情報のインターネット (Web2) から価値のインターネット (Web3) への移行により、人々が資産を所有し移転する方法に革命が生じました。しかし、ブロックチェーン技術の分散型かつ不可逆的な性質は、高度な形態のサイバー犯罪の温床にもなります。 Tan Phat Digital チームの分析によると、「承認詐欺」は最も危険な攻撃手法の 1 つとなっており、スマート コントラクトの中核となる動作メカニズムを直接標的としています。秘密キーの流用に基づく従来の攻撃とは異なり、承認詐欺は、トークンの標準化されたアプリケーション プログラミング インターフェイス (API) を通じてユーザーの合意を悪用し、たった 1 回の確認で財産の所有権を脆弱にします。
ブロックチェーンにおける承認メカニズムの技術的基盤
承認詐欺の性質を理解するには、イーサリアム エコシステムと EVM (イーサリアム) を支配している現在のトークン標準を分析する必要があります。仮想マシン) 互換チェーン。これらの標準は、デジタル資産が相互に、また分散型アプリケーション (dApp) とどのようにやり取りするかを規制します。
ERC-20 標準と承認機能
ERC-20 は、代替可能トークン (代替トークン) の最も一般的な標準です。この標準の 6 つの必須関数の 1 つは、approve(address Spender, uint256 amount) です。この機能を使用すると、ウォレット所有者は、ウォレットから一定量のトークンを引き出す権利を別のアドレス (通常は dApp スマート コントラクト) に委任できます。
このメカニズムは「Allowance」と呼ばれます。ユーザーが Uniswap のような分散型取引所 (DEX) で取引を行う場合、スワップを実行するためにウォレットからトークンを取得する Uniswap のコントラクトを承認する必要があります。これにより、最大限の利便性が得られますが、セキュリティ ホールも発生します。承認された契約が悪意のあるものであれば、ウォレット所有者によるさらなる介入なしでいつでもユーザー資金を引き出すことができます。
承認メカニズムにおける ERC-721 と ERC-1155 の違い
ERC-20 は代替可能なトークンを扱うのに対し、ERC-721 と ERC-1155 は代替不可能なトークンを管理します。 (NFT) および多目的トークン。承認メカニズムの詳細は次のとおりです。
ERC-721 標準 (単一 NFT): 一般的な承認関数
setApprovalForAll(operator, allowed)を使用します。このコマンドは、ユーザーのウォレット内のそのコレクションに属するすべての NFT に影響します。ERC-1155 標準 (ハイブリッド FT および NFT):
setApprovalForAll(operator, allowed)関数も使用します。ただし、影響範囲はより広く、その契約の対象となるすべての種類のトークン (NFT と通常のトークンの両方) が含まれます。
NFT の場合、詐欺師は被害者を誘い込んで setApprovalForAll 関数に署名させることがよくあります。署名が完了すると、攻撃者はコレクション内のすべての貴重なアイテムを、それぞれを承認することなく「消去」する権利を持ちます。これは、OpenSea などのプラットフォームでの大規模な NFT 盗難の基礎です。
バリアント メカニズム: EIP-2612 Permit および Permit2
Web3 の台頭により、ガスコストを削減し、ユーザー エクスペリエンスを最適化する必要が生じ、それによりオンチェーン (ガスレス) 承認方法が誕生しました。
EIP-2612: オフチェーン署名革命
EIP-2612 では、permit() 関数が導入され、ユーザーは実際のブロックチェーン トランザクションではなく、オフチェーンのデジタル署名を使用して支出制限を承認できるようになります。ユーザーは、所有者のアドレス、使用者のアドレス、トークンの数量、ノンス番号、有効期間を含む構造化メッセージに署名します。詐欺師はこの署名を収集し、自分自身でブロックチェーンに送信して、資金を引き出す権利を有効にするだけで済みます。ユーザーは Web サイトに「ログイン」または「認証」しているだけだと誤って認識することがよくあるため、これは非常に危険です。
Permit2: Uniswap の承認管理センター
Permit2 は、すべての ERC-20 トークンの承認を統合するプロトコルです。ユーザーは Permit2 契約を 1 回承認するだけで済みます。自動有効期限機能はありますが、リスクが集中します。詐欺師が Permit2 メッセージをキャプチャすると、ユーザーが以前に Permit2 に対して承認したトークンを取り出すことができます。
詳細: Smart 契約監査とは何ですか?ブロックチェーン プロジェクトにセキュリティ監査が必要な理由
承認詐欺の危険性の分析
秘密キーなしでの損失
従来のハッキングでは、ユーザーはシード フレーズまたは秘密キーを失います。承認詐欺では、ユーザーのウォレットは理論的には安全なままですが、署名された承認命令によって資産は依然として「合法的に」剥奪されます。泥棒はウォレットのソースコードに干渉する必要はありません。必要なのは被害者の間違った同意だけです。
黙って解散し、機会を待ちます
承認命令には通常、無制限の価値があります (無制限の承認)。詐欺師は必ずしもすぐにお金を引き出すとは限りません。彼らは、被害者がウォレットにさらにお金を追加するまで待つか、トークンの価値が増加するのを待ってから流用命令を実行することができます。この「沈黙」により、資産が完全になくなるまで被害者が発見することが困難になります。
不可逆的で追跡が困難
すべてのブロックチェーン トランザクションは、一度確認されると元に戻すことはできません。被害者が悪意のある契約を承認したことに気づく頃には、痕跡を消去するために資産がミキサーやクロスチェーン ブリッジを通じて転送されていることがよくあります。
多くのユーザーが罠にかかる理由: 心理学と操作テクニック
フィッシングやエアドロップによる巧妙な偽装
詐欺師は、多くの場合、インターフェイスが同一であるという条件で被害者を偽の Web サイトに誘い込みます。評判の良いプラットフォームへ。 [Claim Airdrop] ボタンは本質的に、攻撃者のウォレットに対する Approve または Permit リクエストです。
FOMO 効果と誤った緊急性
見逃しの恐怖 (FOMO) により、ユーザーは安全性チェックをスキップします。詐欺師は、「報酬受け取りまであと 5 分」などの緊急通知を作成し、被害者に内容をよく読まずにウォレットの「確認」をクリックするよう圧力をかけます。
電子ウォレット インターフェースの制限
多くの電子ウォレットでは、承認リクエストがわかりにくい文字列の形式で表示されることが多く、ユーザー (特に新規ユーザー) は、確認への署名を利用規約に同意するような通常の技術的手順とみなしてしまいます。従来の Web アプリケーション。
ベトナムにおけるデジタル資産詐欺の現状
ベトナムは現在、アジア太平洋地域最大の暗号資産市場の 1 つであり、インドと韓国に次いで第 3 位にランクされており、2024 年から 2025 年の推定取引額は 2,200 億~2,300 億米ドルに達します。ただし、それには詐欺の大きなリスクが伴います。 2024 年だけでも、ベトナムにおけるオンライン詐欺による損失総額は 18 兆 9,000 億ドンに達すると推定されています。
典型的な事件と作戦方法
「幽霊」TOSI プロジェクトに関連した衝撃的な事件が、2025 年 11 月末にダナンで検挙されました。このリングには全国の8,000人以上の犠牲者から約900億ドンが集められている。以下に特徴を示します。
マルチレベルの変革モデル: 新規参加者を惹きつけるため、月額 3% ~ 22% という異常に高いボーナスを提供します。
国際的ななりすまし: 偽の信頼を生み出すために、日本のテクノロジーにラベルを付けたり、Binance などの主要な取引所に上場する準備をしたりします。
高度な技術介入: 個人の電子ウォレット コードをシステムに添付する機能をプログラムし、投資家の資金がプロジェクトの共通ウォレットではなく詐欺師のポケットに直接送られるようにします。
専門的な痕跡を消去する: 新規ユーザーの数が減少すると、「メンテナンス」または「ハッカー攻撃」を理由に Web サイトを閉鎖し、新しいプロジェクトを作成してサイクルを継続します。
2026 年の新しい法的枠組み
2026 年 1 月 1 日より、デジタル技術産業法が正式に発効し、デジタル資産が初めてベトナム法の適用範囲に加わります。特に、ベトナムは決議第05/2025/NQ-CPに従い、2026年1月20日から暗号資産を取引する市場組織に対するライセンス申請の受付を試験的に開始する。参加を希望する企業は以下を満たす必要があります。
ベトナム ドンで最低 10,000 億 VND の設立資本を拠出する。
商業銀行や証券会社の参加を含む組織が拠出する設立資本の最低 65%。
テクノロジー システムとリスク管理プロセスは厳しく検査されなければならない
世界ドレイナー市場レポート 2024-2025 年
サイバー犯罪者は、「サービスとしてのウォレット ドレイナー」モデルを通じてますます専門化しています。 2025 年には、ウォレット引き出しによる損失の絶対額は減少する傾向にありますが、なりすまし詐欺は 1400% という記録的な増加を記録します。 2025 年に世界的な暗号通貨詐欺によって流用された資金総額は、140 億~170 億米ドルに達すると推定されています。
Inferno Drainer などの組織は、洗練されたスクリプトを使用して、Seaport や WalletConnect などの一般的なプロトコルになりすまし、依然として攻撃の市場シェアを約 40 ~ 45% として支配力を維持しています。
オンチェーン分析:規制資産追跡
Tan Phat Digital によると、オンチェーン データ分析は犯罪者に立ち向かうための重要な武器です。調査プロセスには通常、次の 5 つのステップが含まれます。
アンカー ポイントの確立: 被害者のウォレット アドレスと悪意のある承認トランザクション ハッシュを特定します。
フロー トレース: 中間ウォレット (ピール チェーン) またはクロスチェーン ブリッジを通じて資金を追跡します。
識別とラベル付け: 次のようなツールを使用します。 MistTrack として、集中型取引所 (CEX) に属するウォレットを識別します。
リスク評価: 攻撃者の行動を分析して、実際の ID タッチポイントを見つけます。
文書化と調整: 資産凍結を要求するために当局と取引所への報告書を作成します。
予防とセキュリティ戦略多層
Web3 分野では、常に「治療」よりも「予防」の方が効果的です。 Tan Phat Digital は、ユーザーに次の措置を講じることをお勧めします。
承認権限の確認と取り消し (取り消し)
ユーザーは、Revoke.cash などのツールを定期的に使用して、お金を使って取り消しコマンドを実行する権利のある契約のリストを確認する必要があります。すぐに。危険な承認リクエストを早期に警告できるため、Rabby Wallet の使用もお勧めします。
「ゼロトラスト」ルール
正確な URL: 検索広告からのリンクは絶対にクリックしないでください。ドメイン名を常に注意深く確認してください。
署名注文をよく読んでください: ウォレットにキーワード「許可」、「承認」、または「すべてに承認を設定」が表示されたら、リスクを制御するために停止してください。
制限制限: 評判の良い dApp を承認するときは、「いいえ」を選択するのではなく、正しい数のトークンの取引のみを承認してください。
投資の形式と関連リスク
新しい投資家は、高金利の罠に巻き込まれないように、一般的な形式を明確に理解する必要があります。
短期取引 (トレーディング): 急速な価格変動に基づいています。 FOMO の考え方による非常に高いリスク。
長期投資 (HODLing): 資産を購入し、安全なウォレット (コールド ウォレット) に保管します。市場からの平均リスク。
ステーキング/レンディング: 資産を預けることで利息を受け取ります。スマート コントラクト エラーに関連するリスク。
コイン マイニング (マイニング): 報酬を受け取るためにハードウェアに投資します。運用コストと機器の磨耗のリスク。
ケーススタディ 典型的な承認詐欺と Web3 詐欺 (2021 ~ 2026 年)
以下は、投資家が現実の詐欺シナリオを特定するのに役立つ、最も典型的なケースの Tan Phat Digital の概要です。
TOSI 事件 (ダナン、2025 年): 対象者は「ゴースト」プロジェクトを作成し、プログラマーを雇用してバイナンス スマート チェーン上で TOSI コインを作成しました。最も巧妙な手口は、ユーザーの取引システムに個人のウォレット コードを付加する機能をプログラムし、投資資金が犯罪者の懐に直接入るようにすることです。被害額は8,000人以上で約900億ドンと記録されている。
Ledger Connect Kit サプライチェーン攻撃 (2023 年 12 月): 攻撃者は Ledger 従業員の NPM アカウントを乗っ取り、Connect Kit ライブラリ バージョン 1.1.5 ~ 1.1.7 に悪意のあるコードを挿入しました。ユーザーがこのライブラリを使用する dApp にウォレットを接続すると、資金がハッカーのウォレットに引き出されます (Angel Drainer に関連)。数時間で約 600,000 米ドルの被害。
Trust Wallet Chrome 拡張機能の脆弱性 (2025 年 12 月): Chrome ブラウザのバージョン 2.68 アップデートをターゲットとしたハッキングにより、約 700 万米ドルが盗まれました。この問題は、Chrome ウェブストア API キーの漏洩に起因すると考えられており、犯罪者が悪意のあるバージョンをアプリ ストアにプッシュできるようになります。
Monkey Drainer - 大規模 NFT フィッシング (2022-2023): このグループは、有名な NFT プロジェクトになりすました 2,000 近くのドメインを使用して、ユーザーをだまして悪意のある
signTypedDataコマンドに署名させました。 CryptoPunks や Otherside などの高額資産を含む 7,000 個以上の NFT が盗まれ、被害総額は 1,300 万米ドルと推定されています。マトリックス チェーン (MTC) 事件 (ベトナム、2025 年): 国境を越えた詐欺ラインは、参加者に超利益を約束して MTC 仮想通貨への投資を勧誘しました。ドンナイ省警察の 200 日間のプロジェクトによりこのネットワークが破壊され、10 兆 VND 近くの不法調達額が記録されました。
インフェルノ ドレイナーとディスコード トラップ (2025 年 1 月): 攻撃者は大規模な Discord サーバーでサポート ロボット (Collab.Land ボット) になりすまします。ユーザーが身元を確認するために「Let's go」をクリックすると、無限の承認コマンドへの署名を必要とするフィッシング Web サイトにリダイレクトされ、その結果、すべてのウォレット資産が失われます。
スーパー詐欺 Paynet Coin (PAYN) / FMCPAY (2025): 対象者のグループが FMCPAY プラットフォームをセットアップし、PAYN コインを作成し、米国の航空券やホテルの予約に使用できると宣伝します。本質的に、これは数十億ドルを費やすマルチレベルのピラミッド モデルです。床が崩壊した後も、彼らは被害者をだまして、お金を取り戻すために「アメリカ人の弁護士を雇う」ためにさらにお金を支払わせました。
アドレスポイズニングによる 5,000 万ドルの盗難 (2025 年): これは、2025 年の単一損失としては最大規模です。悪者は、被害者の通常のウォレットと同じ最初と最後の文字でウォレット アドレスを作成し、0 米ドル相当のトランザクションを送信してウォレットの履歴を「毒殺」します。被害者は、5,000 万ドル相当の実際の取引のためにこのアドレスを主観的にコピーしました。
Aurory NFT「ドレインウェア」 (2021): ウォレット スクレイピング マルウェアの最も初期の例の 1 つ。攻撃者は、実際の Aurory プロジェクトによく似た DNS ドメイン名を作成します。ユーザーが「Mint NFT」ボタンを押すと、実質的には、悪意のある契約によるすべての資産の引き出しを許可する注文に署名したことになります。この事件により、150 万米ドルと 70 NFT がほんの一瞬で蒸発しました。
「GitHub 適性テスト」詐欺 (2025 年): ハッカーは採用担当者を装い、プログラマーに GitHub からプロジェクトをダウンロードしてテストを行うよう依頼します。これらのプロジェクトには、ユーザーがログインするとすぐにオペレーティング システムを自動的に識別してペイロードをダウンロードし、コンピューターを制御し、ウォレットの承認情報を盗む悪意のあるコードが含まれています。
よくある質問 (FAQ)
ここでは、承認詐欺に関連してユーザーから Tan Phat Digital によく寄せられる 10 の一般的な質問を示します。
その他「承認」コマンド 「許可」 注文との違いは何ですか?
承認はオンチェーン トランザクションであり、契約にお金を使う許可を与えるためにガス料金を支払う必要があります。一方、Permit(EIP-2612) はオフチェーンのデジタル署名で、ガスはかかりませんが、後で詐欺師が黙って支出命令を有効にすることができます。シード フレーズ (ウォレットのパスワード) を教えないと、悪意のある人が私のお金を引き出すことができますか? はい。承認詐欺を通じて、悪者はあなたのシードフレーズを必要としません。悪意のある
ApproveまたはPermitコマンドに署名するだけで、ウォレットにアクセスして資産を引き出します。詐欺プロジェクトを承認したかどうかはどうすればわかりますか? Revoke.cash や Etherscan などのスクリーニング ツールを使用します。承認チェッカーまたは BSCScan 取り消し。これらのツールは、ウォレット内のトークンを使用する権限を持つすべてのアドレスをリストします。
「無制限の承認」はどのくらい危険ですか? 「無制限」を選択すると、その dApp は、取り消し注文を行うまでそのトークンの残高全体を永久に引き出す権利を持ちます。 dApp がハッキングされたり、詐欺的なプロジェクトである場合、ウォレットはいつでも消去されます。
Uniswap の Permit2 プロトコルはウォレットの安全性を高めますか? Permit2 は利便性を高め、自動承認期限切れ機能を備えています。ただし、集中化のリスクも生じます。誤った Permit2 署名により、悪意のある攻撃者が以前に承認した複数のトークンを同時に引き出す可能性があります。
誤って奇妙なリクエストに署名してしまいました。すぐにどうすればよいですか? その承認を取り消すには、すぐに Revoke.cash にアクセスする必要があります。可能であれば、安全を確保するために残りの資金をすぐにまったく新しいウォレットに移してください。
承認詐欺を回避するために Rabby Wallet が推奨されるのはなぜですか? Metamask とは異なり、Rabby Wallet にはセキュリティ スキャン機能が組み込まれており、悪意のある承認注文または無制限の承認注文に署名しようとすると、明確な警告が表示されます。
2026 年までに、ベトナムにおける仮想通貨詐欺は犯罪化されますか?はい。デジタル技術産業法 (2026 年) と 2025 年の最新判例により、暗号資産を流用する不正行為は徐々に厳しい刑事罰の枠組みに組み込まれています。
「停止 - 確認 - 保護」ルールとは何ですか? これが黄金律です: 停止 (急いで命令に署名しない)、確認 (URL を確認し、コマンド内容の記号)、 および保護(異常な場合は銀行または取引所に連絡して資産を凍結してください)。
承認詐欺に遭った後、お金を取り戻すことはできますか? ブロックチェーンは元に戻すことができないため、これは非常に困難です。ただし、集中取引所 (CEX) や当局に報告して、MistTrack などのツールを使用してオンチェーンを追跡し、資金が取引所に送金された場合に資金を凍結できるようにする必要があります。
承認詐欺は、詐欺の手口がテクノロジーとともに常に進化していることを証明しています。ベトナムは2026年から正式にデジタル資産をパイロットフレームワークに導入するため、ユーザーは法律からさらに保護されることになります。しかし、依然として個人の知識と注意が最も重要な防御策です。 Tan Phat Digital は、知識豊富な投資家コミュニティがベトナムのデジタル経済の持続可能な発展の基盤となると信じています。
シェア
