Metamaskの新アップデートでNFT詐欺を防ぐことができます。

2022年8月6日 08:51

MetaMaskは、ソーシャルメディアにおけるNFT詐欺の発生を受け、ユーザーが「ウォレットドレイナー」攻撃を回避するための追加ステップを追加しました。

概要

EthereumウォレットMetaMaskがアップデートされ、特定のパーミッションが要求されたときに、ユーザーが署名している内容をよりよく認識できるようになりました。

その機能は、ユーザーが数百万ドル相当のNFTとトークンを失うのを見たソーシャルメディア詐欺で広く使用されています。

ソーシャルメディア詐欺はNFT分野でブームとなっており、TwitterやDiscordのユーザーが騙されて暗号ウォレットを悪意のあるスマートコントラクトに接続し、その結果NFTや他のトークンが盗まれているのです。現在、イーサリアムのトップウォレットであるMetaMaskは、ユーザーがこのような詐欺を認識し回避できるよう、そのインターフェースを更新しています。

MetaMaskは今週、ウォレットの新しい10.18.0アップデートをリリースし、これにはソフトウェアが要求されたセットApprovalForAllパーミッションを提示する方法の変更が含まれている。この許可を与えることで、スマートコントラクト（NFTや分散型アプリに力を与えるコード）がウォレット内のすべてのNFTやトークンにアクセスし、転送することができるようになるのです。

セキュリティ企業のWallet GuardがTwitterで指摘したように、今回のアップデート後、MetaMaskは、スマートコントラクトがウォレット内に保有するあらゆる資金へのアクセスを含む幅広い許可-いわゆる「ウォレットドレイナー」エクスプロイトに利用可能な機能-を要求していることを明確にするようになりました。

.@Metamask 10.18.0 is out 🙌

This update includes the much-needed emphasis for when a transaction is requesting "Set Approval For All"

Kudos to the team for addressing this quickly pic.twitter.com/zWHVVPszzR
— Wallet Guard (@wallet_guard) July 27, 2022

MetaMaskのGitHubソフトウェア開発リポジトリに投稿されたスクリーンショットには、インターフェイスの他の部分よりも大きなフォントを使用した新しいプロンプトが表示されています。この例文では、"Give permission to access all of your BAYC?"（あなたのBAYCにアクセスする許可を与えますか？(またはBored Ape Yacht Club)と表示され、さらに "Give permission, you are allowing the following account to access your funds. "という警告が表示されています。
MetaMaskソフトウェアエンジニアのAlex Donesky氏は、6月22日にGitHubで、"この方法は非常によく使われているので、何かを出すことは急務だ "と書いています。彼はまた、「タイムラインは圧縮されている」と付け加え、開発にもっと時間があれば、この変更にアプローチする方法ではなかったと認めている。
実際、このアップデートは、主にハッキングされたソーシャルメディアアカウントを経由して拡散される詐欺が相次いでいることを受けて行われました。春には、多数のTwitterユーザーの認証済みアカウントが乗っ取られ、AzukiやOthersideといった著名なNFTプロジェクトに触発された詐欺のリンクを共有し、無意識に自分の財布をスマートコントラクトに接続したユーザーのNFTやトークンを盗むために使用されました。

最近では、さまざまなNFTプロジェクトや著名なコレクターのTwitterアカウントがハッキングされ、無料のNFTやトークン・ドロップと称して、同様のリンクを共有するようになりました。このような詐欺は、ハッキングされたDiscordやInstagramのアカウントを通しても行われています。このような詐欺によって資産を失ったユーザーに対して、クリエイターやプロジェクトが補償を行うべきかどうかという議論に発展しています。

今月初め、NFTドロップ登録プラットフォームのPremintは、setApprovalForAll関数を使用して、影響を受けたユーザーから貴重なNFTとトークンの数々を盗むために、同社のウェブサイトへのハッキングの影響を受けていました。最終的に、同社は50万ドル以上のETHをユーザーに払い戻し、高価なNFTコレクターズアイテムのペアも買い戻して返却しました。

はっきり言って、MetaMaskのアップデートは、ユーザーが接続しようとしている契約についていかなる判断も下しておらず、特定された詐欺を特に呼び出しているわけでもないのです。さらに、NFTマーケットプレイスなど特定のDappsではsetApprovalForAll関数を合法的に使用する可能性もあり、ユーザーの判断をさらに混乱させるだけです。

それでも、MetaMaskの更新は詐欺の影響を最小化するのに役立つ可能性があります。このようなソーシャルメディア詐欺に引っかかった一部のNFTコレクターは、NFTに関するFOMOや投機的な熱狂のために無謀な取引を承認したと非難されており、この追加ステップはユーザーに一旦立ち止まり、自分の行動を考え直すきっかけになるかもしれません。

MetaMaskが今後のアップデートでこの新機能をさらに強化するかどうか、また競合するウォレットが同様の手法を採用するかどうかに注目したいところです。詐欺はMetaMaskユーザーに限ったことではなく、イーサリアムに限ったことでもない。Solanaにも同様の機能（signAllTransactions）があり、著名なNFTコレクターがPhantomウォレットを通じてそのような詐欺の被害に遭ったばかりです。

Rescuing a Lost Monke: Post-mortem on getting a wallet drained and losing my PFP

First off this thread is not a call for donations. I have funds to recover what is lost and while I appreciate the love, your money would be better served helping other people!
— N◎M (🥐,🍌) (@TheOnlyNom) July 28, 2022

MonkeDAOの共同創設者であるNom氏（仮名）は昨夜、安全だと思って使っていたスマートコントラクトとやり取りしたところ、攻撃でウォレットが流出したことをツイートした。Nomは、約500SOL（約20,200ドル）と、Solana Monkey Businessのものを含むNFTを失い、その後攻撃者は197SOL（7,736ドル）で売却したと書いている。

この記事が気に入ったらサポートをしてみませんか？