Tenable ブログ
ブログ通知を受信するTwitter の暗号通貨詐欺:Bored Ape Yacht Club、Azuki、その他のプロジェクトが NFT や暗号通貨を盗むために偽装される
詐欺師が認証済みおよび未認証のアカウントを使用して、 Bored Ape Yacht Club などの注目を集めている NFT プロジェクトになりすまし、Twitter ユーザーにタグを付けてフィッシング詐欺ウェブサイトに誘導しています。
背景
ここ去数か月間、Twitter でユーザーの NFT や Ethereum やアルトコインなどの暗号通貨を盗むことを目的として、偽の Bored Ape Yacht Club (BAYC)、Azuki、MoonBirds、OkayBears などの非代替性トークン (NFT) のプロジェクトが立ち上げられてきました。これらの偽プロジェクトの多くは、誇大宣伝を行うためにプロジェクト独自のメタバースとの統合を進めており、そこからなりすましプロジェクトに関連する新しいニュースや噂を発表しています。
少なくとも 2018 年以来蔓延している Twitter を悪用した暗号通貨詐欺は、市場が強気であるか弱気であるかに関係なく存在し続けています。暗号通貨詐欺について確かなことが 1 つあるとすれば、それは暗号通貨に対する熱狂的な関心に付け込んで、悪徳利益を得るための新しい方法を模索することに熱中している詐欺師がいるということです。
詐欺師は Twitter のメンション機能を活用して注目を集める
NFT や暗号通貨に関心のある Twitter ユーザーは、近年 Twitter のメンションで通知を受け取ることが多くなりました。暗号通貨を利用した詐欺では、何百ものツイートが返信され、ユーザーはメンションを受け取ります。そして、興味を持った Twitter ユーザーの一部が実際に騙されるのです。
画像出典: Tenable、2022 年 3 月
暗号通貨詐欺で最も効果を上げている手口はエアドロップと無料の NFT
2021 年 4 月の立ち上げ以来飛躍的な成長を遂げているこの分野のブルーチップ NFT プロジェクトの 1 つであるBAYCは、今年初めに BAYC、Mutant Ape Yacht Club、Bored Ape Kennel Club などのさまざまな NFT プロジェクトの所有者に対する ApeCoin のエアドロップ の実施を発表しました。当然のことながら、詐欺師はこのエアドロップの発表を次の詐欺の絶好の機会と考え、検証済みの Twitter アカウントを乗っ取ってユーザーをフィッシングサイトに誘導するキャンペーンの作成を開始しました。
画像出典: Tenable、2022 年 3 月
$APE トークンのエアドロップが本当であるように見せかけるため、乗っ取った検証済みアカウントは BAYC NFT のプロフィール写真 (PFP) に変更され、詐欺師はユーザーの注意を引くため、ユーザーに対して一斉にメンションを送りました。
画像出典: Tenable、2022 年 3 月
その他の有名な NFT プロジェクトのなりすまし
BAYC に加えて、Azuki、Moonbirds、Invisible Friends など他の有名 NFT プロジェクトや、OkayBears のような Solana ブロックチェーン上の新しいプロジェクトのなりすましもあります。
BAYC の Otherside メタバースのローンチ後の騒動も詐欺師に悪用される
4 月 30 日、Yuga Labs は、BAYC の NFT 保有者のメタバースの土地権利証 (「Otherdeeds」) を購入する方法となる、Otherside メタバースプロジェクトを立ち上げました。その結果、Ethereum ネットワークにトラフィックが殺到し、メタバースの土地を取得しようとする愛好家が支払うガス代が高騰したため、プロジェクトの最も影響力のある一部のサポーターから大きな反発を食らう状況が発生しました。これを受けて、愛好家が感じた欲求不満を悪用することを目的として、詐欺師はすぐに Twitter で偽の OthersideMeta アカウントを作成して、Otherdeeds を取得するためだけでなく、土地の取得のために支払った過剰なガス代の払い戻しを望んでいる人たちのためにもフィッシングページを宣伝しました。
画像出典: Tenable、2022 年 5 月
皮肉にも詐欺の注意を呼びかけている詐欺師も現れ、偽のアカウントがよりもっともらしく見えるように
ツイートへのコメントや返信の削除や制限を行う都合の良い言い訳として、ほかの詐欺師による悪用と脅威の可能性を挙げています。
画像出典: Tenable、2022 年 4 月
次に、ツイートに応答する偽のアカウントを利用して、ツイートが本当のことのように見せます。これらの偽のツイートのいくつかをシードした後、Twitter のビルトインの機能でツイートに返信できるユーザーを制限します。これにより、このアカウントが詐欺であることを他のユーザーが警告できなくなります。
画像出典: Tenable、2022 年 4 月
フィッシングサイトは、正規の NFT プロジェクトサイトと見分けがつかない
詐欺師は、合法的な NFT プロジェクトサイトのアセットを利用してフィッシングサイトを作成します。そのため、一般的な暗号通貨愛好家が真偽を区別することは困難です。
画像出典: Tenable、2022 年 5 月
また、Linktree などの人気のあるサービスを使用して、OpenSea や Magic Eden などの NFT マーケットプレイスを模倣した偽のページへの誘導も行います。
画像出典: Tenable、2022 年 5 月
信頼できないサイトにウォレットを接続するのは危険
これらのフィッシングサイトは、従来のようにユーザーのユーザー名とパスワードを盗むことを主眼には置いていません。代わりに、暗号通貨ウォレット、通常は MetaMask や Phantom (Solana) などのブラウザベースのウォレットをフィッシングサイトに接続するようにユーザーを誘導します。ユーザーが疑うことなくこれらのフィッシングサイトにウォレットへのアクセス許可を明示的に付与することで、詐欺師は、Ethereum ($ETH) や Solana ($SOL) などの暗号通貨、およびこれらのウォレットに保持されている NFT を転送できるようになります。
この手の NFT ベースの詐欺の被害は大きい
最近、Zachxbt という仮名で知られている研究者が、被害額の非常に大きい BAYC Otherside のフィッシングサイトを通じて Mutant Ape Yacht Club (MAYC)、BAYC、Azuki などから 620 万ドルにも及ぶ複数の NFT を盗んだ 3 つの暗号通貨アドレスを特定しました。
1/ 皆が予想したように、Otherside のフィッシングサイトが表示されます。
— ZachXBT (@zachxbt) 2022 年 5 月 1 日
今日、0xb87 が 103 万ドル (369 ETH) 相当の NFT を盗まれました。特に 4MAYC、1 BAYC、および 30 以上の SandboxNFT です。
これにより、0xa8 と 0x5d が発生し、NFT が 510 万ドル相当盗まれました。4 BAYC、19 Azuki、2 MAYC、2 WOW なども同様に盗まれています。
合計 620 万ドルです。 pic.twitter.com/FbzxoXWEC8
NFT 詐欺師の Twitter での手口
ここで説明したなりすましプロジェクトは、過去数か月間に私が遭遇したほんの数例に過ぎません。しかし、未来の NFT プロジェクト、または最近アナウンスされたもののまだ立ち上げられていない既存のプロジェクトで、次のような手口が使われる可能性があります。
- 認証済みのTwitterアカウント、または数十万人のフォロワーがいるアカウントをハッキングまたは購入する
- アカウントを変え、プロジェクトの PFP やその他の画像を使用して、注目の集まっている NFT プロジェクトまたはそのメンバーになりすます
- フィッシングサイトへのリンクをはり、プロジェクトで今後行われる、または最近実施行われたエアドロップやミントについてツイートする
- この偽アカウントから直接ユーザーをメンションするか、多数の偽アカウントを利用し何百ものツイートにわたってユーザーをメンションする
- NFT と暗号通貨を盗むため、ユーザーがフィッシングサイトのリンクをクリックし、暗号通貨ウォレットへのアクセスを許可するのを待つ
暗号通貨界内の既存の人物の Twitter アカウントの信頼を落とすなど、上記の手順には若干の差異が存在する場合もあります。しかし、効果を失うまではこの手口が繰り返し用いられることでしょう。
フィッシング詐欺を宣伝するため、デジタルアーティスト Beeple の Twitter アカウントが乗っ取られる
画像ソース: xBenJamminx (Twitter)
NFT 暗号通貨詐欺を Twitter はどうすれば減らせるのか
このような、なりすましを通じた詐欺を減らすのに Twitter が取れる対策はいくつかあります。
- Twitter Blue の有料メンバーだけでなく、すべてのユーザーが NFT プロフィール写真機能を利用できるようにする。 ブロックチェーンは信頼性を確認する方法の提供を目的としています。そのため、この機能が誰でも利用可能になれば、BAYC プロフィール写真によって他人のツイートの信頼性を確認できるようになります。
- プロフィール写真と名前を変更する認証済みアカウントのツイートとプロフィールを一時的に非表示にする。 認証済みの Twitter アカウントの乗っ取りに成功した詐欺師は、それらを有名ブランド、著名人、または NFT プロジェクトに変更します。プロフィールが変更された際にこれらのツイートとプロフィールを一時的に非表示にすることで、詐欺師が悪事を働く前に、彼らに対して手動での確認をする手間を与えることができます。
- 認証済みの Twitter アカウントが最近名前とプロフィール写真を変更した場合に、公開されているプロフィールとリンクに対して警告を表示する。 #2 が難しい場合は、新しく情報が変更された認証済みプロフィールからのツイートまたは共有されたリンクでエンドユーザーにメンションが付けられたときに、そのユーザーに対して警告を表示するように設定します。そうすれば、透明性の高い情報が付与できます。Twitter アカウントは user_id でメンションが付けられるので、ツイートの横に「このプロフィールは最近、名前とプロフィール写真を (x) から (y) に変更しました。このプロフィールに詐欺の疑いがある場合は、アカウントを報告してください」と表示します。
- ツイートの一括メンションといったアクションに注意を向ける。ユーザーの注意を引くために、詐欺師はツイートに対する返信で多くのユーザーにメンションを送るといったことをよく行います。複数のユーザーにメンションが付いたリプライが何度もツイートされ始めたら、元のツイートまたはアカウントとその後のリプライを疑わしいとしてフラグを立てます。Twitter の異常な機能として紹介されたこともある「巻き込みリプライ」で元のツイートに関係のない多数の Twitter アカウントからのリプライがあった場合も、フラグを立てるべき状況として捉えるべきでしょう。
暗号通貨に関心のある Twitter ユーザーは常に懐疑心を忘れないようにする
私がよく言っていることですが、日々疑いの目を持って過ごすことで、そのような詐欺にひっかかる可能性を下げることができます。ツイートで積極的にメンションを送っている場合は、認証済みの Twitter アカウントであっても、その背後にある動機について注意深く観察する必要があります。元のプロジェクトのウェブサイトや公式ウェブサイトのリンクと Twitter で共有されているリンクを比べる必要もあります。詐欺師はまた、緊急性を口実に、ユーザーにプレッシャーをかけて騙します。NFT がミントされている (新たに発行されている) 場合、「数は限られている」と言ったりして、チャンスを逃したくないユーザーを騙しにかかります。
ここで書いたアドバイスの多くが有効なのは今だけです。この分野の詐欺は巧妙で、MetaMask やその他の暗号通貨ウォレットを悪用する方法は進化し続けているからです。したがって、昔からよく言われているように、「うますぎる話には裏がある」ことを肝に銘じる必要があります。