Web3ブロックチェーンゲーム企業Limit Breakが手掛けるNFTプロジェクト「DigiDaigaku」の共同創設者Gabriel Leydon氏のTwitterアカウントが乗っ取られ、フィッシング詐欺サイトのリンクが不正投稿されたことが明らかになりました。
犯人はDigiDaigakuに関連するように見せかけたフィッシングサイトを作成し、特別な権利を与えられる限定ホワイトリストを謡ってユーザーを誘導し、詐欺サイトで悪意のあるスマートコントラクトに署名したフォロワーのウォレットからNFTや暗号資産イーサリアムを盗んだということです。
これまでにNFT数10点のほか、イーサリアム約444万円以上が盗まれたことが分かっています。その中でも最大の被害は高額NFT「Mutant Ape Yacht Club(MAYC)」で、約280万円分が売却されてしまっています。
実名で活動しているLeydon氏は個人情報を収集しつつ、スマートフォンなど通信デバイス用のSIMカードを不正にすり替える詐欺「SIMスワップ攻撃」を受けた可能性があると釈明しました。DigiDaigakuの開発会社Limit Breakで、影響を受けたユーザーを支援したいと述べる一方、犯人を追跡して告訴と損害賠償を請求する意向を示している状況です。
ツイッターアカウントが乗っ取られた経路についてLeydon氏は、米通信大手AT&Tのスタッフによる手口と主張しました。同氏によればAT&Tの店頭スタッフが詐欺から契約者を守るための「保護」プロセスに執拗に時間をかけたという胸のコメントを発表しています。しかしすでにLimit BreakからAT&Tに調査を依頼しているとの情報も入っているようです。
本件の真相は未だ定かではないものの、2018年にも似た事例が報告されています。当時、SIMスワップにより高額の暗号資産を奪われた投資家Michael Terpin氏は、セキュリティ上の確認に不備があったとしてAT&Tを提訴しました。この際に同氏は2,400万ドルの補償と2億ドルの損害賠償を要求しています。
2022年10月、Terpin氏の訴訟は20歳の暗号資産ハッカーEllis Pinsky(当時15歳)が2,200万ドルの支払いに同意したことが明らかになっています。
フィッシング詐欺を防止策とは
Digidaigakuになりすましたフィッシングサイトに設置されたスマートコントラクトは、接続したウォレット内の全ての資産に攻撃者のアドレスからアクセス可能にする「setApprovalForAll」というものが使用されています。
DeFiセキュリティに詳しいZachXBTによると、この攻撃は「Monkey Drainer」として知られる手口に似ているということです。Monkey Drainerは10月下旬にNFTユーザーを対象としたフィッシングサイトを通じて約1億6,000万円を流出させたことで業界を震撼させました。
有利なセールなどにいち早く参加したいと考える投資家は、コントラクトの内容を確認しない、あるいは確認の仕方が分からない場合があるため詐欺の被害は後を絶たないと言います。
最近では、怪しいコントラクトを検出してアラートを発出するウェブブラウザ拡張機能(エクステンション)「Pocket Universe」が、有識者の間で一定の信頼を獲得しています。
Pocket Universeはユーザーがコントラクトをクリックした時点で、ブロックチェーンのフォーク版でトランザクションをシミュレートし、その安全性をチェックする。Pocket Universeの警告についてユーザーが承認すると、正当なブロックチェーンにトランザクションが送信される仕組みです。
多くの悪質なトランザクションが制御されているとの報告もあるものの、本物のサイトがブロックされるケースも存在し、最終的にはユーザーの責任でアクセスするコントラクトや投入する資金量を判断する必要があるのです。
必要以上にdAppsにアクセスを許可したり、新しいプラットフォームを試すために不必要なリスクを負うことは避けるようにしましょう。