新しいサイクルに入ると、ユーザーのアクティビティが増加するにつれて、オンチェーンのインタラクションリスクがますますさらされるようになります。フィッシング詐欺師は通常、偽のウォレット Web サイト、ソーシャル メディア アカウントの盗用、悪意のあるブラウザ プラグインの作成、フィッシングメールや情報の送信、偽のアプリケーションの公開などの方法を使用して、ユーザーに機密情報の漏洩を誘導し、資産の損失につながります。性別、複雑さ、匿名性などの多様な特徴。
たとえば、フィッシング詐欺師は通常、正規のウォレット Web サイトに似た偽 Web サイトを作成し、ユーザーを騙して秘密キーやニーモニック フレーズを入力させます。これらの偽 Web サイトは通常、ソーシャル メディア、電子メール、または広告を使用して宣伝され、ユーザーに正規のアクセスであると誤解させます。ユーザーの資産を盗むウォレットサービス。さらに、フィッシング詐欺師は、ソーシャル メディア プラットフォーム、フォーラム、またはインスタント メッセージング アプリケーションを使用して、ウォレットのカスタマー サービスやコミュニティの管理者になりすましてユーザーに偽のメッセージを送信し、ウォレット情報や秘密鍵の提供を求める可能性があり、この手口はユーザーを利用します。役人に対して個人情報の漏洩を誘導するなど。
これらの事例を総合すると、フィッシングが Web3 ウォレット ユーザーにもたらす脅威が浮き彫りになります。ユーザーが Web3 ウォレットを使用する際のセキュリティ意識を向上させ、資産を損失から守るために、OKX Web3 は、綿密なコミュニティ調査を実施し、多くの Web3 ウォレット ユーザーが遭遇したフィッシング事件を収集し、それによってユーザーが最も頻繁に遭遇する 4 つの典型的なフィッシング シナリオを抽出し、さまざまなシナリオで細分化されたケースを通じてグラフィックとテキストのケースを組み合わせて使用しました。参考のために、Web3 ユーザーが安全なトランザクションを実行する方法に関する最新のガイドを作成しました。
悪意のある情報源
1. 人気プロジェクトへの Twitter の返信
人気プロジェクト Twitter 経由で返信する はい悪意のある情報の主な侵入経路の 1 つとして、フィッシング Twitter アカウントは、ロゴ、名前、認証マークなどが公式アカウントとまったく同じである場合があり、フォロワー数さえ数十 K 人になる場合があります。この 2 つを区別できるのは次のとおりです。Twitter ハンドル (似た文字に注意してください)、目を離さないでください。
また、多くの場合、偽アカウントは公式ツイートに意図的に返信しますが、その返信にはフィッシングリンクが含まれており、ユーザーに公式リンクだと思わせて騙されやすくなります。現在、一部の公式アカウントでは、ツイートの終わりのツイートを追加して、後続の返信でフィッシング リンクの可能性があるリスクを防ぐようユーザーに注意を促しています。
2.公式Twitter/Discordを盗む
フィッシング詐欺師は信頼性を高めるために、プロジェクトパーティやKOLの公式Twitter/Discordを盗み、正式名でフィッシングリンクを公開するため、多くのユーザーが簡単に騙されてしまいます。たとえば、Vitalik の Twitter アカウントと TON プロジェクトの公式 Twitter アカウントが盗まれ、フィッシング詐欺師はその機会を利用して虚偽の情報やフィッシング リンクを公開しました。
3. Google検索広告
フィッシング詐欺師は、Google 検索広告を利用して悪意のあるリンクを投稿することがあります。ユーザーのブラウザに表示される名前は正式なドメイン名のように見えますが、クリック後にジャンプするリンクはフィッシング リンクです。
4. 偽のアプリケーション
釣り人も通りますユーザーを誘惑する偽アプリ。たとえば、ユーザーがダウンロードするときフィッシング詐欺師が投稿した偽のウォレットをインストールすると、秘密鍵の漏洩や資産の損失につながる可能性があります。一部のフィッシング詐欺師は Telegram インストール パッケージを変更し、それによってトークンを送受信するためのオンチェーン アドレスを変更し、その結果、ユーザー資産が失われます。
5. 対策: OKX Web3 ウォレットはフィッシングリンクの検出とリスクリマインダーをサポートしています
現在、OKX Web3 ウォレットは、ユーザーが上記の問題に適切に対処できるよう、フィッシング リンクの検出とリスク リマインダーをサポートしています。たとえば、ユーザーがブラウザを使用して OKX Web3 プラグイン ウォレット経由で Web サイトにアクセスするとき、ドメイン名が既知の悪意のあるドメイン名である場合は、できるだけ早くアラートを受け取ります。さらに、ユーザーが OKX Web3 APP を使用して Discover インターフェイスでサードパーティ DAPP にアクセスする場合、OKX Web3 ウォレットはドメイン名のリスク検出を自動的に実行し、悪意のあるドメイン名の場合は傍受リマインダーが表示されます。が発行され、ユーザーはアクセスが禁止されます。
ウォレットの秘密キーのセキュリティ
1. プロジェクトの対話または資格の検証を実施する
フィッシング詐欺師は、ユーザーがプロジェクトを操作しているときや資格を確認しているときに、自分自身をプラグイン ウォレットのポップアップ ページやその他の Web ページに偽装し、ユーザーにニーモニック フレーズや秘密キーの入力を求めます。この種の Web サイトは一般に悪意があり、ユーザーは次のことを行う必要があります。警戒心を高めてください。
2. プロジェクト パーティのカスタマー サービスまたは管理者になりすます
フィッシング詐欺師は多くの場合、プロジェクト カスタマー サービスや Discord 管理者になりすまして、ユーザーにニーモニック フレーズや秘密キーを入力するための URL を提供します。この場合、相手はフィッシング詐欺師です。
3. ニーモニックフレーズ/秘密鍵の漏洩のその他の考えられる経路
ユーザーニーモニックワードや秘密鍵が漏洩する方法は数多く考えられます。一般的なものには、トロイの木馬ウイルス ソフトウェアが埋め込まれたコンピュータ、身の毛がよだつような指紋ブラウザを使用するコンピュータ、リモート コントロールやプロキシ ツールを使用するコンピュータ、フォト アルバムを保存するためにスクリーンショットを撮るニーモニック ワードや秘密キーが含まれますが、ユーザーによってクラウドにアップロードおよびバックアップされます。しかし、クラウド プラットフォームが侵入され、ニーモニック フレーズ/秘密キーの入力プロセスが監視され、周囲の人々がニーモニック フレーズの秘密キー ファイル/紙を物理的に入手し、開発者が秘密キーを含むコードを Github にプッシュしました。等
つまり、ウォレット資産のセキュリティをより確実にするために、ユーザーはニーモニックワード/秘密キーを安全に保存して使用する必要があります。たとえば、分散型セルフホスト型ウォレットとして、OKX Web3 ウォレットは、iCloud/Google Drive クラウド、手動、ハードウェア、その他のニーモニック/秘密キーのバックアップ方法で利用できるようになり、市場で最も包括的な秘密キーのバックアップ方法に成長しました。ウォレットは、ユーザーに秘密鍵を保存するためのより安全な方法を提供します。ユーザーの秘密鍵が盗まれる問題に関しては、OKX Web3 ウォレットは、Ledger、Keystone、Onekey などの比較的包括的な主流のハードウェア ウォレット機能をサポートしており、ハードウェア ウォレットの秘密鍵はハードウェア ウォレット デバイスに保存され、ユーザーによって管理されます。それによって資産のセキュリティが確保されます。つまり、OKX Web3ウォレットを使用すると、ユーザーはハードウェアウォレットを通じて資産を安全に管理できると同時に、オンチェーントークントランザクション、NFTマーケット、およびさまざまなdAppプロジェクトのインタラクションに自由に参加できます。さらに、OKX Web3 ウォレットは、ユーザーが秘密キーの問題をさらに簡素化できるように、MPC 秘密キーレス ウォレットと AA スマート コントラクト ウォレットを開始しました。
4つの古典的な釣りシーン
シナリオ 1. メインチェーンのトークンを盗む
フィッシング詐欺師は、悪意のあるコントラクト関数に Claim や SeurityUpdate などの誤解を招く名前を付けることがよくありますが、実際の関数ロジックは空であるため、ユーザーのメイン チェーン トークンのみが転送されます。現在、OKX Web3 ウォレットは、トランザクションがチェーンにアップロードされた後に資産と承認の変更を表示するトランザクション実行前機能を開始し、それによってユーザーにセキュリティへの注意をさらに喚起します。さらに、その対話型契約または許可されたアドレスが既知の悪意のあるアドレスである場合、赤色のセキュリティ リマインダーが発行されます。
シナリオ 2. 同様のアドレスで転送する
大量の転送が検出されると、フィッシング詐欺師は、アドレス衝突により受信アドレスと同じ最初の数桁のアドレスを生成したり、transferFrom を使用して 0 の金額を転送したり、偽の USDT を使用して一定の金額を転送したりして、ネットワークを汚染します。ユーザーの取引履歴を調べ、ユーザーがフォローアップすることを期待しているため、転送により取引履歴から間違ったアドレスがコピーされ、詐欺が完了します。
https://www.oklink.com/cn/trx/address/TT3irZR6gVL1ncCLXH3PwQkRXUjFpa9itX/token-transfer
https://tronscan.org/#/transaction/27147fd55e85bd29af31c00e3d878bc727194a377bec98313a79c8ef42462e5f
シナリオ 3. オンチェーン認証
通常、フィッシング詐欺師はユーザーに、approve/increaseAllowance/decreaseAllowance/setApprovalForAll トランザクションに署名するよう誘導し、Create 2 を使用してアップグレードして事前に計算された新しいアドレスを生成し、セキュリティ検出をバイパスして、ユーザーの認証を欺きます。 OKX Web3 Wallet は、承認されたトランザクションに対してセキュリティ リマインダーを発行します。ユーザーは、このトランザクションが承認関連のトランザクションであることに注意し、リスクを認識することをお勧めします。また、取引承認アドレスが既知の悪意のあるアドレスの場合は赤色のメッセージが表示され、ユーザーがだまされることを防ぎます。
シナリオ 4. オフチェーン署名
オンチェーン認証に加えて、フィッシング詐欺師はユーザーにオフチェーンへの署名を誘導することによってもフィッシングを行います。たとえば、ERC 20 トークン認証を使用すると、ユーザーは別のアドレスまたは契約に特定の金額を認証できます。認証されたアドレスは、transferFrom を通じてユーザー資産を転送できます。フィッシング詐欺師は、この機能を使用して詐欺を行います。 OKX Web3ウォレットでは現在、こうしたシナリオを想定したリスク警告機能の開発を進めており、ユーザーがオフライン署名を行う際、署名認可アドレスを解析することで、既知の悪意のあるアドレスにヒットした場合に、ユーザーにリスク警告を発する。
その他の釣りシーン
シナリオ 5. TRON アカウントの権限
このタイプのシナリオは比較的抽象的であり、通常、フィッシング詐欺師は次の方法でユーザーを取得します。TRON アカウントの資産を管理する権限。 TRON アカウントの権限設定は EOS に似ており、所有者権限とアクティブ権限に分かれており、権限制御用に同様のマルチ署名形式で設定できます。次の権限は、所有者のしきい値を 2 に設定し、2 つのアドレスの重みは 1 です。それぞれ と 2 であり、最初のアドレスはユーザーです。アドレスの重みは 1 であり、アカウントを単独で操作することはできません。
https://tronscan.org/#/wallet/permissions
https://www.oklink.com/trx/tx/1fe56345873425cf93e6d9a1f0bf2b91846d30ca7a93080a2ad69de77de5e45f
シナリオ 6. Solana トークンとアカウント権限
フィッシング詐欺師は、SetAuthroity を通じてトークン ATA アカウントの所有権を変更します。これは、トークンを新しい所有者アドレスに転送することと同じです。この手口でユーザーがフィッシングされると、フィッシング相手などに資産が譲渡されてしまいます。さらに、ユーザーが割り当てトランザクションに署名すると、通常のアカウントの所有者がシステム プログラムから悪意のある契約に変更されます。
シナリオ 7.EigenLayer が queueWithdrawal を呼び出す
プロトコル自体の設計メカニズムなどの問題により、フィッシング詐欺師にも簡単に悪用されてしまいます。 Ethereum ベースのミドルウェア プロトコルである EigenLayer の queueWithdrawal 呼び出しでは、他のアドレスを引き出し者として指定することができ、ユーザーはフィッシングによってトランザクションに署名するよう仕向けられました。 7 日後、指定されたアドレスは、completeQueuedWithdrawal を通じてユーザーの質入資産を取得します。
安全を第一に、チェーンで世界を探検しましょう
Web3 ウォレットの安全な使用は資産を保護するための重要な手段であり、ユーザーは潜在的なリスクや脅威から守るための実際的な予防措置を講じる必要があります。業界で有名でセキュリティ監査を受けた OKX Web3 ウォレットを選択して、チェーン上の世界をより安全かつ便利に探索できます。
業界で最も先進的かつ包括的なウォレットとして、OKX Web3 ウォレットは完全に分散化され自己ホストされており、ユーザーはワンストップでオンチェーン アプリケーションを操作できます。現在、85 以上のパブリック チェーンと、アプリの 3 つのターミナルをサポートしています。プラグインとWebページは統合されており、ウォレット、DEX、DeFi、NFT市場、DApp探索を含む5つの主要セクターをカバーし、Ordinals市場、MPCおよびAAスマートコントラクトウォレット、ガス交換、ハードウェアウォレットへの接続などをサポートしています。さらに、ユーザーは、秘密キーとニーモニックフレーズを安全に保護し、ウォレットアプリとオペレーティングシステムを定期的に更新し、リンクと情報を慎重に扱い、多要素認証機能を有効にすることで、ウォレットのセキュリティを強化できます。
つまり、オンチェーンの世界では、資産のセキュリティが何よりも重要です。
ユーザーは次の 3 つの Web3 セキュリティ ルールを覚えておく必要があります。どの Web ページにもニーモニック ワード/秘密キーを入力しない、ウォレット取引インターフェイスの確認ボタンをクリックするときに注意する、Twitter/Discord/検索エンジンから取得したリンクはフィッシングの可能性があります。リンク。
