はじめに
最近、暗号資産(仮想通貨)を扱う私の同僚が、MetamaskウォレットからETHを抜き取られるフィッシング詐欺の被害に遭いました。
Metamaskウォレットとは?
Web3の世界では「自分の資産は自分で守る」が大原則です。
しかし、本物そっくりに作られた「偽サイト」は、誰でも間違ってしまうような巧妙さがあります。
この記事では、同僚が実際に体験した詐欺の手口と、そこから得られる教訓を紹介します。
これからWeb3を始める人や、Metamaskを利用している方にとって必読の内容です。
詐欺の入り口:Hyperliquid紹介リンク付きブログ記事
ことの始まりは、あるブログ記事でした。
その記事は「Hyperliquidの使い方とお得な紹介リンク」という内容で、
そこには「紹介コードを使えば取引手数料が4%割引になる」という魅力的な情報が載っていました。
Web3上の紹介コードやエアドロップは珍しい話ではなく、同僚も自然とリンクをクリックしてしまったとのこと。
偽サイトで起こったこと
紹介リンクからアクセスした先は、見た目は本物のHyperliquidそっくり。
しかし、その中の操作フローには明らかな罠がありました。
ウォレットを接続した後、なぜか「12語のシードフレーズ(Secret Recovery Phrase)を入力するフォーム」が出てきたのです。
同僚は一瞬違和感を覚えながらも、
「先に進むには必要なのかもしれない」
という軽い気持ちで12語のフレーズを入力してしまったそうです。
しかも厄介だったのは、そのフォームで次に進めなかったこと。
エラーのように見える画面が続き、何度もシードフレーズを入力してしまったというのです。
翌日、異変が起きた
翌朝、同僚がMetamaskを確認したところ:
- イーサリアムチェーンに保管していた ETHが消えている
- Etherscanで確認すると、知らないアドレスに0.11 ETH(約4万円相当)が送金されていた
その送金は、まるで自分で実行したかのように正常なトランザクションとして記録されていたのです。
攻撃の仕組み
これは完全にシードフレーズを盗まれたことによる“正規操作型の詐欺”です。
- シードフレーズ(12語)は、Metamaskにアクセスするための全権限を与える情報です。
- 攻撃者はこれを使って、正当にMetamaskウォレットを復元し、操作権限を掌握
- その上で、ETHを自分のウォレットに「合法的に」送金した
つまり、Metamask上ではあなたが自分で送ったように見える、最も発見が遅れやすいタイプの被害です。
今回の反省と、同僚が学んだこと
間違ってしまったポイント
| ポイント | コメント |
|---|---|
| シードフレーズを入力した | 「フォームの先に進めない」というUXトリックが非常に巧妙だった |
| 紹介リンクの真偽を確かめなかった | 正規のHyperliquidサイトとドメイン名が微妙に違っていた可能性が高い |
今後徹底すべきポイント
- どんな理由があっても、12語のシードフレーズは絶対に入力しない
- 紹介リンクは信用せず、常に公式サイトからアクセスする
- 怪しい挙動があれば即ブラウザを閉じ、操作を中断する
- 少額のテスト送金や、Etherscanでの履歴確認を習慣化する
- 資産の多いウォレットはハードウェアウォレットで保管
Hyperliquid公式:
Web3自己防衛チェックリスト
このチェックリストを常に意識することで、Web3の世界でも資産を安全に守ることができます。
Web3時代の資産を守るための5つの鉄則
| チェック項目 | 解説 |
|---|---|
| シードフレーズは絶対に誰にも教えない | どんなdAppやサポート窓口でも、12語の入力を求めてきたらそれは詐欺です |
| 紹介リンクは公式サイトから確認する | SNSやブログのリンクを鵜呑みにせず、必ず公式ドメインを自分で開く |
| ウォレット接続時はURLを再確認 | https://app.hyperliquid.xyz など、URLの1文字違いにも注意 |
| エラーや未遷移に惑わされず、違和感があれば即終了 | ページが反応しなくても、焦って再入力しない |
| ハードウェアウォレットを併用する | 資産保護の最終防衛ライン。中長期保管には必須 |
最後に
この件は私の同僚の実体験ですが、今後同じような罠にかかる人を1人でも減らしたいと思い、記事にしました。
Web3は非常に便利で可能性にあふれた世界ですが、同時に詐欺の温床でもあります。
「シードフレーズを入力するフォームが出た時点で、それは詐欺サイト」
この認識を、1人でも多くの人に持ってもらえたら幸いです。
コメント