イーサリアムの最も一般的な用途の1つは、グループが取引可能なトークン、ある意味で独自の通貨を作成することです。これらのトークンは通常、ERC-20という標準に従っています。しかし、価値をもたらす正当なユースケースがあるところには、その価値を自分たちのために盗もうとする犯罪者も存在します。
彼らがあなたを騙そうとする可能性が高い方法は2つあります。
- 詐欺トークンを売りつける: 購入したい正当なトークンのように見えるかもしれませんが、詐欺師によって発行されたものであり、何の価値もありません。
- 悪意のあるトランザクションに署名させる: 通常、独自のユーザーインターフェースに誘導することで行われます。彼らは、あなたのERC-20トークンに対するアローワンスを彼らのコントラクトに与えさせたり、あなたの資産へのアクセスを可能にする機密情報を暴露させたりしようとするかもしれません。これらのユーザーインターフェースは、正規のサイトのほぼ完璧なクローンである可能性がありますが、隠された罠があります。
詐欺トークンとは何か、そしてそれらをどのように見分けるかを説明するために、その一例であるwARB (opens in a new tab)を見てみましょう。このトークンは、正当なARB (opens in a new tab)トークンのように見せかけようとしています。
イーサリアムには、資産がERC-20に準拠していない場合、名前が「w」で始まる「ラップド」バージョンを作成するという慣例があります。たとえば、ビットコインにはwBTCがあり、イーサにはwETHがあります。
すでにイーサリアム上にあるERC-20トークンのラップドバージョンを作成することは意味がありませんが、詐欺師は根本的な現実よりも正当な外観に依存しています。
詐欺トークンはどのように機能するのか?
イーサリアムの最大のポイントは分散化です。これは、あなたの資産を没収したり、スマート・コントラクトをデプロイするのを防いだりできる中央権威が存在しないことを意味します。しかし、それは同時に、詐欺師が望む任意のスマート・コントラクトをデプロイできることも意味します。
具体的には、アービトラムはARBというシンボルを使用するコントラクトをデプロイしました。しかし、それは他の人がまったく同じシンボル、または類似のシンボルを使用するコントラクトをデプロイすることを防ぐものではありません。コントラクトを書いた人は誰でも、そのコントラクトが何をするかを設定できます。
正当に見せかける
詐欺トークンの作成者が正当に見せかけるために行ういくつかの手口があります。
-
正当な名前とシンボル: 前述のように、ERC-20コントラクトは他のERC-20コントラクトと同じシンボルと名前を持つことができます。セキュリティのためにこれらのフィールドを当てにすることはできません。
-
正当な所有者: 詐欺トークンはしばしば、本物のトークンの正当な保有者であると予想されるアドレスに、かなりの残高をエアドロップします。
たとえば、もう一度
wARBを見てみましょう。トークンの約16% (opens in a new tab)は、パブリックタグがArbitrum Foundation: Deployer (opens in a new tab)であるアドレスによって保持されています。これは偽のアドレスでは_なく_、実際にイーサリアム・メインネットに本物のARBコントラクトをデプロイした (opens in a new tab)アドレスです。アドレスのERC-20残高はERC-20コントラクトのストレージの一部であるため、コントラクトの開発者が望む任意の値にコントラクトで指定することができます。また、正当なユーザーがそれらの詐欺トークンを処分できないように、コントラクトが送金を禁止することも可能です。
-
正当な送金: 正当な所有者は詐欺トークンを他人に送金するために支払いをしないので、送金があればそれは正当なものに違いないですよね? 間違いです。
TransferイベントはERC-20コントラクトによって生成されます。詐欺師は、それらのアクションを生成するようにコントラクトを簡単に書くことができます。
詐欺サイト
詐欺師はまた、非常に説得力のあるウェブサイトを作成することができ、時には同一のUIを持つ本物のサイトの正確なクローンでありながら、巧妙な罠が仕掛けられていることもあります。例としては、正当に見える外部リンクが実際にはユーザーを外部の詐欺サイトに送ったり、ユーザーに鍵を暴露させたり攻撃者のアドレスに資金を送金させたりする誤った指示などがあります。
これを回避するためのベストプラクティスは、訪問するサイトのURLを注意深く確認し、既知の本物のサイトのアドレスをブックマークに保存することです。そうすれば、誤ってスペルミスをしたり外部リンクに頼ったりすることなく、ブックマークから本物のサイトにアクセスできます。
どのようにして身を守ることができるか?
-
コントラクトアドレスを確認する: 正当なトークンは正当な組織から提供されており、組織のウェブサイトでコントラクトアドレスを確認できます。たとえば、
ARBの正当なアドレスはこちらで確認できます (opens in a new tab)。 -
本物のトークンには流動性がある: もう1つの選択肢は、最も一般的なトークンスワッププロトコルの1つであるユニスワップ (opens in a new tab)で流動性プールのサイズを見ることです。このプロトコルは流動性プールを使用して機能し、投資家は取引手数料からのリターンを期待してトークンを預け入れます。
詐欺師は実際の資産を危険にさらしたくないため、詐欺トークンには通常、流動性プールがあったとしてもごくわずかです。たとえば、ARB/ETHのユニスワッププールには約100万ドルが保持されており(最新の価値はこちらを参照 (opens in a new tab))、少額の売買で価格が変わることはありません。
しかし、詐欺トークンであるwARBを購入しようとすると、ごくわずかな購入でも価格が90%以上変動します。
これは、wARBが正当なトークンである可能性が低いことを示すもう1つの証拠です。
-
Etherscanで確認する: 多くの詐欺トークンはすでにコミュニティによって特定され、報告されています。そのようなトークンはEtherscanでマークされています (opens in a new tab)。Etherscanは信頼できる唯一の情報源ではありませんが(正当性に対する権威ある情報源が存在し得ないのが分散型ネットワークの性質です)、Etherscanによって詐欺として特定されたトークンは詐欺である可能性が高いです。
結論
世界に価値がある限り、それを自分のために盗もうとする詐欺師が存在し、分散型の世界では自分以外に自分を守ってくれる人はいません。正当なトークンと詐欺を見分けるために、以下のポイントを覚えておいてください。
- 詐欺トークンは正当なトークンになりすまし、同じ名前やシンボルなどを使用する可能性があります。
- 詐欺トークンは同じコントラクトアドレスを使用することは_できません_。
- 正当なトークンのアドレスの最良の情報源は、そのトークンを発行している組織です。
- それができない場合は、ユニスワップ (opens in a new tab)やBlockscout (opens in a new tab)などの人気のある信頼できるアプリケーションを使用できます。
ページの最終更新: 2026年6月6日
