背景

前回の「Web3セキュリティ入門・落とし穴回避ガイド」では、マルチシグネチャフィッシングに焦点を当て、マルチシグネチャの仕組み、マルチシグネチャが発生する原因やウォレットの悪質なマルチシグネチャを回避する方法について説明しました。今回は、伝統的な業界と暗号スペースの両方で効果的と見られているマーケティング戦術、エアドロップについてお話します。

エアドロップは、プロジェクトを無名な状態から短期間で世間の目に触れさせ、ユーザーベースを急速に蓄積し、市場への影響力を高めることができます。ユーザーがWeb3のプロジェクトに参加する際には、関連するリンクをクリックし、プロジェクトとやりとりしてエアドロップのトークンを入手する必要があるが、ハッカーたちはすでに、模造サイトからバックドア付きのツールまで、エアドロップを受け取るプロセスの上流と下流で、ユーザーに罠を仕掛けている。そこで今回は、いくつかの典型的なエアドロップ詐欺を分析し、関連するリスクを説明するとともに、落とし穴を避ける手助けをします。

エアドロップとは

Web3プロジェクトは、プロジェクトの知名度を上げ、初期ユーザーの蓄積を達成するために、特定のウォレットアドレスに無料でトークンを配布することがよくあります。この行動は「エアドロップ」として知られている。これはプロジェクトがユーザーを獲得する最も直接的な方法である。

• タスクベース：リツイートや「いいね！」など、プロジェクトが指定したタスクをこなすこと。

• インタラクティブ：トークンの交換、トークンの送受信、クロスチェーン操作を完了する。

• 保有型：プロジェクト側が指定したトークンを保有し、エアドロップのトークンを取得する。

• 誓約型：エアドロップ・トークンを得るために、シングルまたはダブルコインを誓約する、流動性を提供する、長期間ポジションをロックする。

エアドロップを受け取る際のリスク

偽エアドロップ詐欺

この手の詐欺は以下のように細分化されます：

1.ハッカーがプロジェクト側の公式アカウントを盗み、偽エアドロップのニュースを流す。プロジェクトのXアカウントまたはDiscordアカウントがハッキングされました、ハッカーが公開したフィッシングリンクをクリックしないでください」というセキュリティ上の注意喚起を情報プラットフォームでよく見かける。スローミスト2024のブロックチェーンセキュリティとアンチマネーロンダリングレポートによると、2024年上半期だけで27件のプロジェクトアカウントのハッキング事件が発生している。ユーザーは公式アカウントへの信頼に基づいてこれらのリンクをクリックし、エアドロップを装ったフィッシングサイトに誘導された。フィッシングサイトで秘密鍵/ヘルパーが入力されるか、パーミッションが許可されると、ハッカーはユーザーの資産を盗むことができる。

2.ハッカーはハイセンスなプロジェクトアカウントを使って、本物の公式プロジェクトアカウントのコメント欄を盗み見た。ハッカーは模造プロジェクトのアカウントを使って、プロジェクトの本物の公式アカウントのコメント欄にメッセージを残し、エアドロップを受け取るというメッセージを投稿し、ユーザーをフィッシングリンクをクリックするよう誘導します。以前、スローミストのセキュリティチームは、この種の戦術を分析し、それに対処するための提案を提示し、本物と偽のプロジェクトの当事者｜高い模造番号のコメントエリアでフィッシングに警戒する参照してください。さらに、本物のプロジェクトの当事者がエアドロップのニュースをリリースした後、ハッカーはまた、フィッシングリンクのダイナミクスを解放するために高い模造アカウントを使用して、ソーシャルメディアのプラットフォームの数が多いに従って、多くのユーザーが慎重に識別し、偽のAPPをインストールしたり、署名認証の操作を実行するためにフィッシングサイトを開くことはありませんでした。

（https://x.com/im23pds/status/1765577919819362702)

3.3つ目の詐欺はさらに悪質で、Web3のプロジェクトグループに潜み、ソーシャルエンジニアリングするターゲットユーザーを選び、時にはエアドロップを餌にする、まっとうな詐欺師です。時には、エアドロップを餌に、エアドロップを得るために必要なトークンを転送するようユーザーに「教える」こともあります。公式カスタマーサービス」や「教える」ユーザーからの連絡は詐欺師である可能性が高く、ただエアドロップを手に入れたいだけなら大金を失うことになるので、用心して信用しないようにしてください。"Airdrop tokens for nothing

冒頭で述べたように、エアドロップを受け取るためには、ユーザーは特定のタスクを完了する必要があることが多いので、何もせずにトークンが与えられるとどうなるのかを見てみよう。「ユーザートークンのシナリオハッカーはユーザーのウォレットに実質的な価値のないトークンをエアドロップすることができ、これらのトークンを見たユーザーは、トークンを送金したり、閲覧したり、分散型取引所で取引したりするなど、トークンとやりとりしようとするかもしれない。しかし、Scam NFTのスマートコントラクトを逆アナリシスしたところ、このScam NFTを注文または送金しようとすると失敗し、「Visit website to unlock your item」というエラーメッセージが表示され、ユーザーを騙してフィッシングサイトを訪問させることがわかりました。

ユーザーがScam NFTによって誘導されたフィッシングサイトにアクセスした場合、ハッカーは以下のことを行う可能性があります。2">

次に、ハッカーが慎重に作られた悪意のある契約書を通して、ユーザーのガス料金を盗んだ方法を見てみましょう。

まず、ハッカーはBSC上にGPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) と呼ばれる悪意のある契約を作成し、トークンをエアドロップすることでユーザーを誘惑します。

ユーザーが悪意のあるコントラクトとやり取りすると、コントラクトがウォレットからトークンを使用することを承認する必要があるというリクエストが発生します。ユーザーがリクエストを承認すると、悪意のあるコントラクトはユーザーのウォレット内の残高に基づいてGasの上限を自動的に引き上げ、その後のトランザクションでより多くのGas手数料を消費させます。

ユーザーによって提供された高いGas上限を利用して、悪意のある契約は余ったGasを使ってCHI トークンを鋳造します（CHIトークンはGasの補償に使用できます）。悪意のある契約がCHIトークンを大量に蓄積した後、ハッカーはCHIトークンを燃やすことで、契約が破棄されたときにガス補償を返してもらうことができます。

(https://x.com/)SlowMist_Team/status/1640614440294035456)

このようにして、ハッカーたちは、利用者が余分なガス料金を支払っていることに気づかないまま、利用者のガス料金を自分たちの利益のために巧みに利用した。ユーザーはairdropトークンを売ることで利益を得られると思ったが、その代わりにネイティブ資産を盗まれた。

バックドアを持つツール

 (https://x.com/evilcos/status/1593525621992599552)

エアドロップを受け取るプロセス

一部のユーザーは、トークンのレアリティを翻訳または照会するプラグインをダウンロードする必要があります。 これらのプラグインのセキュリティには疑問があり、一部のユーザーは公式ルートからプラグインをダウンロードしないため、バックドア付きのプラグインをダウンロードする可能性が非常に高くなります。

さらに、Leader Airdropスクリプトをオンラインで販売するサービスがあることに気づきました。スクリプトを実行することで、自動化されたバッチインタラクションを完了できると謳っており、かなり効率的に聞こえますが、スクリプトのソースやその真の機能を確認できないため、吟味および検証されていないスクリプトをダウンロードすることには大きなリスクがあることに注意してください。スクリプトには悪意のあるコードが含まれている可能性があり、潜在的な脅威としては、秘密鍵/ヘルパーの窃盗や、その他の不正な操作の実行などがあります。さらに、一部のユーザーは、ウイルス対策ソフトウェアをインストールしたりオフにしたりすることなく、関連する種類の危険な操作を実行するため、デバイスがトロイの木馬によって侵害されたことに間に合わずに気づくことができません。

Summary

このガイドでは、我々は主に詐欺の分析を通じて、空域を説明するために、多くのプロジェクトのリスクは現在、マーケティングツールとしてエアドロップを使用しているものになり、ユーザーは、エアドロップを受信する過程で資産への損傷の可能性を減らすために、次の措置を介してすることができます：