Symbioticのスキャムリンクを踏んで、滞りなくスマートコントラクトを実行。
SymbioticのXアカウントがハッキングに合っているのを3日くらい前から知りながら、そんなんとっくになおってるだろーと都合よく解釈してしまい、スキャムリンクのクリックからスマートコントラクトの実行まで滞りなく行ってしまい、資産の一部を盗まれるという被害に遭いました。この記事では、その経緯と教訓を共有し、同じような被害を防ぐための注意点をお伝えしたいと思います。
被害に遭った経緯
Symbioticへのステーキングと情報収集
私はポイントの獲得を目的に、Symbioticというプロジェクトにステーキングを行っていました。最新情報を入手するために、彼らのXアカウントをフォローしていました。SymbioticはDiscordのアカウントがないため、情報源はXのみでした。
エアドロップ界隈の盛り上がり
10月に入り、EigenLayerのSeason2のエアドロップを始め、MantleNetworkのエアドロップも準備されており、仮想通貨界隈はエアドロップで盛り上がっていました。そんな中、Symbioticも先週から「来週には大きなニュースがある」と投稿していました。Symbioticの中の人の投稿をリポストしているので、この発言は本当なんだと今でも思っていますが、中の人のアカウントもひょっとしてハッキングされていたのかな?
公式アカウントからのリンクに油断
今週になり、Symbioticの公式アカウントで「エアドロップのEligibility Checkerはこちら」という投稿がありました。間違いなく公式のアカウントであったため、私は何も疑わずにそのリンクをクリックしました。
二つのウォレットでの接続
私は二つのウォレットでSymbioticにステーキングしていたため、それぞれのウォレットにポイントがあります。二つのブラウザでスキャムリンクを開き、エアドロップの参加資格を確認するためにウォレットを接続しました。
スマートコントラクトの実行
ウォレットを接続すると、ポイントをクレームするための「Redeem」と書かれたボタンが表示されました。私は一つ目のウォレットそれをクリックし、スマートコントラクトにサインしました。
警告サインを無視
普段からRabby Walletを使用しており、黄色いアラートが表示されていました。しかし、リステーキングとかしているとこういったアラートは頻繁に表示されるため、それを無視して「Ignore All」をクリックし、コントラクトを実行してしまいました。
被害の発生
一つ目のウォレットには約2,000ドルのUniswapLPのポジションがあり、そのウォレットで最初にコントラクトを実行しました。残念ながら、このウォレットのUniswapのプールにあった資産は、コントラクトの実行と同時にスキャマーのウォレットにすべて持っていかれてしまいました。
危機一髪の二つ目のウォレット
二つ目のウォレットには12,500ドルほどのSymbioticへのステーキング残高があり、一つ目のウォレットよりもポイントが多いはずでした。しかし、表示されているポイント数が一つ目のウォレットと同じだったため、ここでようやくドメインの確認をしました。(遅い。。)
その瞬間、頭が真っ白になり、過呼吸になりそうでした。あとワンクリック遅れていたら、二つ目のメインウォレットも被害に遭っていました。
教訓と対策
常に疑う姿勢を: 公式情報であっても油断せず、リンクやドメインを必ず確認しましょう。「信頼、しかし検証」の姿勢が重要です。
警告を軽視しない: ウォレットからの警告は、私たちを守るためのものです。習慣的に無視するのではなく、一つ一つ慎重に検討しましょう。
資産の分散管理: エアドロップなど多くのプロジェクトに関わるウォレットは、メインのウォレットとは別に管理することが賢明です。これにより、被害を最小限に抑えることができます。
スマートコントラクトの威力を理解する: ちょっとしたスマートコントラクトの実行で、ウォレット内の資産が瞬時に他者の手に渡る可能性があることを肝に銘じましょう。承認する前に、常にコントラクトの内容を理解することが重要です。
この苦い経験は、私にとって貴重な学びとなりました。この記事が、同じような被害を防ぐ一助となれば幸いです。常に細心の注意を払い、安全に仮想通貨を活用していきたいと思います。。