偽のエアドロップ請求サイト詐欺:ドレイナーがウォレットを盗む方法(および検証方法)
— By Tony Rabbit in Tutorials

偽のエアドロップ請求サイト詐欺は、ウォレット内の身に覚えのないトークンを餌として利用し、悪意のあるページに誘導して、ウォレットを空にする承認に署名させます。ここでは、正確なキルチェーン、署名が実際に何をするのか、そして接続する前に検証する方法を説明します。
偽のエアドロップ請求サイト詐欺は、攻撃者が身に覚えのないトークンをウォレットに預け入れ、「請求」URLにちなんで名前を付け、あなたの好奇心を利用して、ウォレットを空にするトランザクションに署名するよう求める悪意のあるウェブサイトに誘導する窃盗手口です。トークン自体は無害な餌です。損害は、偽装サイトに接続してリクエストを承認した瞬間に発生します。正当なエアドロップとは異なり、実際に請求できるものは何もありません。この全体のプロセスは、単一の不正な署名を作成するために存在し、このプロセスを理解することが、ウォレットを失うか、ジャンクを無視するかの違いになります。
重要なポイント
- 身に覚えのないトークンは価値ではなく餌です。盗難はウォレット内ではなく、請求サイトで発生します。
- サイトは、ドレイナーに資産の制御を渡す承認またはオフチェーンのpermitに署名するよう求めます。
- 実際のエアドロップは、まず公式チャネルを通じて発表されます。チャネルを確認してからサイトにアクセスし、決して逆ではありません。
- 正しいデフォルトは「何もしない」ことです。予期しないトークンを「請求」するために署名しないでください。それを非表示にして次に進みましょう。
偽のエアドロップ請求サイト詐欺のキルチェーン
この攻撃は予測可能な順序で実行されます。まず、未知のトークンがウォレットに表示されます。あなたはそれを購入したこともなく、プロジェクトとやり取りしたこともなく、多くの場合、その存在すら聞いたことがありません。トークンの名前やシンボルは、多くの場合、「rewards-xyz.comで請求」や「2,000ドルのバウチャー - サイトにアクセス」のようなURLです。これが誘惑です。トークンは一度に何千ものアドレスに大量配布され、時にはウォレットを「アクティブ」に見せ、ターゲットにする価値があるように見せるために、少量のダスティン攻撃と組み合わされることもあります。
次に、好奇心が攻撃者の仕事をします。あなたは見かけ上の残高を見て、その名前を検索し、洗練された請求ポータルのように見えるサイトにたどり着きます。そこにはカウントダウンタイマー、プロジェクトのブランディング、光る「今すぐ請求」ボタンがあります。第三に、ウォレットを接続します。第四に、サイトは見た目とは異なるトランザクションまたは署名リクエストを提示します。それを承認すると、ドレイナーコントラクトがあなたの実際のトークン、stablecoins、またはNFTを数秒で一掃します。請求は決して届きません。ウォレット内のトークンは、罠を指し示す看板に過ぎなかったのです。
悪意のあるサイトが実際に署名を求めるもの
請求ボタンはあなたに何も与えません。それは許可を求め、危険はポップアップの見た目と実際の動作の違いにあります。主なメカニズムは2つあり、どちらも意図的に静かに設計されています。
1つ目はトークンのapprovalです。あなたは請求を有効にしていると思っているかもしれませんが、実際にはスマートコントラクトに、特定のトークンをウォレットから移動させる許可を与えています。多くの場合、無制限の量です。2つ目はオフチェーンのpermit署名です。これはgas手数料なしの無害な「サインイン」メッセージのように見え、まさにそのため人々は考えずに承認してしまいます。実際には、gasレス署名を通じて同じ種類の転送を承認します。これらの違いが不明な場合は、approveとpermitのトークン権限の違いに関する私たちの解説で、gasレスなものがなぜ両者のうちでより危険な場合が多いのかを詳しく説明しています。
ウォレット内の身に覚えのないトークンが危険信号である理由
正当なエアドロップは、取引可能な残高をサプライズで預け入れ、ウェブサイトへのアクセスを求めることから始まることはほとんどありません。実際の配布は事前に発表され、通常は意図的にアクセスしたプロジェクト自身の検証済みドメインを通じて請求され、トークンが最初に不思議に現れることに依存しません。トークンが何の発表もなく到着し、その名前が行動を促すものである場合、順序が逆転しており、その逆転こそが信号です。
予期せぬトークンは、機能的には誰でも数セントであなたのウォレットに配置できる広告です。なぜなら、アドレスにトークンを送信するのに受取人の許可は必要ないからです。「この番号に電話すれば無料の賞品がもらえる」と書かれたチラシがドアの下に差し込まれていた場合と同じように扱ってください。価値があるように見えること自体は、価値の証拠ではありません。これらの偽エアドロップがどのように構築され、見分けられるかのより広範なパターンについては、偽エアドロップ詐欺の識別ガイドをご覧ください。
接続する前に公式エアドロップチャネルを検証する方法
検証は詐欺の流れを逆転させます。トークンにサイトへ誘導されるのではなく、すでに信頼している情報源から始めて、そこから情報を広げていきます。送られてきたリンクは決してクリックしないでください。プロジェクトを独自に探してください。
- トークンからではなく、公式の情報源から始めましょう。信頼できるアグリゲーター、長年検証されているソーシャルアカウント、または自分でアドレスを入力してアクセスしたドキュメントサイトを通じてプロジェクトを見つけましょう。
- ドメインを相互チェックしましょう。ドレイナーサイトは、余分な単語、文字の入れ替え、または奇妙なトップレベルドメインを含む、似たようなURLを使用します。何かを接続する前に、複数の公式参照と正確なスペルを比較してください。
- エアドロップが最初に発表されたことを確認しましょう。実際の請求は、開始前に文書化されています。トークンが到着する前の公式投稿が見つからない場合は、それが餌であると仮定してください。
- すべての署名リクエストを読みましょう。「請求」が、あなたがすでに所有しているトークンの承認、または未知のspenderを指定するgasレスpermitへの署名を求める場合は、拒否してください。暗号通貨詐欺を回避する方法に関する私たちの解説では、より広範な接続と署名の規律について説明しています。
何もしないのがデフォルト:請求のために署名せず、トークンを非表示にするだけ
身に覚えのないトークンに対する最も安全な対応は、最も安価なものです。つまり、何もしないことです。それを売却したり、送り返したり、「請求」したりする必要はありません。ウォレットにあるトークンは、それ自体であなたの資産を移動させることはできません。あなたが承認した署名だけがそれを可能にするため、署名を差し控えることで攻撃は終了します。ウォレットインターフェースでトークンを非表示にするか、スパムフィルターにかけて、次に進みましょう。
すでに疑わしいサイトに接続してしまった場合は、パニックになって他のものに署名せず、既存の承認を確認してください。信頼できる承認ツールを使用して、認識できないトークン承認をすべて取り消してください。なぜなら、付与された承認はあなたが削除するまで機能し続けるからです。すでにドレイニングトランザクションが実行されたと信じ、資金が危険にさらされている場合は、遅滞なく残りの資産を新しいウォレットに移動し、ウォレット復旧チェックリストに従ってください。偽のエアドロップ請求サイト詐欺は、偽造できない唯一の要素、つまりあなた自身の承認を提供した場合にのみ成功します。
この記事は教育目的のみであり、金融アドバイスではありません。