暗号資産の詐欺・ハッキング事例まとめ

暗号資産の詐欺・ハッキングは
「秘密鍵を騙し取る」パターン
「暗号資産を騙し取る」パターン
の2種類に大別されます。

それぞれのパターンについて、実例を交えながら手口を紹介していきます

「秘密鍵」を騙し取る詐欺の手口

秘密鍵を抜き取るパターン

A. クラウドサービスに保管してて、パスワード流出でログインされて抜かれる

Evernoteなどのクラウドサービスに秘密鍵を保管していたら、クラウドサービスへのハッキングにより情報が流出してしまうパターン

“100年企業”を標榜する エバーノートを襲った情報流出騒ぎ

対策：秘密鍵は「クラウド」に保管しない
二段階認証を設定する、パスキーを設定する以前に、クラウドに保管すること自体がNG

ウイルスソフトで抜き取るパターン

【A】ゲームのβテストROMと称してウイルスソフトをインストールさせてくるパターン

I would like to rise the awareness about new sophisticated ways of #CRYPTOSCAMS ⚠️

Last week, a Community Manager from a new Play2Earn game (with a verified Twitter account - removed already) approached me. The game was in its beta testing phase, and he offered me the chance to… https://t.co/hBt50Ovcp2 pic.twitter.com/7CB0EtigV2

— Michal Lewicz (@LewiczMichal) September 7, 2023

【B】インタビュー依頼時に翻訳機能付きミーティングソフトと称してウイルスソフトをインストールさせてくるパターン

資金全部抜かれました
完全にやられました
「インタビューをする」という名目で色々やり取りし最後に「vorion」というミーティングアプリをダウンロードしてしまい10個以上のウォレットに分散してた資産全部抜かれました
metamask
phantomなど
抜かれた時間帯からしてほぼ間違いないです… pic.twitter.com/DwjEXTeTR9

— Grypto 初代メタバース観光大使＆新潟PR仮想通貨アクティビスト (@g_resident) May 11, 2024

【対策】DMでくる案件を信じない。ソフト（特にexeファイル）をインストールしない。

• discordでは基本的にDM送信を無効にする。

• 案件を受ける際も、ファイル名を工夫して一見exeファイルに見えなくようにする手口もあるので、とにかくファイルのインストールは最大限警戒する

【C】日本語翻訳やコンテンツ制作の報酬支払いのために必要なツールと称してウイルスソフトをインストールさせてくるパターン

しかし、詐欺師は違います。

なぜかここでwebページからランチャーをダウンロードしてそこからサインアップしないと報酬がもらえない仕組みになっていました。

ここがこの詐欺の肝なのです。

いかに自然な流れで悪意のあるダウンロードをさせるか。

ここに詐欺師の知能の全てが詰まっています。 pic.twitter.com/DK4ortjaOb

— noob botter (@noobbotter3) October 18, 2022

秘密鍵を聞き出すパターン

サポートの振りをして聞き出す

【A】メタマスクのサポートと偽ってメールやDMでのやり取りで秘密を聞き出す

Xで「メタマスクの操作方法が分からない、助けて！」等と投稿すると、「サポートはこちらです！」と偽のサポートリンクを送ってくる輩がいます。

最初はメタマスクのサポートそのものになりすましてたのですが、最近は「私も同じようなことで困ってましたがここに連絡したら解決しました（偽リンク）」と第三者を装って紹介するようになってきました

どうやら「MetaMask」や「メタマスク」という単語を含めた投稿を手当たり次第追っているようです。偽のサポートは言葉巧みに秘密鍵を聞き出してきます。

メタマスク関連のポストすると「サポートに連絡してみましたか？」みたいなリプがすげえ来るんだけど、これほぼ詐欺かフィッシング。
記載のメールアドレスにメールしたりリプライに返信してはいけない。
だいたいさっきのポストは
「受け取れましたうれぴー！！」
って内容なのにｗクソウザｗｗｗｗ pic.twitter.com/IRaEDCc7Iy

— maochao (@gamble_maochao) November 3, 2024

暗号資産にこなれた人なら秘密鍵を渡すことの危険性は理解していますが、始めたての人はサポートを信じて秘密鍵を教えてしまいます。そうすると突然連絡がつかなくなり、資産をごっそり抜かれてしまうわけです。

【B】ゲームのサポートと偽ってDMで聞き出す

メタマスクの手口と同様にゲームの公式サポートを装い同じように秘密鍵を聞き出してくる手口もあります。

【対策】DMは信じない。公式がDMを飛ばすことはまずありません。

フィッシングサイトで聞き出す手口

誘導の手口たくさんあるのでリストアップします

【A】DMでエアドロ当選の連絡と併せて受取のためのサイトと称してフィッシングサイトに誘導し、賞金受取のために秘密鍵を入力させてくるパターン

【B】運営の投稿に続ける形で「アイコンなし」「名前：'"."」のアカウントで投稿。あたかも運営の投稿の続きであるかのように虚偽のエアドロキャンペーンの告知とフィッシングサイトのURLを貼るパターン

【C】招待期限が切れているcoingeckoやXのDiscordサーバURLと全く同じURLを取得して公式アカウントのサーバ遷移先を詐欺サーバにすり替えて虚偽のエアドロ告知&フィッシングサイトへの誘導を行うパターン

【D】24時間限定でDiscordサーバ招待の開放キャンペーンをしているプロジェクトで、招待期限切れた瞬間に同じ招待IDで招待コード発行してなりすます手口

【E】インフルエンサーのXの投稿に、本人になりすましてサロンの入会URLと称しフィッシングサイトへ誘導するパターン（本人をブロックすることで本人アカウントから表示されないようにする手口が流行したためXの仕様が変更された） 

Ankr's RPC now supports Avail! This means developers can save time on setting up, calibrating, and fixing nodes.

To know more about the partnership and how Ankr could help you, read - https://t.co/Ctxtx8HebH https://t.co/GXMFYlDSiY

— Avail (@AvailProject) May 13, 2024

【F】Google検索のスポンサー枠にフィッシングサイトが掲載されるパターン

【G】Xの広告枠にエアドロリンクと称してフィッシングサイトのリンクを掲載するパターン

【H】インフルエンサーのポストに、「この投資家の情報が有益！」とリプライで宣伝し、該当アカウントのポストからLINEグループやフィッシングサイトに誘導する手口

最近、たまたまこの投資家@akmalmohd95のことを見つけて、

しばらく見ていたら、毎日いい銘柄を紹介している。
P
1ヶ月で89万円儲かりました。#日本株

彼と一緒に富の自由を手に入れたいです。

— Vincent Miller (@VincentMil58390) December 26, 2024

【対策】エアドロに飛びつかない、承認内容を都度確認するか、セキュリティソフトを入れる

「暗号資産」を騙し取る詐欺の手口

オファーや送金先を誤認させるパターン

【A】オファーの暗号資産を別通貨でオファーする手口

マーケットプレイスでNFTの購入オファーをする際に、通貨を変更できることを利用した手口。FTがあまり多様ではなかった2019年ごろに少し流行った手口で【10 ETH】ではなく【10 DAI】でオファーして「10 ETH」と誤認させるなど

【B】ウォレットアドレスのコピペミスを狙う手口

ウォレットアドレスの先頭と末尾が一致してる別アドレスに暗号資産を送金することで、あたかも本人のアドレスかのように誤認させてアドレス取得の際のコピペミスを誘発させるパターン。通称Address Poisoning

A new scam called 'Address Poisoning' is on the rise. Here's how it works: after you send a normal transaction, the scammer sends a $0 token txn, 'poisoning' the txn history. (1/3)

— MetaMask Support (@MetaMaskSupport) January 11, 2023

【悲報】アドレス「5LbwC1ewY3…SCQL8j7EWc」が、2日前にSolanaで発生したアドレスポイズニング攻撃により、誤ってハッカーのアドレスに約4.5億円相当を送金し、全額失う😭 https://t.co/LiTwpyWQAf pic.twitter.com/yHP1pvrTii

— SOU⚡️仮想通貨 / ビットコイン (@SOU_BTC) November 25, 2024

【C】（ウイルスに感染させた上で）ウォレットアドレスを書き換えて誤送信を狙う手口

Ginco✕DMMビットコインで発生した手口

先に入金させて雲隠れするパターン

【A】プレセールでNFT売った後に垢消しして雲隠れパターン

ブロックチェーンゲーム黎明期に非常に多かったパターン。今でも普通にある。NFTのプレセールはお得感を出してきますがそれ以上のリスクが有ることをお忘れなく。

【B】信用取引で先に送金させてからNFTを送らずに雲隠れするパターン

マーケットプレイスの手数料を嫌って直接ユーザ間でNFTを取引する文化が一部のゲーム（マイクリなど）にありますが、それを狙ってトンズラするパターンです。信用取引は信用できる相手としましょう。

SetApprovalforAllを承認させて抜き取るパターン

【A】先着順と煽って急いで買わせる手口

「NFTを非公開で先着1,000個限定で販売してたけど売れ残ったから少数を公開販売します！」などと告知して購入ページでSetApprovalforAllさせるパターン
（先着順にすることて承認内容をチェックする間を与えない）

プロジェクト自体をハッキングする手口

ハッキングは個人ではなくプロジェクトの脆弱性の問題なので個人じゃ防ぎようがないので参考情報

ブリッジのハッキングで流動性のプール全部抜かれるパターン

12の単語（シークレットリカバリーフレーズ）をスクショしたら駄目な理由⇒画像を全て読み取られる

その他にも身の毛もよだつ手口が

・ウォレットアプリ起動を検知して先に起動
・取引所からの送金先に詐欺ウォレットアドレスを貼り付けたうえで、ウェブサイトに正しいアドレスをオーバーレイ表示…

— ヒヨコロ@DeFi×FP (@hiyo2025) May 13, 2024

詐欺とかハッキングとかじゃないけどユーザフレンドリーでない事例

• Zkasino：流動性提供されたETH全部草コインにしちゃうパターン

備忘録: 話題になってるZKasinoの3行まとめ

1) 「ブリッジ・トゥ・アーン」プログラムで人々に ETH をブリッジしてもらいます。
2) ブリッジされたすべての ETH を 1:1 で返却することを約束します。
3) 事前の同意なしに、ブリッジされたすべての ETH を独自の価値のないガス… https://t.co/NkNGpWOWWn

— くりぷとべあー🍻 (@cryptoo_bear) April 21, 2024

ZKazinoの一件まとめを見たが、なるほどこれは酷い。

◈直近の出来事
・$33M相当のETHを勝手に市場価格の倍の価格でVestingつきで $ZKAS に交換。受け取ったETHは現在Lidoで運用中
・もともとETHは返すよう記載されていたが、”もともとはそうだったが方針が変更した”らしい(メンバー曰く)… https://t.co/V9ulrBN4m4

— やす@暗号通貨 | Oasys🏝 (@yas_crypto) April 23, 2024

Discordでよくある詐欺事例

暗号資産界隈では交流ツールにDiscordが良く使用されます。
Discordでは「公式を装った詐欺」が毎日のように発生します。
整備されたサーバーではスパム対策のMODを導入していて詐欺と思われる投稿を自動削除したり該当ユーザをBANしたりして対策を講じています。

プレゼントキャンペーンを装ってフィッシングサイトに誘導

以下はスクエア・エニックスのBCGタイトル「SYMBIOGENESIS」で稼働しているスパム対策MODが検知したスパム投稿の例です。

「SYMBIOGENESISは◯◯と提携したよ！記念にトークンをプレゼントするから以下URLからトークンを請求してね！」
というお約束な文章でプレゼントページに見せかけたフィッシングサイトに誘導する手口です。

実際にこうしたコラボ記念キャンペーンが開催されることも珍しくはなく、そうしたキャンペーンで美味しい思いを体験したことがあるユーザほど機を逃すまいと引っかかってしまう可能性があります。

◯日限定！先着◯名まで！など考える時間を与えない煽り文句をつけるのも常套手段です。「早く申請しなくちゃ！」と事実確認を十分にせずに申し込んでしまうのは危険です。

他にも、アイコンや名前を変えて運営になりすましたり、アイコンを背景に同化させて運営の投稿の直後にプレゼントキャンペーンの告知を投稿することであたかも運営の公式発言であるかのように見せるなどのテクニックを駆使しあの手この手で引っ掛けてきます。

怪しい、怪しくないに限らずプレゼント企画（AirDropともいう）は最大限警戒しましょう。

案件に誘導してウイルスソフトをインストールさせる手口

• 「ゲームのベータテスターを募集しています。報酬は＄◯。興味がある人はDMください」

• 「海外ゲームの日本語翻訳ができる方を探しています。報酬は＄◯。DMください」

という「美味しい仕事ありますよ」と誘導してゲームのソフトと偽ってトロイの木馬入りのウイルスソフトをインストールさせてくるケースも一般的です。

日々ゲームを発信しているインフルエンサーや有名なゲーマーの方なら実際に受けることが多いであろうオファーですし、実際にあり得るラインの金額なので本物だと思って引っかかってしまう可能性はあります。

また、こうした投稿を直接DMで送ってくるパターンもあるので、Discordのサーバ設定でダイレクトメッセージの送信は不許可にするのが無難です。

有効期限が切れた招待リンクを乗っ取り詐欺サーバに誘導する

これは筆者が思わず「なるほど！」と思った詐欺事例です。

Discordの招待リンクはデフォルトで7日間の有効期限があります。
設定次第で無期限にもできるのですが、これを失念して有効期限切れのリンクを公式サイトに掲載したままにしているプロジェクトをたまに見かけます。

詐欺師はこの仕様に目をつけます。Discordの招待リンクのURLはカスタマイズが可能なので、「公式サイトに掲載されている有効期限切れのURLと同じURLにカスタマイズ」をすることで公式サイトの掲載URLから自身が作成した偽のDiscordサーバに飛ばすことができます。

あとは偽のDiscordサーバを本物っぽく調整して、公式っぽくプレゼントキャンペーンなどの宣伝をすることで本物だと信じたユーザをフィッシングサイトに誘導することができます。

実際に発生した事例を紹介します。

• ① 2022年3月にジュエリーブランドのTiffanyが公式アカウントでアーティストのTom SachsとNFTアートに関するパートナーシップを締結したことを当時のTwitterにツイートし、同氏のアカウント（@tom_sachs）をメンションした

• ② Tom氏のTwitterプロフィールには自身が運営するDiscordサーバーの招待リンクが掲載されていた

• ③ 招待リンクからDiscordサーバーに入ると「今サーバーに入ってくれた人たち限定で1 ETHのプレゼントキャンペーンを実施中！上記リンクから認証手続きしてね！」とキャンペーンの案内が表示される

• ④ 案内通り手続きを進めようとするとシードフレーズや秘密鍵の入力を迫られる

この詐欺の巧妙なところは
・①も②も本物であること
・Discordへの加入を宣伝しているわけでなく、「Tiffanyと提携したアーティストのDiscordサーバに入ったら何かおいしい情報があるかもしれない」と情報感度が高くて目ざといユーザを狙っていること
です。

掲載されている場所は本物なのにリンク先が偽物のケースなんてどうやって見分けるんだ！と正直思いましたが偽物だろうと本物だろうと「プレゼントキャンペーンなどの甘い話には安易に乗らない」ことが大切です。

他にも毎日にように手口が更新（巧妙化）されているのでXで情報見かけ次第随時更新していきます