ツイッターアカウントの乗っ取り
Web3ブロックチェーンゲーム企業Limit Breakが手掛けるNFTプロジェクト「DigiDaigaku」の共同創設者Gabriel Leydon氏のTwitterアカウントが乗っ取られ、フィッシング詐欺サイトのリンクが不正投稿されたことが明らかになった。
犯人は、DigiDaigakuに関連するように見せかけたフィッシングサイトを作成し、特別な権利を与えられる限定ホワイトリストを謡ってユーザーを誘導。
詐欺サイトで悪意のあるスマートコントラクトに署名したフォロワーのウォレットから、NFT(非代替性トークン)や暗号資産(仮想通貨)イーサリアム(ETH)を盗んだ。
2/ The tweet claims there are limited spots available to encourage you to act quickly. It leads you to a fake site: villains-digidaigaku[dot]com
— quit.q00t.eth (@0xQuit) November 3, 2022
h/t @noohp_ for the screenshot pic.twitter.com/10P0wSC2T8
関連:Web3ウォレットMetamask 利用上の注意点を解説
これまでにNFT数10点のほか、イーサリアム19ETH(約444万円)以上が盗まれたことが分かっている。中でも最大の被害は高額NFT「Mutant Ape Yacht Club(MAYC)」で、12.39ETH(約280万円)で売却された。
A message to the people 🫡 pic.twitter.com/SdxjmBdOvo
— Gabriel Leydon (FREE,OWN) (@gabrielleydon) November 3, 2022
実名で活動しているLeydon氏は、個人情報を収集し、スマートフォンなど通信デバイス用のSIMカード(個人情報識別のためのカード)を不正にすり替える詐欺「SIMスワップ攻撃」を受けた可能性があると釈明。
DigiDaigakuの開発会社Limit Breakで、影響を受けたユーザーを支援したいと述べる一方、犯人を追跡して告訴と損害賠償を請求する意向を示している。
ツイッターアカウントが乗っ取られた経路についてLeydon氏は、米通信大手AT&Tのスタッフによる手口と主張。同氏によれば、AT&Tの店頭スタッフが詐欺から契約者を守るための“保護”プロセスに執拗に時間をかけたという。すでにLimit BreakからAT&Tに調査を依頼しているようだ。
SIMスワップとは
被害者の電話番号をSIMカードに移転して個人情報にアクセスして仮想通貨を盗難するハッキング手法の一つ。SIMカードがあれば、2段階認証(2要素認証)を簡単にパスして、SNSや仮想通貨取引所などのサービスにアクセスできる。
▶️仮想通貨用語集
本件の真相は定かではないが、2018年にも似た事例が報告されている。当時、SIMスワップにより高額の仮想通貨を奪われた投資家Michael Terpin氏は、セキュリティ上の確認に不備があったとしてAT&Tを提訴。2,400万ドルの補償と2億ドルの損害賠償を要求した。
Terpin氏の訴訟は22年10月、20歳の仮想通貨ハッカーEllis Pinsky(当時15歳)が2,200万ドルの支払いに同意したことが分かっている。
フィッシング詐欺を防ぐには
3/ Connecting your wallet allows the site to evaluate its contents, and the most profitable angle to scam you from.
— quit.q00t.eth (@0xQuit) November 3, 2022
If you don't have open approvals on your most valuable assets, you'll be asked to setApprovalForAll to the scammer's address.
h/t @zachxbt for the screenshot pic.twitter.com/nuOdW12TSk
Digidaigakuになりすましたフィッシングサイトに設置されたスマートコントラクトは、接続したウォレット内の全ての資産に、攻撃者のアドレスからアクセス可能にする「setApprovalForAll」というもの。
DeFiセキュリティに詳しいZachXBTによると、この攻撃は「Monkey Drainer」として知られる手口に似ている。Monkey Drainerは10月下旬にNFTユーザーを対象としたフィッシングサイトを通じて700 ETH(約1億6,000万円)を流出させた。
有利なセールなどにいち早く参加したいと考える投資家は、コントラクトの内容を確認しない。あるいは確認の仕方が分からない場合があるため、仮想通貨詐欺の被害は後を絶たない。
@gabrielleydon CEO of @digidaigaku 's Twitter has been hacked.
— SS (@sslisen) November 3, 2022
The minting link he post was a wallet drainer ☠
🚨 🚨 🚨 WATCH OUT! 🚨 🚨 🚨
Thanks to @PocketUniverseZ , Its plugin popuped a warning reminder in time.
I attached the SS to show you what this drainer can do. pic.twitter.com/r5OdKS7y2C
最近では、怪しいコントラクトを検出してアラートを発出するウェブブラウザ拡張機能(エクステンション)「Pocket Universe」が、有識者の間で一定の信頼を獲得しているようだ。
Pocket Universeはユーザーがコントラクトをクリックした時点で、ブロックチェーンのフォーク版でトランザクションをシミュレートし、その安全性をチェックする。Pocket Universeの警告についてユーザーが承認すると、正当なブロックチェーンにトランザクションが送信される仕組み。
多くの悪質なトランザクションが制御されているとの報告もあるが、本物のサイトがブロックされるケースもあるという。最終的にはユーザーの責任で、アクセスするコントラクトや投入する資金量を判断する必要がある。
必要以上にdAppsにアクセスを許可したり、新しいプラットフォームを試すために不必要なリスクを負うことは避けるようにしたい。
関連:Web3ウォレットMetamask 利用上の注意点を解説
