【PR開示】当ブログの記事には、アフィリエイトリンクが含まれている場合があります。 詳しくは利用規約をご覧ください。

NFTが抜かれる!?初心者を詐欺/ハッキングから守る🔒「NFT盗難防止機能」でセキュリティ強化

NFT詐欺多発⚠詐欺やハッキングから守る新機能「NFT盗難防止機能」が登場! チムニータウンDAO

こんにちは。DeFi牧場のおーじぃ(@DeFi_Ranch)です。

DeFiと言う名のブログを立ち上げ、アレやコレや触ってみたものの、今の所、詐欺ハッキングのような被害には遭わうことなく、平穏な日々を過ごせています。

とは言え、日本人(日本発のNFT)が狙われすぎているので、安全を期してNFTに特化したハードウェアウォレット「Ledger Nano S Plus」を購入してみました。

関連記事
>> Ledger Nano S PlusにNFTを保管する方法【5分作業】
>> NFTを保護!Ledger Nano S plusの初期設定&使い方

ロイター通信によると、過去1年間NFTの盗難額が累計1億ドル(約150億円)を超えたそうです。

1件あたりの被害額は
平均30万ドル(約4,500万円)

多大な労力リスクを伴うオレオレ詐欺のトップ層で年収は3,000万円ほどなのですから、手間もリスクも少ないNFT詐欺を選ぶのは当然かもしれません。

スマホ1つでダマしちゃうぜ!

オレオレ詐欺ですら、いまだなくなる気配がないのであれば、NFT被害もまだまだ続きそう…。

そんな状況に危機感を感じた日本のスーパーエンジニア達が、力を集結してできたのがNFT「盗難防止機能」です。

今回の記事では「盗難防止機能」「NFT詐欺被害の事例」について解説します。

友達紹介リンクで$10相当のBTCゲット!

LEDGER公式サイトの紹介リンクからの購入で10ドル相当ビットコインをゲット!
Ledger Nano S Plus ◀友達紹介限定ページ

※有効期限はクリックから7日間となります。
※その他キャンペーンの詳細は公式質問集でご確認下さい。

なぜNFT界隈に詐欺被害が多いのか?

国や銀行などの権力に頼らずに「価値の保存や交換をする」ために生まれたビットコイン
そこから派生し「特定企業に頼らずプログラム(契約)を実行する」ために生まれたイーサリアム

いずれも自分たちが主導権を持ち、カギ(秘密鍵)さえあれば、誰にも文句を言われることなく自分の思い通りに”価値の交換”や”契約の実行”を行うためにブロックチェーン技術を活用して誕生しました。

しかしこれは諸刃の刃でもあり、カギ(秘密鍵)を持つ人ウォレットの所有者とみなされ、たとえそれが盗まれたものであっても、ブロックチェーンの仕組み上では、正当な所有者とみなされます。

大事なカギ「秘密鍵」と「リカバリーフレーズ」の違い

いずれもウォレット(1つのアドレス)所有権を証明するためのカギ(ハンコ)のような物です。

秘密鍵
64文字の16進数(0-9+A-F)からなる英数字
リカバリーフレーズ(※)
→ 秘密鍵から複製されたスペアキー12-24個英単語

※復元フレーズ、ニーモニック、バックアップフレーズ、シードフレーズなど呼び方がありますが、全て同じものを指しています。

現実世界で、他人の家に入り「ハンコを盗み出す」ための手間とリスクに比べたら、ネットを徘徊する人から「リカバリーフレーズを盗み出す」方がよっぽど楽で安全です。

仮想通貨の世界でも、購入したNFTを見ることで初心者(新規参入)であることが分かりやすいNFT界隈には、悪い人が集まってしまっています。

盗難防止機能でどんな被害が防げるの?

「NFT盗難防止機能」は、初心者をNFT盗難の被害から守るため「NFの移動を制限する」機能です。

ウォレットの所有者により、NFTがロックされると、ロック解除されるまで、いかなる場合もNFTをウォレットから動かせません。

ただし、前述した通り「秘密鍵」「リカバリーフレーズ」流出してしまった場合、新たな所有者により、ロックが解除され、NFTは盗まれてしまいます。もちろんその場合は、NFTに限らず、ウォレット内の全資産を失う可能性が高いです。

NFT盗難防止機能とは?

「NFT盗難防止機能」には、次の2+1の機能があります。

①NFTの移動をロックする
②NFTの取引場所を制限する

③ポイント付与機能

これらの機能は、NFTのコレクション(シリーズ)内に実装され、各コレクションの専用サイトで自由にON/OFFを設定することができます。

※各コレクションにより、初期設定(ON/OFF)は異なります
※ON/OFFの切替えには、少額の手数料(0.001ETH〜)が必要です。

各機能をできるだけカンタンに解説します。

NFTの移動をロックする機能「Transfer制限」

「Transfer制限」ONにすると、
NFTをウォレットから移動できなくします。

詐欺師に仕組まれたワナにより、意図せずにNFTが転送されないことはもちろんのこと、自分の意思でNFTを転送することもできません。

※必要があれば、専用サイトでいつでもロックを解除できます。

NFTの取引場所を制限する機能「CAL」

「CAL(Contract Alliow List)」ONにすると、
「setApprovalForAll(全承認)」の利用が許可リスト内のコントラクト(契約書)のみに制限されます。

2022年10月時点でリストに含まれるコントラクトは1つだけ

・OpenSea

言い換えると「OpenSea以外でのNFT取引を制限する」機能とも言えます。

※許可リストは「盗難防止機能」の開発メンバーにより審査されますが、今後は投票なども取り入れて、分散化が進むとのことです。

ポイント付与機能

盗難防止とは直接関係はありませんが、ロック機能を利用した期間に応じてポイントが付与される仕組みもあるようです。

※ただし法律規制などもあり、初期段階ではポイントが付与されることはなさそうです。

NFT盗難防止機能の使い方

盗難防止機能は、オープンソースとなっており、使用方法は、NFTの各コレクションごとに異なります。

基本は、以下の3ステップです。

専用サイトにアクセスする
②該当NFTをロック申請
処理手数料の支払い(0.001ETH〜/枚)

※手数料は、処理の混雑により値上がりします。
高いと感じたら日時を改めて試してみましょう!
※また、複数枚をまとめて処理すると割安になります。

各コレクションの公式のディスコードなどに、ロック専用サイトへのURLや使い方説明があると思いますので、詳細は各自ご確認下さい。

※この段階でも偽サイトにはご注意下さい!

なお「ハロウィンプペルNFT」に搭載される「NFTロック機能」に関しては、西野さんの公式Twitterで動画が公開されています。

注意したいNFT詐欺8パターン

NFT盗難防止機能では「ロックされたNFT」だけしか守ることができませんし、秘密鍵リカバリーフレーズを奪われれば、そのロックすら解除されてしまいます。。

NFT界隈にはさまざまな詐欺が横行していますので、注意しておきたい「NFT関連詐欺」を8パターンにまとめてみました。

高頻度

①ダイレクトメッセージ(DM)
②ニセTwitter × 拡散
③ニセNFTコレクション
④setApprovalForAll

低頻度

⑤ラグプル(持ち逃げ)
⑥スパイウェア
⑦送り付け詐欺
⑧アカウント乗っ取り

特に①〜④の詐欺被害はよく目にするので、最低限これらの手法は頭の片隅に入れておきましょう!

ダイレクトメッセージ(DM) ★最重要★

運営公式、サポート、有名人などからの連絡に見せかけてダマす手法。
“おいしい条件”を提示し、リンクをクリックさせたり、送金するように依頼されます。

DMで気をつけたい言葉

・あなただけ
・プレゼント
・今だけ
・無料
・お仕事の依頼
・ここだけの話

ディスコードやツイッターなどのDMは1対1のやり取りなので、本人が気づかない限り、この手の詐欺を防ぐことはできません。

対策 ▶ 知らない人からのDMはすべてムシする

そもそもNFT盗難被害の大部分はDMが原因と言われています。特に、NFTや仮想通貨に関する情報を発信するアカウントに関しては、DM-OFFに設定しておくをオススメします。

Twitterは初期設定がOFFになっています。
Discordでは自分でOFFにする必要があります。

ニセTwitter × 拡散

Twitter上にニセ公式アカウント&サクラアカウントを大量作成し、お互いにリツイートし合うことで拡散。バズを捏造し、詐欺サイトのURLに誘導する手法。

WEBサイト2時代の信用とも言える「リツイート/いいね数」を鵜呑みにするは危険です。

対策 ▶ 公式マーク/フォロワーなどを確認する

偶然にも、この記事の執筆中に「ザ・サンドボックス」のキャンペーンに当選し、まさかのDMが送られてきて、めちゃくちゃ怪しいと疑いました。※結果ホンモノでした^^;

ご参考までに、ズボラな私がホンモノのアカウントを見分ける方法を共有します。

他にもやり方は様々あると思いますがが、相手とのやり取りのリスクに応じて、更に厳重にチェックしましょう!

偽NFTコレクション

既存のNFTコレクションをそのままコピーしてOpenSeaにアップロードする手法。

OpenSeaの検索機能を利用すると公式より安い価格でNFTが販売されているため、
確認せずに安い順で購入すると、それがニセモノだったりします。

OpenSeaでは、昨年5月にニセNFTをスキャンする体制を整えましたが、完全ではなく、いまだニセのコレクションは作られ続けています。

対策 ▶ 検索は使用NG!!コレクションページの確認必須

基本的に購入したいNFTがある場合、公式サイト(Discord、Twitter)のURL、または、公式を確認済みの自分のブックマークからページに遷移するようにして下さい。

もし検索を利用した場合は、最低限コレクションのトップページに移動して。最低限次の3項目は確認しておきましょう!

CTDの「心臓NFT」の場合

① 作成時期:2022年4月
② 総取引量:19ETH以上 ※増加のみ
③ オーナー数:9,000前後 ※増減あり

ちなみに「心臓NFT」には、10,000個を販売したあとの第二弾コレクションもありますが、そちらはまだ取引量が少なく、ニセモノと見分けが難しいので利用する場合は、各自慎重にご確認ください!

Chimney Town Daoの「心臓NFT」のニセモノコレクションを見分ける方法

setApprovalForAll(全承認)

「setApprovalForAll(全承認)」とは、NFTの標準規格(ERC-721)で用意されている機能の1つです。

「setApprovalForAll」を承認すると、付与先のコントラクト(自動プログラム)にウォレット内の指定された「NFTコレクション」全ての転送許可を相手に与えることになります。

※「setApprovalForAll」は、NFTコレクション単位で承認されるため、他のコレクションには影響はありません。逆に言うと、高額NFTで同じシリーズをたくさん持っている人(のウォレット)が狙われやすいかも?

対策 ▶ メタマスク署名時の目視確認

メタマスクの承認作業は、日本語されない注意喚起もありますが、しっかりチェックして対応しましょう!

現時点では”詳細を表示”を開かないと「setApprovalForAll」の表記は見えないようです…。

「setApprovalForAll」承認時の注意喚起

なぜ「setApprovalForAll」機能が必要なのか?

NFTを1対1でやり取りする場合「transfer(譲渡)」機能を利用します。

しかし、OpenSeaなどのオープンなマーケットでNFTを販売する場合、
NFTの買い手売り手がお互い同じタイミングで代金支払いNFT転送作業を行うのは現実的ではありません。

そこでOpenSeaに対して「お金を受け取ったら、NFTを渡しちゃっていいよ!」代理作業を依頼するためにNFTを自由に動かす権限(setApprovalForAll)を与える必要があるのです。

その他詐欺手法

これまでに紹介した詐欺手法は、素人でも簡単にマネできて、しかも効果的なので発生頻度がとても高いのですが、中には手のこんだ複雑なしかけで詐欺を働く輩もいます。

一般的には、どうせ手間をかけるなら大物を狙うはずなので、ウォレットの資金が少ない人はそこまで心配する必要はないかもしれません。※まずは前述の4手法を頭に入れておきましょう!!

以下は参考程度に頭の片隅入れておいて下さい。

・ラグプル(持ち逃げ)
魅力的なプロジェクト(NFTコレクション)と見せかけて、資金が集まるとトンズラする手法。発生頻度はそこそこありますが、詐欺かどうか見分けることは至難の業なので、、、初心者の方には避けるのが難しいかもしれません。

・スパイウェア
“開きたくなるファイル”を送りつけ、メタマスクの秘密鍵を盗み取る手法。儲け話はもちろん、Twitterで宣伝するお仕事の依頼とか、作品を買い取りたいとか、自分がうれしい声がけには要注意です!

・送りつけ詐欺
勝手にNFTを送り付け、それを操作する際に”悪意ある契約(英語)”が提示され、うっかり署名させる手法。何に署名をするのか?ちゃんと内容を読まないと「お金やNFTを移動させる権利」を与えてしまうことになりかねません。

・アカウント乗っ取り
公式アカウントのパスワードを入手し、公式として「ニセの情報を発信」する手法。ニセTwitterを作る方法と基本は一緒ですが、やはり公式発情報の威力ハンパなく、発生すると被害額は莫大になります。

結論「盗難防止機能」を使ってNFTを守ろう!

今回の記事では「盗難防止機能」「NFT詐欺被害の事例」について解説しました。

わずか数十円の手数料でNFTの盗難被害が高められる非常に有効な機能です。

特にウォレットの操作に不慣れな初心者の方は、大事なNFTを盗まれないためにもロック設定をしておくことをオススメします!

ではまた!

関連|ホット v.s コールド 違いをLedgerNanoとMetamaskで比較

ぶっちゃけコールドウォレットは必要なのかどうか?について解説しています。

タイトルとURLをコピーしました