フィッシング攻撃とは
フィッシング攻撃(Phishing Attack)は、正規のサービスを装った偽サイトや偽メッセージでユーザーを騙し、秘密鍵やシードフレーズ、ウォレットの承認権限などを盗み取る詐欺手法です。暗号資産業界では最も一般的な攻撃手法のひとつで、被害額は年間数億ドルに達します。
暗号資産でのフィッシング手法
代表的な手法として、偽のDApp接続サイト(URL微妙に異なる)、X(Twitter)やDiscordでの偽エアドロップ・ミントリンク、悪意あるトークンApproval(承認)の誘導、偽カスタマーサポートによるDM、検索エンジンの広告枠に出稿された偽サイトなどがあります。
Approval(承認)フィッシング
特に危険なのがApprovalフィッシングです。偽サイトがトークンの無制限Approve(承認)を要求し、ユーザーがウォレットで承認してしまうと、攻撃者はいつでもそのトークンを引き出すことができます。この手法は秘密鍵を直接盗まなくても資産を奪取できるため、気づきにくいのが特徴です。
アドレスポイズニング
アドレスポイズニングは、ターゲットの取引履歴に似たアドレスから少額を送金し、被害者が履歴からコピー&ペーストする際に偽アドレスに送金させる手法です。アドレスの先頭と末尾が同じに見えるアドレスを生成するツールが使われています。
防御策
URLを必ず確認しブックマークからアクセスする、SNSのDMでシードフレーズを絶対に共有しない、トランザクション署名時に内容を慎重に確認する、定期的にRevoke.cashなどでApprovalを確認・取り消す、ハードウェアウォレットを使用する、大きな資産は別のウォレットに分散するなどの対策が有効です。