Web3セキュリティアラート - 悪意のある承認

悪意のある承認詐欺とは？

悪意のある承認は、Web3で最も蔓延し、危険で、損害を与える詐欺の1つで、無数のユーザーに影響を与えています。

Web3では、スマートコントラクトとやりとりするたびに、トランザクションに署名して特定の権限を付与するよう求められることがよくあります。以下はその例です。

● DAppのトークンへのアクセスを承認する（例：ERC-20承認）

● NFTを送金するためのコントラクト許可を付与する（setApprovalForAll）

● ログインや認証など、一見無害に見えるオンチェーンアクションを実行する

悪意のある承認詐欺は、ユーザーを騙して悪意のあるコントラクトに資産の送金許可を与えることで、これらの行為を悪用します。

主な特徴

1. ユーザーを騙して危険な権限を付与させる

詐欺師は、合法的なDApps、エアドロップ、またはNFTプロジェクトを装います。「承認」ボタンをクリックするように誘導しますが、実際には、悪意のあるコントラクトに対して「承認」（トークンアクセス）や「setApprovalForAll」（NFTアクセス）などのアクションを承認していることになります。

2. 送金していないのに資産がなくなる

送金を行ったわけではなく、「確認」をクリックしただけです。しかし、詐欺師が承認を得ると、ユーザーからのさらなる承認や署名を必要とせずに、いつでもオンチェーン関数を呼び出してウォレットから資金を抜き取れます。

3. 承認は無制限であることが多い

ほとんどの詐欺コントラクトでは、最大可能値（2^256 - 1）の承認を要求し、資産への無制限かつ永続的なアクセスを許可します。

4. コントラクトは他に何もしない

詐欺コントラクトは受動的であり、自ら積極的に資金を盗むことはありません。すべてはユーザーが自発的に承認に署名するかどうかにかかっており、これにより従来の詐欺検出と警告を回避できるようになります。

5. 誤解を招く署名プロンプト

ウォレットの承認プロンプトは、複雑すぎるか単純すぎるかのどちらかでわかりにくいことが多く、署名内容を分析するのが困難です。ほとんどのユーザーは、それが「単なる承認」であると想定し、重大なリスクが伴うことを認識せずに「確認」をクリックします。

一般的なシナリオ

1. 偽のエアドロップまたはNFTミントページ

このページでは、「期間限定エアドロップ」や「無料ミント」のキャンペーンを宣伝する場合があります。ボタンをクリックすると、USDT（Approve）またはNFT（SetApprovalForAll）の承認リクエストがトリガーされます。承認されると、詐欺師はいつでもユーザーの資産を流出させられます。

2. 偽のDEXまたはスワッププラットフォーム

Bitgetウォレットを偽のDEXに接続し、USDCを新しいトークンに交換しようとします。このサイトは実際にはスワップを開始するわけではなく、「USDCを承認」するだけです。完了すると、悪意のあるコントラクトを使用して資金が盗まれます。

3. 偽のステーキング/ファーミングまたはゲームプラットフォーム

DeFi/GameFiアプリで「トークンをステークする」または「プレイを開始する」といったように求められます。サイトではトークン/NFTの承認を求められます。プラットフォーム全体が、承認されると資産を浪費する悪質なコントラクトの表向きの場所です。

4. 合法的なプロジェクトのハッキングされたフロントエンド

ハッカーは、信頼されたプロジェクトサイトを侵害したり、DNSの記録を乗っ取ったりして、悪意のあるスクリプトを挿入し、実際のコントラクトをフィッシングコントラクトと交換します。ユーザーは正規のアプリとやり取りしていると考えていますが、実際には攻撃者にアクセス権を与えていることになります。

5. 偽の顧客サポートまたはヘルプドキュメント

コミュニティで助けを求めると、偽の「サポートエージェント」または「カスタマーサービス」がリンクを送信します。このリンクは偽のサポートページへつながり、「問題の解決」を装ってコントラクトの承認を求めますが、実際は罠です。

仕組み

悪意のある承認の基本原則は、以下のように要約できます。

この詐欺では、オンチェーン権限の仕組みに関する知識がないことが悪用されます。詐欺師は、ユーザーを騙して承認させ、ユーザーの知らないうちにユーザーの資産を掌握して盗みます。

技術の原理

悪意のある承認詐欺の典型的なワークフローは次のとおりです。

1. 詐欺師は悪意のあるコントラクトを展開します（ただし、直接送金を開始するわけではありません）。

2. ユーザーは騙されて「承認」（トークンの場合）または「setApprovalForAll」（NFTの場合）を呼び出そうとします。

3. 承認は付与されますが、資産はウォレット内に残ります。

4. その後、詐欺師は「transferFrom()」または同様の関数を使用して資金を自分のウォレットに移動します。

5. 取引は技術的に有効（ユーザーによって承認済み）であるため、ウォレットとブロックチェーンはそれをブロックしません。

Bitget Walletのセキュリティ対策

● フィッシングウェブサイトの警告：疑わしいサイトにアクセスすると、Bitget Walletは警告を表示し、知らないうちに悪意のあるコントラクトを承認してしまうことを防ぎます。

● 組み込みのコントラクトリスク検出：Bitget Walletには、既存の承認をスキャンするツールが含まれています。資産を安全に保つために、リスクの高い権限や古くなった権限を事前に確認して取り消すことができます。

身を守るためのベストプラクティス

悪意のある承認であるかを見分けるには、次の危険なサインに注意してください。

● DAppには実質的な機能はなく、何かを承認するように求めるプロンプトが表示されるだけである

● 重要な資産（USDT、ETH、NFT）へのアクセスを要求する

● 承認に制限がない（approve（uint256 max））

● ウォレットの署名ポップアップに「SetApprovalForAll: true」と表示される

● ウェブサイトがプロフェッショナルに見えない、または有名なプロジェクトを模倣している

● TelegramのDM、Twitterの返信、その他の未確認ソースからのランダムなリンクをクリックしたり、承認したりしないこと

まとめ

理解できないものには署名しないようにしましょう。取引ではない場合は、クリックする前によく考えるようにします。

日常的なユーザーの場合、スマートコントラクトの権限の承認は細心の注意を払って行う必要があります。常にセキュリティ第一の考え方を意識しましょう。「承認 = 資金の送金」です。署名する前に、すべてのコントラクト承認を精査し、再確認してください。

関連記事

Web3セキュリティアラート - SMSのなりすまし

Web3セキュリティアラート - Payzero

Web3セキュリティアラート - 高リスクトークン

Web3セキュリティアラート - 偽アプリ

Web3セキュリティアラート - 悪意のある承認