
基本的に、ブロックチェーン自体をハックするのは困難であり、安全性が高い技術であることは間違いないでしょう。
よくあるハッキングのケースでは、ブロックチェーン周りのウォレット管理やチェーン間のブリッジ、プロジェクト運営の資産持ち逃げなどが多いです。
このため、多くのハッキングのケースに関しては、リテラシーがあれば防ぐことは可能。
しかし、プロジェクト運営の資産持ち逃げ(Rug Pull)等は見極めが難しいケースも多いです。
今後もクリプトを楽しく扱っていくためには、資産を失わないように自分のためにリテラシーを高めていきましょう。