魂を抜かれそうになった話

皆さん、こんばんちは、マルコです。

ベテランと自負している自分が、暗号資産のフィッシング詐欺に引っ掛かりそうになったので、注意喚起も兼ねて共有します。

事の発端は、つい先日サービス終了を発表したブロックチェーンゲーム通称『ファンキルオルタナ』のEarnしたトークン『姫札』を出金しようとした際に起こりました。

サ終発表→https://x.com/PK_Alterna_JP/status/2059911582386455020?s=20

この発表を知った時は、告知文を全部は読まず、サービス終了の7月末まで、残っているEarn能力をできるだけ使って姫札を稼ぐぞ！っと数日間頑張っていたんですが、後からとんでもないルールに気づいてしまったんです。
それがコレ↓

ちょっとそれはないでしょ（怒）
サ終発表当日のゲーム内にある姫札残高によって出金枚数が制限されるというふざけたルール。
自分はその時1千枚未満しかゲーム内に所持しておらず、100枚までしか出金して換金できないってことです。

まだ、最大約2万枚ほど姫札をEarn可能で毎日頑張ればサ終まで5千姫札ほど稼げそうと見積もって3日間連続で毎日150枚くらい稼げていて、これならけっこう回収できそうだと思っていたところにこの仕打ち。
ということは、サ終日までどれだけ頑張っても意味がないってこと。

ちょうどPolygonのガス代のPOLがなかったので、この100姫札（100円相当）を出金してHimeトークンにし、POLにスワップして賄おう。それでファンキルとはおさらば、はいバイバイ～ってムカつきながら作業をしました。

〇やったこと

1.連携してるMetamaskをファンキルオルタナのサイトに接続
2.100姫札を出金し100Himeトークンに変換
3.UniswapでHimeトークンをPOLにスワップ

この3.の工程で普段ならやらないミスを犯してしまいました（ファンキルオルタナ運営のサ終対応に腹立ってたせいです）。

それは、ブラウザでuniswapを検索して検索結果の一番上に表示されたリンクからuniswapに入ってしまうという愚行です。

UniswapのURLは、
https://app.uniswap.org

なのですが、

自分が訪れたサイトのURLは

sites.googleで始まるuniswapとは全然関係ないアドレスでした（もちろんその時は全然確認してなかった）。

普段使っているuniswapと寸分の違いもないUIで少しも疑うことなく姫札の出金先のアカウントでサイトに接続、swap元とswap先のトークンを選択し、数量を入力。
そしてSwapボタンを押した。

MetamaskがポップアップしApproveのトランザクション確認ボタンを押そうとしたところ”偽のコントラクトの可能性がある”とアラートが表示される。

ん？なんかおかしいのかな？サイトを隅々まで確認すると、なんと！
ブラウザのURL欄のアドレスが uniswapじゃないではないか！？違和感に気づき速攻でトランザクションキャンセルした。

「危っな！」

間一髪のところで資産失うのを免れました。

さんざん初心者サポートで、スキャムや今回のようなフィッシング詐欺に気を付けましょうって言ってるのに、危うく自分が引っ掛かりそうになるなんて...

気を引き締めなければいかんな、と自分の脇の甘さを戒めました。

今回のようなトラップを『暗号資産ドレイン』といいます。

～以下、AIさんの説明～

暗号資産ドレイン（Crypto Drainer / Wallet Drainer）とは、被害者の仮想通貨ウォレットを文字通り「空（ドレイン）にする」ことを目的とした、非常に巧妙で危険なフィッシングツールや悪性スクリプトのことです。

従来のハッキングのように「パスワードや秘密鍵を盗み出す」のではなく、「ユーザー自身を騙して、資産を移動させる許可（署名）を与えさせる」というWeb3特有の仕組みを悪用しているのが大きな特徴です。

その仕組みや手口、対策について分かりやすく解説します。

1. どうやって盗まれる？（仕組み）
   ドレインの多くは、スマートコントラクト（自動契約機能）の「Approve（承認）」や「Permit（許可）」という仕組みを悪用します。

偽サイトへの誘導
有名プロジェクトの公式サイト、NFTの無料配布（エアドロップ）、限定ミント（発行）などを装ったフィッシングサイトにユーザーを誘導します（Xの公式バッジ付きアカウントが乗っ取られ、そこでURLが拡散されるケースが多発しています）。

ウォレットの接続
ユーザーが「接続（Connect Wallet）」を押すと、ドレイナースクリプトがそのウォレット内にある一番価値の高い資産（高額なNFTやトークン）を瞬時にスキャンして特定します。

悪意ある署名の要求
画面には「無料受け取り（Claim）」や「確定（Confirm）」と表示されますが、裏で要求されているのは「攻撃者にあなたの資産を自由に動かす権限を与える」という契約への署名です。

一瞬での持ち去り
ユーザーが内容をよく確認せずにメタマスクなどで「署名（Approve）」してしまうと、その瞬間にプログラムが作動し、ウォレット内の主要な資産が自動的に攻撃者のアドレスへ一斉に転送（ドレイン）されます。

1. なぜ、ベテランでも騙されるのか？
   暗号資産に慣れている人ほど、「秘密鍵やシードフレーズ（復元パスワード）さえ教えなければ安全」と思いがちですが、ドレインはそこを狙いません。

本物そっくりの UI：サイトのデザインだけでなく、ウォレットがポップアップする挙動まで完璧に模倣されています。

焦りを生む心理誘導： 「先着100名限定！」「あと残り3分！」といった文句でユーザーを焦らせ、署名画面の細かい英文を読ませないようにします。

DaaS（Drainer as a Service）の台頭： 現在、ダークウェブではプロのハッカーが作った高性能なドレインツールが「キット」として犯罪者に貸し出されており（サイバー犯罪のサブスク化）、素人犯罪者でも簡単に極めて洗練された詐欺サイトを作れる環境になってしまっています。

1. 被害に遭わないための防衛策
   ドレインに一度資産を抜かれてしまうと、ブロックチェーンの性質上、取引を取り消して資産を取り戻すことは不可能です。 以下の対策を徹底する必要があります。

「Approve（承認）」の画面を必ず読む
ウォレットが立ち上がった際、単なる「接続（Connect）」や「署名（Sign）」なのか、それとも「資産の利用許可（Approve）」を求めているのかを必ず確認してください。見覚えのないコントラクトへのApproveは絶対に避けてください。

不審なリンクは踏まない・検索からアクセスしない
公式X（旧Twitter）やDiscordのアカウントが発信したリンクであっても、「乗っ取り」の可能性を常に疑ってください。ブックマークした公式サイト以外からはウォレットを接続しないのが鉄則です。

ウォレットを用途別に分ける
長期保有する重要な資産（ガチホ用）を入れる「メインウォレット」と、日々のNFTミントやDeFiツールを触るための「捨てウォレット（少額だけ入れる）」を完全に分離してください。

定期的にリボーク（Revoke）する
過去に怪しいサイトにApproveしてしまっていないか、Rabby Wallet の機能や Revoke.cash などのサービスを使って、定期的に与えた権限を解除（リボーク）する癖をつけましょう。

ハードウェアウォレット（コールドウォレット）の導入
LedgerやTrezorなどの物理デバイスを導入し、メイン資産はネットから切り離して管理するのが最も安全です。

～以上～

恐ろしいですね。
ベテランでもちょっとした気のゆるみや、急いでいたり、冷静じゃなかったりで普段の自分と違うと簡単に引っかかってしまうリスクがある。

やはり、この業界は魔界ですねｗ

皆さんも大いに気を付けて、暗号資産やNFTのトランザクションが発生する行為をする場合は、ブラウザやSNSのリンクからではなく、ブックマークからサイトに入るようにしましょう！

手に入れた暗号資産やNFTはただの資産ではなく、いろんな思い出や努力が詰まった『魂』だと僕は思ってます。

資産を抜かれて魂が抜かれてしまうことないように、防御力高めて行きましょう！