ウォレットドレイナーとは?暗号通貨ドレイナーの仕組み
シードフレーズを渡さなくても、すべてを失う可能性があります。ウォレットドレイナーの場合、「承認」をクリックするだけで失います。無料のエアドロップを提供する巧妙なサイトを想像してみてください。ウォレットを接続すると、署名ボックスが表示され、すべてのdAppが要求する確認をタップします。すると数秒後には、仮想通貨とNFTが消えてしまいます。パスワードは盗まれていません。デバイスもハッキングされていません。あなたは通常、ガス代がかからず、完全に無害に見える署名で、自ら盗難を承認したのです。これがこの手口の全てであり、2024年だけで4億9400万ドルを盗むのに十分なほど効果的でした。
このガイドでは、財布を空にする行為とは何か、窃盗が起こる正確な瞬間、犯罪者がどのようにしてそれを有料サービスに変えたのか、彼らがどれくらいの金額を盗むのか、そしてほぼすべての窃盗を防ぐ2つの習慣について詳しく解説します。
ウォレットドレインとは何か、そしてなぜ効果があるのか
ウォレットドレイナーは、コンピュータにひっそりと潜んでいるマルウェアではありません。これは、悪意のあるスマートコントラクトまたはスクリプトであり、現在Web3を悩ませている悪意のあるdAppsの1つで、友好的なものを装って、アクセスを許可させるように仕向け、許可した瞬間に資産を盗み出します。ドレイナーはほぼ完全に分散型金融(DeFi)に存在します。DeFiでは、ログインではなく署名によって資金が移動し、あなたの暗号通貨やその他の暗号資産がまさに彼らの標的です。ドレイナーはあなたの秘密鍵を推測したり、暗号を破ったりすることはありません。ただ、見知らぬスマートコントラクトにあなたの資金へのアクセス権限を与えるトランザクションまたは承認に署名させるだけです。
いったん許可が下りれば、あとは自動的に処理されます。攻撃者はウォレットを読み取り、最も価値の高いトークン、NFT、その他のデジタル資産を探し出し、送金処理を行い、多くの場合1ブロック内で、すべてを攻撃者が管理するアドレスに送金します。リクエストは通常のWeb3アクションを装っているため、ほとんどの被害者はウォレットが空になるまで何が起こったのか気づきません。危険なのはウイルスではなく、内容を読まずに許可を与えてしまうことです。
財布を空っぽにするアイテムがあなたの財布を空にする仕組み
あらゆる損失は、誘い込み、署名、掃き出しという同じ軌跡をたどる。資金が失われるのは中間段階であり、ほとんど誰も注意深く見ていない段階なのだ。
餌
まず、罠に引っかかる必要があります。詐欺師は偽のエアドロップ、NFTミント、トークン請求をばらまき、それを強く宣伝します。彼らはXの認証済みアカウントを乗っ取り、盗んだソーシャルメディアアカウントからリンクを投稿し、 TelegramやDiscordにメッセージを投稿し、スポンサー付き検索広告を購入して偽サイトを本物より上位に表示させます。常に緊急性を煽り、限定ミントや期限付きの請求を提示します。なぜなら、ソーシャルエンジニアリングは考える時間がないときに最も効果を発揮するからです。パスワードやログイン認証情報を探し出す昔ながらのフィッシングとは異なり、ドレイナーはあなたの秘密を全く必要としません。必要なのは、ユーザーを騙して1つのアクションを実行させることだけです。それは、ウォレットを偽サイトに接続し、1つのリクエストを承認することです。このハードルの低さこそが、ドレイナーが急速に広まる理由であり、用心深い人でも慌てているときに引っかかってしまう理由です。クリックすると、信頼しているプロジェクトと全く同じように見えるクローンサイトにたどり着き、ウォレットを接続するように求められます。
罠は特徴である
ここが重要な部分です。承認するとき、あなたは「ログイン」しているのではなく、特定の許可に署名しているのです。そして、その中には壊滅的なものもあります。ERC-20の`approve()`は無制限の許可を渡すことができ、コントラクトはそのトークンを永久に使うことができます。`setApprovalForAll`はコレクション内のすべてのNFTを一度に渡します。最も悪質なのはオフラインのPermitまたはPermit2署名です。ガス代はかかりません。トランザクションではなく、単なるメッセージとして表示されます。それでも転送を承認します。これがほとんどの人が陥る罠です。SlowMist の分析によると、Permitスタイルの署名は、見た目が何もないため、2024年のフィッシング承認の56.7%を占めていました。攻撃者もアップグレードを追跡し、`setOwner`のような分かりにくい呼び出しや、イーサリアムのPectraリリース直後の最新のEIP-7702委任を悪用しています。
排水溝
署名すると、ウォレットドレイナーは必要なものをすべて手に入れ、あなたを救うための二度目の確認は存在しません。目的は単純かつ残酷です。あなたが反応する前に資金を盗むことです。すでにあなたの資産をマッピングしているため、送金が開始され、あなたのトークンは1つのブロックで流出します。ブロックチェーン取引は最終的なものです。銀行に問い合わせることも、取り消すこともできません。エアドロップが「読み込みに失敗」する頃には、不正な送金はすでにオンチェーンで決済されています。
| 署名を求められているもの | あなたにはどう見えるか | 実際に付与されるもの |
|---|---|---|
| ERC-20 `approve()` | ルーチントークンの承認 | そのトークンの無制限の使用 |
| `setApprovalForAll` | 「コレクションを承認する」 | その中のすべてのNFTを管理 |
| 許可証 / 許可証2 | ガスを使わない署名メッセージ | 使用されるまでオンチェーン上の痕跡を残さずに譲渡権を移転 |
| `setOwner` / EIP-7702 | 見慣れないプロンプト | アカウントの所有権または委任 |
排水サービス(DaaS):ダッシュボード付き犯罪情報
ドレイナーが普及したのは、攻撃者が巧妙になったからではない。誰かがそのツールを商品化し、それによってウォレット窃盗を、価格表を公開した組織的なサイバー犯罪へと変貌させたからだ。
DaaSの仕組み
ドレイナー・アズ・ア・サービスモデルでは、開発者がウォレットドレイナーキットを構築・保守し、暗号通貨ウォレットを標的とした攻撃キャンペーンを実施したい人にそれを貸し出します。アフィリエイト(多くの場合、スキルレベルの低い攻撃者)がフィッシングを担当し、キットが窃盗を実行します。収益は分配され、その分配方法はランサムウェアの手法とほぼ同じです。開発者は盗んだ金額の約20%を、アフィリエイトは残りの80%を受け取ります。購入者はその分け前として、既製のフィッシングページ、コントロールダッシュボード、匿名化ツール、そしてもちろん、実際のカスタマーサポートを入手できます。コードを一行も書けない10代の若者でも、昼食時にはプロ並みの作戦を実行できるのです。
インフェルノ、ピンク、そして回転ドア
ヘッドラインキットを見ればその規模がわかるだろう。Inferno Drainerは2022年末から2023年末にかけて活動し、13万7000人以上の被害者から約8700万ドルを盗み出した。被害は1万6000以上のフィッシングドメインに及び、少なくとも100の仮想通貨ブランドを偽装していた。Pink Drainerは約8500万ドルを盗み出した後、運営者が活動停止を発表した。このパターンに注目してほしい。あるグループが引退すると、サイバー犯罪者は次のキットに移行し、Inferno自体も「リロード」した形で復活した。運営者1人を倒しても市場は消滅しない。市場とはサービスであって、詐欺師ではないのだ。
財布を空にする人はどれだけ盗むのか
合計額は膨大で変動が激しく、誤解しやすい。仮想通貨ウォレットを狙った攻撃キャンペーン1件で、取引所全体がハッキングされるよりも多くの資金が盗まれる可能性があり、年間の数字も大きく変動する。
最も明確な情報源であるScam Sniffer は、これを年ごとに集計しています。2023 年に 324,000 人の被害者で損失は約 2 億 9,500 万ドルに達し、2024 年に 67% 増加して 4 億 9,400 万ドルとなり、その後2025 年に約 8,400 万ドルに急激に減少しました。この減少は勝利のように見えますが、そうではありません。これは主にオンチェーン活動とキットの回転が静かになったことを反映しており、2026 の初期にはすでに月間急増が見られました。記録上最大の損失は、2024 年に 1 人の被害者から5,547 万ドルの DAIが盗まれたことです。合計額がどこに落ち着こうとも、盗まれた仮想通貨は同じ方法で流出します。数分以内にミキサーと分散型取引所を介して洗浄されるため、ほとんど戻ってきません。
| 年 | 排水業者によって盗まれた | 被害者 |
|---|---|---|
| 2023 | 2億9550万ドル | 324,000以上 |
| 2024 | 4億9400万ドル | 332,000 |
| 2025 | 8385万ドル | 106,106 |
被害者は初心者ばかりではない。マーク・キューバンは、資金を吸い上げる詐欺師に約90万ドルを失った。イーサリアムの共同創設者であるヴィタリック・ブテリンでさえ、偽のコイン製造業者を宣伝するためにXアカウントを乗っ取られ、フォロワーから約70万ドルを吸い上げられた。もし彼らの目に触れたら、「絶対に騙されない」という心構えは、思っているほど甘くはないだろう。
財布を空にする人の警告サイン
金銭を搾り取ろうとする詐欺師の危険信号は、ほぼ例外なく「今すぐこれに署名しろ」という要求に集中している。そのような要求を見かけたら、立ち止まって考えてみよう。
1回の購入だけを希望していたのに、無制限のトークン付与を求めるプロンプトが表示された場合は注意が必要です。ガス料金がかからず、完全に読めないメッセージが表示される署名要求には、さらに警戒してください。これは、ガス料金を請求しない悪質な詐欺の手口です。「今すぐ請求」「限定ミント」「カウントダウン」といった表示は、幸運ではなく、圧力をかけるための戦術だと考えてください。ダイレクトメッセージやTelegramグループに送られてきたリンクは信用しないでください。スポンサー付き検索広告経由でdAppにアクセスしないでください。詐欺師は、トップの枠を巡って、本物のプロジェクトよりも高額な入札をすることが常態化しています。また、ドメインは必ず正確に確認してください。文字を1文字入れ替えただけの類似ドメインは、詐欺サイトの最も古い手口であり、今でも通用する手口です。
財布をだまし取る者から守る方法
新たな脆弱性をすべて追跡する必要はありません。2つの地味な習慣を身につけるだけで、ほとんどすべての悪用を防ぐことができます。
ハードウェアウォレットと使い捨てカードを使用する
暗号資産の大部分はハードウェアウォレットに保管しましょう。秘密鍵はオフラインのままで、すべての取引にはデバイスへの物理的なタップが必要なので、悪意のあるサイトはハードウェアウォレットが手元にない限り何も移動できません。次に、ミント、エアドロップ、そしてよく知らないdApp用に、ほぼ空の「使い捨て」ウォレットをもう一つ用意しましょう。使い捨てウォレットが空になっても、失うのは昼食代だけで、貯金がなくなるわけではありません。メインウォレットをランダムなWeb3サイトに接続する習慣こそが、この犯罪行為全体を儲かるものにしている唯一の原因です。
すべての署名を読み、古い署名は取り消す。
2つ目の習慣は、署名する内容をよく読むことです。最新のウォレットやシミュレーションツールは、署名を確認する前に、署名によって何が許可されるかを明確に示してくれます。これらを活用し、理解できないメッセージに盲目的に署名してはいけません。次に、不要な承認を取り消して整理しましょう。取り消しツールは、トークンをまだ使用できるすべてのコントラクトを表示し、忘れていたコントラクトをキャンセルして、数か月後に攻撃者が侵入する可能性のある扉を閉めることができます。見慣れないサイトの場合は、まずブロックエクスプローラーでそのコントラクトを確認してください。履歴がゼロの新しいコントラクトは、典型的な設定です。2021年にクリックした無制限の承認は、削除するまで有効です。
財布を空っぽにするような事態に遭遇したらどうすればいいか
万が一の場合、スピードが何よりも重要です。手順を踏んで作業を進めてください。攻撃者がまだ奪っていない資金は、すぐに安全な新しいウォレットに移してください。攻撃者は残りの資金を狙って戻ってくることが多いからです。次に、侵害されたアドレスのすべての承認を取り消し、残りの権限が再利用されないようにします。そのウォレットは使用不能とみなし、永久に使用を中止してください。トランザクションハッシュを記録し、ChainabuseやScam Snifferなどのサービスにアドレスを報告してください。これらのサービスは、こうしたインフラストラクチャをマッピングしています。そして、資金の回復については正直に考えてください。オンチェーン送金は最終的なものであり、盗まれた資金が戻ってくることは稀です。したがって、真の勝利は、資金の流出を迅速に食い止めることです。
財布を空にする装置には、あなたの署名が必要ですが、鍵は必要ありません。
ダッシュボードやキット名を取り除けば、ウォレットを食い物にするツールが使える武器はたった一つ、あなたが承認する署名だけです。あなたの秘密鍵を盗むことも、チェーンを壊すことも、あなたが確認ボタンをクリックするまで一銭たりとも動かすことはできません。これは朗報でもあります。対策も同じくらい簡単です。大部分の資金はコールドストレージに保管し、「ウォレットに接続」のプロンプトはすべて、見知らぬ人があなたの鍵を要求しているものとして扱い、署名する前に許可内容をよく読んでください。そうすれば、数十億ドル規模の業界があなたの画面上で壁にぶつかります。ですから、次に無料のミントで署名を求められたら、唯一重要な質問を自分自身に問いかけてください。「私は一体何を承認しているのだろうか?」と。
