偽サイトにメタマスクを接続してしまい、保有していた 0.5 ETH が盗まれてしまいました…

メタマスクに何が起きたのか?

何をして、何が起きたかと言うと、
Twitter アカウント @Goldenclif54968 (ID 15659330010113515520) のプロフィール URL にアクセスし、サイトからのトランザクションをメタマスクに接続して実行してしまったことで保管していた ETH が盗まれてしました (転送されてしまった)。
相手のアドレスは「0x4f3310153d3065318a487f6111c2340a1361b147

今回のケースだと「送られてきた DM からリンクを開き、偽サイトでメタマスクを接続してしまった、要求されたトランザクションに署名し、トークンを転送してしまった」です。
接続してトランザクションを承認してしまったので被害にあったのは「暗号通貨/トークン」のみです。
メタマスクのシードフレーズ/秘密鍵は漏れていないということになります。

詐欺の種類ではハッキングではなく、フィッシング詐欺になります。

被害手口

  1. 知らない Twitter アカウントから DM が届いた
  2. プロフィールが気になったので URL にアクセスした
  3. COLLAB.LAD ページだと思い、メタマスクに接続した
  4. トランザクション内容を確認せず、署名してトークンを送ってしまった

ここで気づくべきたった

偽サイトに接続してトークンを転送させてしまう前に「これはニセモノだ!」と分かるポイントがありました。
そこで気づけていれば被害を大きく防げれます

①知らないアカウントからの DM

犯人の Twitter アカウントから「Hi」というダイレクトメッセージが来たことはキッカケです。
その Twitter アカウントを見ると怪しい箇所がいくつも見つかります。
これを見つけていれば「このアカウントはスキャム (SCAM)だ」と見抜くことができたと思います。

Twitter:悪質なアカウントの特徴

① 投稿されていない
ツイートが 0件なのは何かが可怪しいです。

① ギブアウェイ表記が違う
正しい表記は「GIVEWAYS」ですが、これは「GIBEWYAS」になっています

② username が無作為
一般的に名前を含めたり、意味をもった名称にすることが多いですが意図がわからない文字列になっています。

③ ドメイン名がイレギュラー
一般的な「xxx.com/sign/xxx」に対してドメイン名の一部に「sign」にしています。

④ アカウントが新しい
「2022年 9月」に作成されており、直近で作成されたことがわかります。

⑤ フォロー/フォロワーが 0人
ギブアウェイ/公式アカウントであれば、運用しているのでフォロー 0人にはなりません。

①そもそもドメインが違う

※ 偽ドメインの collabland-sign.com にはアクセスしないでくさい

記載されている URL 先にアクセスすると COLLAB.LAD のページに表示されたように見えますが、本物そっくりの偽サイトです。
ドメインが「collabland-sign.com」になっていますが、本物のドメインは「collab.land」です。

偽サイトでの画像やリンク先を確認すると「collab.land」となっており、異なるドメインで不整合なので怪しいことが気づけます。

※ 偽物の各リンクは、すべて本物のページリンク先になっています。

Collab.Land:偽物?本物?
[左] 偽物: collabland-sign.com
[右] 正しい:collab.land

③ トランザクションは必ず確認する

正しいドメイン「collab.land」では、トランザクションの要求ではなく「MetaMask との接続」が求められます。
また、何もアクションをしていないのにトランザクションが要求されるのは違和感があります。

要求されたトランザクションを確認し、事前のアクションに合ったトランザクションなのか を把握できていれば、無作為な支払いトランザクションに署名することもなかったと思います。

被害にあったら何をするのか?

最初に理解しておくのが、転送したトークンは取り戻すことは現実問題できません。諦めるしかありません。

最初にやるのがどのタイプのハッキング被害を受けたか、どのタイプの手口だったか を突き詰める必要があります。
ハッキング被害といっても様々な手口との被害があります。

手口

  • シードフレーズ/秘密鍵を尋ねられ、答えてしまった
  • ニセサイトでメタマスクを接続してしまった
  • DM で送られてきたリンクやファイルを開いてしまった
  • OpenSea に知らないNFTが入っていて触ってしまった
  • Googleで上位表示された偽サイトに接続してしまった

被害

  • 暗号通貨/トークンが転送してしまった
  • NFT が転送してしまった
  • シードフレーズ/秘密鍵 が盗まれてしまった

トランザクションを確認する

ブロックチェーンの Explorer で自分のアドレスを検索すると、そのアドレスのトランザクション履歴を見ることができます。
ここで「何が送られたのか?」を被害を把握しないと次のアクションが行えません。

支払いトランザクションを署名したケース

要求されたトランザクションに署名をして暗号通貨/ NFT を送ってしまった場合は、被害にあったのはその暗号通貨または NFT だけです。
メタマスクのパスフレーズ/秘密鍵が盗まれた (流出した) わけではありません。また、他の暗号通貨/NFT が追加で送られることもありません。
トランザクションに署名した内容分だけでこれ以上被害が起きません。

対応 1:接続を解除する

事前にその偽サイトにメタマスクで接続しているハズです。
残っていても害の影響はありませんが、残っている状態で再度アクセスした際に「サイトへの接続承認」がスキップされるため、信用できるサイトと誤認してしまう可能性があります。
2度目の被害にあわないためにメタマスクの接続を断ち切ってきます。

本当に接続が必要なサイトを残しておくことでハッキング・フィッシング対策になります。

対応 2:新しいアドレスに移行する

支払いトランザクションを署名したケースで
追加で署名していなければ、それ以上に暗号通貨または NFT に被害にあうことはありません。
被害にあったアドレスを使い続けるのに不安が残る場合は、新しいアドレスを取得して暗号通貨/ NFT を移行するのも 一つのです。

ただし、移動するのにガス代がかかりますし、連携していたサービスも再度設定し直すことになるため、大きな手間が発生します。