# scam対策

By [akashi](https://paragraph.com/@yakisobaminister) · 2022-05-08

---

こんな市況でも新規が参入したり、scamに合った被害を聞きます。**クリプト参入する時に一番重要だと思うのはセキュリティ**なんですが、周りを見るとあまり意識されていません。

なにもやってないのに！新しい手口だ！みたいな人多いですが、結局自分の記憶からそれが飛んでいたり、いつもの手口だよねってのばかりなので、心配になります。

自分は公式のtelegramリンクが誤っており、scamとか気付かず2週間ぐらい過ごして、そこからセールに参加してやられた経験があります。(などエアドロで実質返ってきた)

対策は簡単ですが、ひっかかるのはもっと簡単です。scamの知識を蓄えることが、scam対策の重要な対策に繋がります。自分は大丈夫というのは存在しなく、金額の大小に関わらず**常にあなたの資産は狙われている意識を持ってください。** scamに引っかかっても税金は掛かります。

Q. なぜ詐欺がなくならないの？
----------------

A. 簡単に儲かるからです。

[https://www.cnbc.com/2021/11/19/over-10-billion-lost-to-defi-scams-and-thefts-in-2021.html](https://www.cnbc.com/2021/11/19/over-10-billion-lost-to-defi-scams-and-thefts-in-2021.html)

cnbcによると、2021年DeFiのscamだけで、$10bの資産が詐欺にあっています。

2月には、Openseaのコントラクトにバグがあると各所で話題になりました。しかしこれは誤りで、フィッシングでした。

4月1日にBAYCのcapture botがハッキングされたと話題でした。これも誤りで、Ticketsのbotによる脆弱性がありました。

当初原因と話題になって注意喚起に躍起になり、みんな騒いだものの、結果的に原因が間違っていたり、無駄なコストを使用してしまいました。

scamに引っかかった人には開発者、5年以上暗号通貨に関わっている人も含まれます。セキュリティに気をつけていると全員が言いますが、**それでも引っかかるのが詐欺である**ことを忘れてはいけません。

それに対応する方法についていくつか紹介します。基本的な事項については以下の記事が詳しいためここでは、補足というイメージでお願いします。

[https://note.com/kzsun/n/n62a44b142a0a](https://note.com/kzsun/n/n62a44b142a0a)

事例を追う
-----

TRM Labs, Circle, Solana Foundation, the Aave Companies, Hedera, Binance.us Civicが共同で作ってるscam報告サイトです。事例がたくさんあるので定期的に読んでおきましょう。

[https://www.chainabuse.com/](https://www.chainabuse.com/)

defiだとrektが有名ですが、exploitがほとんどなので技術よりになります。

[https://rekt.news/](https://rekt.news/)

### 大事

クリプトを扱うPCと通常のを分ければ良いです。これができないなら常時注意しなければいけません。

### 前提

詐欺にまず注意しないのは、なんらかの焦りを生んだり、そうしなければならないような状態に追い込まれることです。そうなった時に、一旦落ち着くことが非常に大切で、少しでも怪しいと思ったら誰かに相談したり、質問を投げかけましょう。

1.  シードフレーズ(12語〜の英単語)を決して誰にも教えない
    
2.  パスワードを複雑にする(40語以上)
    
3.  同じパスワードを使用しない
    
4.  平文でevernoteなどのオンライン環境に秘密鍵、パスワードを保存しない
    
5.  トークン、NFTが知らない人から送られてきたら何も触らない(hideなどもx)
    
6.  怪しいと思ったら誰かに相談する
    
7.  抜かれていても泳がされている可能性がある
    

絶対はありませんが、2,3,4は1password,bitwardenパスワードマネージャーを利用するだけで簡単に行なえます。

シードフレーズは銀行口座で言うところの通帳、カード、暗証番号全て合わせたものに相当するので誰にも教えてはいけません。パスワードは仮にハッキングに合ったとしても、パスワードがわからないと暗号化を解くことができないので、複雑にし、同じものは使用しません。

オンライン環境でも暗号化されているから安心！ということはなくて、そのアカウントがハッキングに合ったり、脆弱性が発見されていない可能性もあるため、時限爆弾を持ち歩いているという認識でいてください。

![これは悪い例です](https://storage.googleapis.com/papyrus_images/b7bb0dc3750cce210b95c10398e0da6579bcf0c938623e803dc6d88da611b6f0.png)

これは悪い例です

偽のmintサイト誘導
-----------

この件数が一番多いです！とにかくこれだけに気をつけましょう！

下記記載のnoteに攻撃方法が詳しく記載されています。

[https://note.com/shiberu/n/n4e104d21873f](https://note.com/shiberu/n/n4e104d21873f)

![](https://storage.googleapis.com/papyrus_images/5502f4d9f7fe342d5743266c98f0cd52cf21f01ccbccb6e1dc5d9708f7793da5.png)

これは実際にProject GalaxyでチームメンバーのDiscordが乗っ取られてこのようなmintが開始するという告知がありました。これを連投したり、削除が相次いだにもかかわらず多くの人がscamにひっかかりました。その時、すべてのチャットに書き込めなくなり、誰ともscamであるかを確認が取れませんでした。

ただ、Project GalaxyのURLはgalaxy.ecoのため、サブドメインとしても誤りがあります。その後一時間ぐらいするとそのウェブサイトにアクセスができなくなりました。ウェブサイトの外観としてはこのようなので、チープです。時間が経過するとtotal mintedの数がうなぎのぼりになり、サイトを更新すると0に戻ります。焦りを感じさせるつくりになっています。

![](https://storage.googleapis.com/papyrus_images/c794c7f8fda8f6810471398572df56e1a4a967f423382abe9bcdf6f4ffba6862.png)

このような唐突にNFTを配布するというのは、稀というかほとんどscamです。また送る前に相手先のコントラクトを確認する余裕も欲しいです。

対策
--

1.  唐突なmintは無いと認識する
    
2.  URLを確認する
    
3.  疑わしいと思ったら焦りに負けず、チャットで正しいかを確認する(できない場合はscamの可能性高い)
    
4.  サイトのmint数、送り先コントラクトを確認し、その数に不都合がないかを確認する
    

DMは詐欺！！！！DMは詐欺！！！！DMは詐欺！！！
--------------------------

### 1対1の取引をしない

まず、DMで相手とやり取りすること自体リスクがあります。誰もが見えるパブリックな場所で交渉しましょう。交渉するにしても相手のリンクを踏まないようにしましょう。

scamの数としては私見では Telegram > Discord > Twitterです。まずDMは詐欺前提であることを忘れず心置きなくブロックもしましょう。

DMに関係するscamには思いついた限りでいくつかのscamがあります。

1.  偽mintサイトへ誘導
    
2.  あなたのNFTがほしいからと交渉する
    
3.  クリエイター向けに詳細をpdfなど別途ファイルで添付する
    
4.  MODになってほしいからと偽discordリンクに招待、その後verifyのためと謳ったscamサイトに誘導し、Discordのトークンを抜き取りアカウントを奪われます。
    
5.  トラブルに会った場合、サポートするという内容のscamがTwitter、Discord、Telegramに大量に来ますが、1対1のサポートはまずscamです。
    

ファイルを介したウォレット盗難
---------------

[https://twitter.com/noobbotter3/status/1544195509312978944](https://twitter.com/noobbotter3/status/1544195509312978944)

詳細は上記Tweetに任せます。特段言うべきことはなく、セキュリティ対策としては基本なので割愛します。メールやDMで受け取ったpdfファイルが資産を抜くための攻撃だったり、テスターとして配布されたゲームを起動すると抜かれるようなものまであります。クリプト用のPCを分けるのがベストです。

[https://twitter.com/Serpent/status/1540770171069276160](https://twitter.com/Serpent/status/1540770171069276160)

[https://news.yahoo.co.jp/byline/tadafumiaki/20220211-00281532](https://news.yahoo.co.jp/byline/tadafumiaki/20220211-00281532)

偽リンクを踏まない
---------

Google Search、Twitterの広告には偽プロジェクトを謳い、あなたの資産を奪おうとしてきます。

対策としては、公式Twitter、公式Discord、coingecko、Defillamaなど信頼の置ける複数のサイトからURLを確認して飛ぶようにします。ブックマークも非常に有益です。

公式Twitterはフォロワーの数、共通でフォローしてる人の数から判断してください。フォロー数にもよりますが、0~10人程度なら怪しくて、たとえ数万人居たとしてもフォロワーを購入しています。

### Twitter

偽のサポート、公式マークが付いている、フォロワーが多い。どれも全部関係ないです。共通フォローが多いかを確認しましょう。

公式を装った詐欺への誘導もよくあります。紛らわしいので非フォロワー、非フォローからの通知をoffにしましょう。

Discord
-------

### 偽のDiscordリンク

![doodles公式](https://storage.googleapis.com/papyrus_images/699047bcf0cd56c21795fa3670bc8bef2399e377033891c56f9092ad209530fb.png)

doodles公式

例えば、DoodlesのDiscordリンクはdiscord.gg/doodlesです。これはサーバーブースターというDiscordの機能によってレベル3を達成すると招待コードを好きな文字列に変更できます。

例えば、僕が大きなNFTプロジェクト(akashi)を持っていて、50人だけ招待したいとします。通常discordの招待はランダムな文字列になり、abcdefgというコードを50人の制限をかけてTwitterで配布します。51人目以降はそのdiscordには招待コードが切れましたというメッセージが表示されます。

ここにscamを狙っているAさんがいるとします。僕のabcdefgというコードが切れた後だと、ブーストしているレベル3のdiscordサーバーはabcdefgという招待コードを作成できます。それを狙って、abcdefgというコードで偽akashiサーバーに誘導します。そこで偽サイトから(以下略)

### 偽capturebot

サーバーにはいるとすぐさまDMが来るようなbotが存在しますが、本物と装ってる場合があります。直DMを一旦無視して自らサーバーのverfiyを行うbotをするのが良いです。

### 偽サポート

たまに不具合報告をするとサポートを名乗る人からDMが来ることがあります。まず、DMでやり取りをしてはいけないことは何度も言っていますが、応えたとします。

この人はアイコンが汎用かつ、Supportと名乗っているので確実に詐欺だと判断できます。やり取りする前に、そのDiscordの名前を検索したり、上位のロール(Admin,Team)などを保有しているか確認してください。そうでなければ確実に詐欺です。

![偽サポート](https://storage.googleapis.com/papyrus_images/00bbd65e9ce88b57231c5422a1c882e56aaf75f4f7cd3e59d4897c3259351292.png)

偽サポート

![seed phraseを要求された](https://storage.googleapis.com/papyrus_images/7bc061a1042b3f89bdbae6324e10c7fd5753e0c487abe51eb83cb0e365ff66ae.png)

seed phraseを要求された

案の定解決するためにリンクに飛べと言われたらシードフレーズを要求されました。シードフレーズは銀行口座で言うところの通帳、カード、暗証番号全て合わせたものなので、共有してはいけません。これを送信すると資産を抜き取られます。

### 偽リンク

![](https://storage.googleapis.com/papyrus_images/c00e1da87308d684aa0f8adcea2e0624ba149e11126a44f55d02a581cc82f176.webp)

これは適当に拾ってきた画像ですが、どこがおかしいでしょうか？

そうです！discordがdiscordgiftというおかしな形式かつ、siteという謎ドメインですね！

![](https://storage.googleapis.com/papyrus_images/da9766ab540feb04e99623df14f42bcbad89ba66c0649c1d1df0974ea99c187c.webp)

次のはどうでしょう？discordnとなってますね！踏むのは簡単ですが、これを手に入れようとログインをするとしばらく経ってアカウントが乗っ取られるため気をつけましょう！

### 偽MOD招待

よくあるパターンとしては、DMで「あなたを自分のプロジェクトのmodにしたい。報酬は○○ドルです。」と高い報酬で誘惑します。

そこで偽のdiscord(プロジェクトは存在するけど、公式ではない)、作ったばかりのdiscordに招待されます。 そこで、discordのverifyをするために、独自で作ったリンクを踏んで、そこでログイン、認証しておかしな権限を付与、ブックマークを要求されてokするスクリプトが走ってるような形でアカウントが乗っ取られます。 仮に踏んだ場合はdiscordのトークンを更新するためにパスワードを変更しましょう。

### Telegram

自分が被害にあったのはこれです。公式を名乗った偽のtelegramがたくさんあります。

さあ名前だけを見てどれが公式かわかりますか？僕にはわかりませんが、選択されているのと、Announcements以外は偽のセールが行われていました。

Telegramはもうscamの温床になってるので、自分は殆ど使っていません。偽公式に簡単に辿れるのでかなり注意が必要です。

![](https://storage.googleapis.com/papyrus_images/a6ea0af3b87aa4476c234a00ae8e5d3da037cbb493c98d587230f58220f0a8bd.png)

### Instagram

Instagramには公式以外にもたくさんの偽物アカウントが存在し、Twitterと違って、数万人フォロワーがいることが多いです。中には偽物のほうがフォロワー数が多いケースも有るため、気をつけなければなりません。

Instagramが一番怖くて、タグ付けで偽のところに誘導されることがしばしばあります。これらを簡単に見抜けますか？

![](https://storage.googleapis.com/papyrus_images/083aa1d592c4241cc21d586702e0647c985414ee7cc4fbe22d549611497cf398.png)

![](https://storage.googleapis.com/papyrus_images/e5ec6139dc967d19a2380a4d0f288f7f17cd9c24602b878142bcd5bf05da3cef.png)

![](https://storage.googleapis.com/papyrus_images/f76c5c8d5b339fcf9b482d5e7085ab2b2ae0671ffcd59e07cadfde7de2614c9b.png)

### Openseaの偽コレクション

1.  公式マークは関係ない
    
2.  公式Discord、Twitterに記載されているofficial linkからOpenseaに飛ぶ
    
3.  コントラクトアドレスでOpenseaの検索をする
    
4.  安い価格に飛びつかず、出来高を確認し、10ETH以下なら偽のコレクションと判断する(そもそも流動性のないプロジェクトに飛びつかないよう)
    

最近Phantom Network(PxN)という大きなプロジェクトのmintが開始されました。もちろんそれを狙って、偽コレクションも始動します。

0x160c404b2b49cbc3240055ceaee026df1e8497a0はPxNのコントラクトで事前に公開されていました。以下画像2枚目にある通り既に**偽のコレクション**は消されていますが、偽のコレクションで100ETH以上の取引がありました。

[https://twitter.com/dingalingts/status/1522055650028978176](https://twitter.com/dingalingts/status/1522055650028978176)

なお既に犯人は特定されています。

[https://twitter.com/Serpent/status/1522059672886251521](https://twitter.com/Serpent/status/1522059672886251521)

偽サイトにアクセスした場合
-------------

ウォレット接続はただRead権限を与えるだけのはずなので問題ないです。署名(signature)、トランザクション、approveを行うと、そのウォレットを危険に晒すことになります。仮に行った場合は、revokeする、そのウォレットからすべての資産を移動するなどして二度と使わないなどの対応を取り、資産を守ります。

revoke先

[https://etherscan.io/tokenapprovalchecker](https://etherscan.io/tokenapprovalchecker)

appriveの仕組み

[![]({{DOMAIN}}/editor/youtube/play.png)](https://www.youtube.com/watch?v=N05FR_e7124)

### Metamaskを捨ててRabbyを利用する

セキュリティ対策がたくさん盛り込まれています。これだけで9割は防げるはずです。

[https://mirror.xyz/yakisobaminister.eth/nKCSnpvrobSShtdESJArIUwOIXYUR4exyu1O4Opkooc](https://mirror.xyz/yakisobaminister.eth/nKCSnpvrobSShtdESJArIUwOIXYUR4exyu1O4Opkooc)

### 偽のNFT、トークン

例えばですが、以下のようなよく知らないコレクションがhiddenやopenseaそのままに送信されることがあります。それらをhiddenに動かしたり、別のアドレスに送ってしまうとウォレット内資産が取られる危険性があるため、触らずにそのままにしておきましょう。見知らぬコレクションのオファーに応えるのも危険です。

![偽のコレクション](https://storage.googleapis.com/papyrus_images/36d5c607a01415f71773cf977f69f01478775a98afd98d12e89201520250b041.png)

偽のコレクション

![謎エアドロップ](https://storage.googleapis.com/papyrus_images/b11e00c259ecf6b9648b5acf77def620c105ecaea1fe6f2afbc22caa2586ff03.png)

謎エアドロップ

![アクセスしたらお金上げる系](https://storage.googleapis.com/papyrus_images/f10de2d98a301170b8c2e24f548a2e952968e15a954db8b236e5885ab26c7471.png)

アクセスしたらお金上げる系

### テストネット

NFTだけやってる人にありがちですが、ETHメインネットとテストネットのトークンを同一視してしまうことがあります。テストネットトークンは誰でも無限に受け取れて、それ自体に価値がないので、rapsten,kovan,rinkbyなどのトークンで取引を成立してはいけません。必ず相手のリンクは踏んだり、トークンの送金、受取をせず、相手にできないと言われてもopensea、looksrare、x2y2など公式のリンクから出品しましょう。(そもそも1v1で相手にしない)

[https://faucet.paradigm.xyz/](https://faucet.paradigm.xyz/)

### フィッシングメール

これがなんだかんだ簡単で引っかかる人が多いです。最近はLedgerのメールアドレスが流出して、フィッシングメールが届くようになったようです。

基本的にWeb3ではメールを使いません。メールが届くのはサービスに登録したものです。Openseaから取引完了のメールが届くでしょうけど、僕はフィッシングと紛らわしいため全部ブロックしています。Web3とは関係ないと思いきや、Appleアカウントのフィッシングから資産を取られたケースもあります。Metamask(メール登録箇所ない)から来ることもありますが、まずありえないので、定期的にメールアドレスの整理を行いましょう。疑わしい場合は誰かに確認を。

### 番外編 偽giveaway

本物に混じって偽giveawayが行われていることがあります。今だと日本ではstepnが多いですが、人気NFTプロジェクトにも例があります。

フォロワーを無料で獲得するためにやっているため、野放しにするといずれ詐欺アカウントに変容し、詐欺に加担することにつながるので、避けましょう。自分は偽giveaway参加者はいつか自分も被害に合うかもしれないと思って全てブロックしてます。

---

*Originally published on [akashi](https://paragraph.com/@yakisobaminister/scam)*
