アイスフィッシング:「ログイン」ボタンがあなたのウォレットを空にする
要約:アイスフィッシング(Ice Phishing)はパスワードを盗むのではなく、権限を盗む。悪意のあるトークン承認に署名させることで、ハッカーはあなたの資産を自由に引き出すことができる。この記事では、Approve(承認)機能とRevoke.cashの使い方を解説する。
1. 概念:承認 (Approve) vs 送金 (Transfer)
イーサリアム/EVM上では、スマートコントラクト(Uniswapなど)は、あなたが許可しない限り、あなたのトークンに触れることはできない。
対話する方法は2つある:
- 送金 (Transfer): 「ボブに10 USDT送る」。(一度きりのアクション)。
- 承認 (Approve): 「Uniswapに私のウォレットから最大1,000 USDTを使うことを許可する」。(永続的な許可)。
抜け穴: ほとんどのdAppsは、取引のたびに署名しなくて済むよう、利便性のために「無制限の承認(Unlimited Allowance)」を要求する。詐欺師はこれを悪用する。
2. 攻撃:「セキュリティアップデート」
メールを受け取るか、Twitterでリンクを見る: 「OpenSeaセキュリティアップデート:資産の損失を防ぐためにウォレットを認証してください。」
リンクをクリックする。見た目はOpenSeaとそっくりだ。
「認証(Verify)」をクリックする。
ウォレットに取引リクエストが表示される。
- 「Send ETH」とは書いていない。
- 「SetApprovalForAll」 または 「Approve WETH」 と書いてある。
- 使用者のアドレス(Spender Address)はハッカーのコントラクトだ。
罠: あなたは「ログイン」や「認証」をしていると思っている。実際には、「このハッカーがいつでも私のすべてのNFTとWETHを動かすことを許可します」 という法的文書に署名したのと同じだ。
彼らはすぐには資金を盗まない。あなたがさらに入金するのを待ち、一度にすべてを引き出す。
3. 取引の読み方
「確認(Confirm)」をクリックする前に、データ(Data) タブまたは取引シミュレーションを見てほしい。
レッドフラグ(危険信号) 🚩
- 関数: SetApprovalForAll(これはNFTコレクションの100%の支配権を渡す)。
- 関数: Approve(1.1579e+59のような巨大な数字を伴う)。
- 使用者(Spender): 未知のコントラクトアドレス(Etherscanで確認せよ。検証されているか? 「Uniswap Router」という名前か?)。
4. 修復:Revoke.cash
もし悪い承認に署名した疑いがあるなら:
- Revoke.cash にアクセスする。
- ウォレットを接続する(最初は読み取り専用モードで)。
- 未知のコントラクトに対する「無制限の承認(Unlimited Allowances)」をスキャンする。
- すぐに 取り消す (Revoke)。少額のガス代はかかるが、ハッカーとのつながりを断つことができる。
さらに詳しく: これらの「バックドア」を閉じる方法を深く知るには、隠されたバックドア に関するガイドを読んでほしい。また、自ら資金を送るように仕向ける アドレスポイズニング にも注意が必要だ。
結論
あなたのシードフレーズは金庫の鍵である。あなたの「承認」は署名権限者である。見知らぬ人に銀行口座の委任状を渡したりしないのと同じように、ランダムなウェブサイトにSetApprovalForAllを与えてはいけない。
関連記事
ロング・コン(豚の屠殺):彼らはいかにしてあなたの心と財布を盗むか
それは「間違い電話」のテキストメッセージから始まる。そして退職金の喪失で終わる。「豚の屠殺(Pig Butchering)」詐欺の心理的台本の解剖。
遊ぶ場所でトレードするな:専用クリプトデバイスのすすめ
あなたのゲーミングPCは隙だらけだ。あなたのスマホは追跡者(トラッカー)でいっぱいだ。なぜ200ドルで専用の「銀行用デバイス」を買うことが、最高の保険なのか。
隠されたバックドア:なぜ承認(Permissions)を取り消さなければならないのか
ウォレットの接続を解除したが、ハッカーはまだウォレットを空にできる。「無制限の承認」の仕組みと、デジタルバックドアをロックする方法を理解しよう。