NFTのセキュリティ対策については、以前でも何回か記事で紹介しました。
最近になって、NFTの盗難事故がますます増えています。
今回は、自分NFTが盗まれそうな経験を皆さんにシェアします。
まず、イケハヤさんのTwitterをご覧ください。
「ツイッターで流れてくるmintサイトは詐欺」です!
とのことです。
実は、この間、偽のMintサイトにアクセスしてしまって、危うくNFT盗難に遭うところでした。
今回は、自分の経験をシェアして、少しでも皆さんに役に立てればと思います。
偽のMintサイトまでアクセスした経緯
NFT盗難されそうになった時の流れ
- Twitterの通知でタグ付けされたことに気づく。エアドロップ(AirDrop)という情報を目にする。
- Twitterのプロジェクト(NEN STUDIO)アカウント(後でニセモノだと分かった)を開いて、そこに掲載されるMintサイトにアクセスする。
- 偽Mintサイトに自分のMetamask(メタマスク)財布を接続する。
- 承認(SetApprovalForAll)をしようとするところで、一度立ち止まる。
- もう一度Mintサイトを確認して、異変を気づく。
- もう一度Twitterのアカウントを確認して、偽アカと初めて気づく。
Twitterのニセモノのプロジェクト(NEN STUDIO)アカウントにアクセスしてしまった。
いきなりですが、クイズです。
以下の2枚の写真(Twitterアカウントトップ画面)から、その違いは何でしょうか?
1枚目:
2枚目:
ぱっと見、どれも一緒ですよね。でもちょっとだけ違うところがありますね。
フォロワー数とか、ツイート数とか。。
では、
1枚目と2枚目、どれが本物でしょうか?
ええと~
1枚目だと思います!!
フォロワー数が多いですし、アカウントが作られた時期は早いですね。公式リンクもプロジェクトの名前そのものだから、なので、1枚目が本物です!!
実は、1枚目がニセモノで、2枚目のアカウントが本物なんです!
え?!
何で!!??
そうなんです。実は私も最初にニセモノに気づけなくて、さらに偽Mintサイトまでアクセスしてしまいました。
Twitterアカウントの分析については、後でするとして、まず偽Mintサイトを見てみましょう。
偽アカウントで掲載された偽Mintサイトにアクセスしてしまった。
最初に、偽Twitterカウントを気づいていなかったため、最新ツイートで表示されるエアドロップ情報のMintサイトをクリックしてしまいました。
ニセモノのページはこちら:nen-syudios.com
現在でもアクセス可能ですが、間違って絶対アクセスしないでくださいね!
スクリーンショットを撮りましたので、下の図をご覧ください。
結構クオリティが高いと思います。一見してニセモノには見えないのです。
ここに「CONNECT WALLET」をクリックして、Metamask(メタマスク)をつなぐと、承認(SetApprovalForAll)※ということを求められます。
※承認(SetApprovalForAll)については、以前の記事で紹介しています。
「SetApprovalForAll」に敏感すぎる私にとっては、ようやくここで踏みとどまりました。
そのあと、このMintサイトを詳しくみたら、異変を気づきました。
偽Mintサイトの異変を気づく
Mint中の数字がどんどん上がっていき、いかにもたくさんの人がMintしていますよ、と演出しています。(上図数字 564/1000 Claimedの部分)
よ~く見たら、なんと数字が3ずつ機械的に上がっているだけで、981で止まりました。(以下の15秒ほど動画をご覧ください。)
偽のTwitterアカウントを気づく
これで元のTwitterアカウントを再度確認。本物のサイト(昔からフォローしていた)と比較して、もう少し詳しく確認してみました。
最初にお見せした1枚目と2枚目の画像を使って、Twitterアカウントのトップページを比較してみると、主に8か所の違いがありました。
下で1つずつ分析してみます。
- ツイート数が違います。ニセモノ(左)の49件に対して、本物(右)は998件です。
- TwitterのIDが若干違います。というか、ニセモノが小文字とかを駆使して、本物っぽくしています。これの項目だけでは、絶対見分けられません。
- 公式リンクですが、ニセモノがプロジェクトの名前そのものを利用して、偽ページを作っています。本物のリンクを見るだけでは、あまり分からないというか、逆にニセモノっぽく感じてしまいます。
- 私はニセモノをフォローしていなく、本物を昔からフォローしています。これだけでも判断できません。
- Twitterのアカウント開設日ですが、ニセモノがより早く開設しています。これはおそらく闇サイトで買ったアカウントだと思われます。
- フォロワー数も、ニセモノのほうが多いです。これもおそらくお金を払えば、フォロワー数を増やせるので、偽装できます。
- ここは重要な見分けポイントかもしれません。知っている人が本物をフォローしています。(イケハヤさんも)
- 最新のツイートや固定ツイートを見ても基本わからないです。エンゲジメント(いいね数とリツイート)も偽造できます。
確かに、②、③、⑤の項目だけ見たら、1枚目のアカウントが本物だと思ってしまいますが、全体的に見ると、おかしいのところがたくさんあると分かってきます。
上の8項目を単独で判断するのではなく、総合的に確認することをお勧めします。
ちなみに、本物のNEN STUDIOのアカウントからは、早くも偽アカウントを名指しで注意喚起しました。
Twitterで偽アカウント、偽サイトを判断するポイント
偽アカウント、偽サイトを判断するポイント
- Twitterでタグ付けされて、お得情報があってもすぐに飛びつかない。
- 当選のDMは、99%が詐欺。
- 公式と思われるTwitterアカウントでもよく確認する。
- サイトで「SetApprovalForAll」が出たら、基本的に承認しない。一度キャンセルをして、何度も確認する。
NFTセキュリティ対策については、Twitterで対策するだけではなく、様々な場面でも気を付けないといけません。
以前まとめたセキュリティ対策に関する記事をぜひご覧ください。
