暗号通貨の世界は、特に非代替性トークン(NFT)のセキュリティに関してはリスクが伴うことは周知の事実です。最近、Blur Marketplaceのユーザーがフィッシング詐欺の被害に遭い、約239,676ドルを失ったことが、X(旧Twitter)の情報筋によって明らかにされました。

情報源からの報告によると、詳細は以下の通り。

あるユーザーが、Blur で詐欺師に 6 BAYC、40 Beanz、3 エレメンタルを 1 wei ずつで一括出品し、失いました。このメカニズムに関する私の以前のスレッドをご覧ください: https://t.co/ihWKpshaIT pic.twitter.com/3sLzMES59A

— Quit (@0xQuit) 2024年7月3日

フィッシング詐欺

報道によると、この強盗はBored Ape Yacht ClubのNFT 6個、Beanz 40個、Elemental 3個をターゲットにしており、これらはユーザーのデジタルウォレットから盗まれ、マーケットプレイスでそれぞれ1ドルWEIで出品された。WEIはイーサリアムブロックチェーンの通貨であるイーサの最小単位であるため、出品価格は実質的にゼロだった。

この詐欺は、Blur のリストシステムの抜け穴を悪用した巧妙な手口でした。

詐欺師は、Blur 上の高額 NFT の著作権設定を変更し、すべての収益を自分のアドレスに転送しました。既存のトランザクションをキャンセルするルールを利用して、違法行為は隠蔽されたままでした。

この侵害では、所有者の知らないうちにNFTがリスト化され、プラットフォームの安全対策が事実上回避されました。

本質的に、詐欺師はNFTのロイヤリティ設定を微調整し、プラットフォームの非公開リストに対するポリシーを効果的に回避しました。これにより、詐欺師は非公開販売を設定でき、自分のアドレスだけが取引を完了できることを保証しました。

ピンク ドレイナーは、ハッキングで Blur でのプライベート販売を可能にする方法を学びました。通常、Blur はプライベート リストを提供していません。作成したリストは誰でも実行できます。しかし最近、ピンクは Blur で 0 eth でアイテムを購入しています。どうやって?1/

— Quit (@0xQuit) 2023年6月1日

Solidity の開発者兼監査人である 0xQuit がこのレポートを共有し、詐欺師が使用した可能性のある戦術を明らかにしました。この詐欺は、ソーシャル プラットフォームで宣伝されている無料の NFT ミントやエアドロップ イベントを約束してユーザーを誘い込む、おとり商法として設定されたようです。ユーザーが関与すると、詐欺 Web サイトでの取引に署名するように騙されました。

Coinfomania が 5 月初旬に同様のフィッシング詐欺を報告していたことを覚えているでしょう。詐欺師 (PinkDrainer) がユーザー (tatis.eth) から約 145,000 ドル相当の 3 つの BoredApeYachtClub NFT を「流出」させました。

#PeckShieldAlert ZachXBT は、tatis.eth がフィッシング攻撃の被害に遭い、3 つの#BoredApeYachtClubNFT、具体的には#BAYC#7531#BAYC#6736#BAYC#2100 が失われたことを検出しました。詐欺師の#PinkDrainerは、盗んだ#BAYCをすでに合計 ~48.5 で販売しています… pic.twitter.com/vU0EPndvRM

— PeckShieldAlert (@PeckShieldAlert) 2024年5月9日

資金を安全に保ち、ホットウォレットを保護する

この事件を受けて、ユーザーはデジタル資産の取引や保管を行う際に注意を払うよう促されています。URL を二重チェックする、迷惑な通信に注意する、秘密鍵を安全に保管するなどの基本的な予防策を講じることで、このような不幸な事件を防ぐことができます。

「後悔するよりは安全第一」ということわざがあります。予測不可能な暗号通貨取引の世界では、この言葉は特に当てはまります。

覚えておくべき重要なヒントをいくつか紹介します。

  1. ウェブサイトの URL を再確認する: クリックする前にすべてのリンクを精査してください。悪意のある人物は、正規のプラットフォームによく似た URL を持つウェブサイトを作成することがよくあります。1 つの入力ミスで、危険なフィッシング サイトに誘導される可能性があります。

  1. 迷惑メッセージに注意してください: 不明な送信者からのリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。フィッシング詐欺は、ソーシャル メディアや電子メールを通じて発生することもあります。

  2. ウォレットのセキュリティを優先します。強力なパスワードを使用し、可能な場合は常に 2 要素認証 (2FA) を有効にします。秘密鍵を他の人と共有しないでください。

Blurマーケットプレイスのフィッシング詐欺により、ユーザーはNFTで約24万ドルの損害を被ったという記事が最初にCoinfomaniaに掲載されました。