SophosLabs Uncut

新たな暗号通貨犯罪「流動性マイニング詐欺」

犯罪組織が偽のアプリ、悪意のあるスマートコントラクト、および偽の報酬で被害者を誘惑し、暗号通貨を騙し取っています。

** 本記事は、Liquidity mining scams add another layer to cryptocurrency crime の翻訳です。最新の情報は英語記事をご覧ください。**

暗号通貨の取引に関する誇大広告や、暗号通貨で巨額のデジタル資産を築いた (または失った) 人がいるという事実は、一部の投資家の興味を強く引きつけています。しかし、暗号通貨そのもの、および暗号通貨に基づく分散型金融 (DeFi) スキームの複雑さは、犯罪者が被害者を誘い込むのにも役立っています。スキームの複雑さを隠れ蓑にして偽アプリや悪意のあるスマートコントラクト、あるいは別のスキームを作成し、被害者に儲けが出ていると誤認させ、より多くの暗号通貨を支払うように仕向けているのです。

ソフォスでは以前にも、CryptoRom と呼ばれるスキームを紹介しています。このスキームでは、スマートフォンの出会い系アプリを通じて潜在的な標的に接触し、恋愛感情があることを装って被害者を誘惑して、偽の取引アプリや Web サイトを利用した偽の暗号通貨投資スキームに誘い込みます。しかし、CryptoRom を調査している最中に、また別のスキームへの誘導が筆者のラップトップに届きました。「流動性マイニングの研究」に参加するよう、Twitter のダイレクトメッセージで誘われたのです。

ダイレクトメッセージが届いたのをきっかけに調査を行ったところ、暗号通貨をベースにした分散型金融 (DeFi) の一種である「流動性マイニング」に基づく数多くの犯罪組織の存在が明らかになりました。流動性マイニングは正規の利用でさえも非常に複雑です。この複雑さが、昔ながらの詐欺手法を暗号通貨に応用した詐欺の格好の隠れ蓑となっています。

サイバー犯罪者は流動性マイニングの複雑さを各種詐欺の隠れ蓑として利用し、投資に対する莫大なリターンを約束することで被害者を誘い込んでいます。ソフォスでは、主に中国を拠点に活動し、偽のスマートコントラクト、Web サイト、アプリケーションを織り交ぜて、被害者の暗号通貨ウォレットを奪取しつつ、毎日利益を得ていると被害者に信じ込ませている組織を数多く発見しています。ソフォスで調査している他の暗号通貨詐欺と同様に、この種の詐欺も当初はアジアに集中していたものが後に世界中に広がっています。同様の詐欺は数多く発生しており、ソフォスがある事例について調査している間にも、また別の流動性マイニング詐欺の被害についてWashington Post 紙が報じています。報道された詐欺はソフォスでも以前に紹介した CryptoRom/sha zhu pan 詐欺に近い手法を用いていました。

流動性マイニングとは

流動性マイニングは本来、分散型金融 (DeFi) ネットワークにデジタル通貨の取引を自動的に処理させるために使われます。DeFi は、暗号通貨と同種のブロックチェーンベースの分散型台帳を使用し、異なる種類の暗号通貨間の取引を裁定する新しい金融技術です。DeFi を利用した取引は、台帳自体に組み込まれた取引プロトコルによって管理されます。

中央集権的な暗号通貨取引所は、預金から取引を行うための「マーケットメーカー」として機能します。Coinbase などの取引所は、大口投資家の預金の一部を用いて、取引所で人気のある暗号通貨の取引が確実に行われるように保証しています。その一方で大口投資家に対しては取引手数料の削減などの形で補償がなされ、相互関係が成り立っています。たとえば、 Ethereum を出金して Tether (USDT) のような「ステーブルコイン」に交換する取引を求めるユーザーがいる場合、取引所は取引を履行し、トランザクションを完了するのに十分な量の USDT を準備する必要があります。USDT を Ethereum に交換する取引についても同様です。

DeFi の取引所では、自動マーケットメーカー (AMM) と呼ばれるプロトコルがネットワークに組み込まれており、このプロトコルによって取引が実行されるため、中央集権的な取引所とは取引方法が異なります。DeFi ネットワークに組み込まれたスマートコントラクトは、交換される通貨の相対価値を迅速に決定し、取引を実行します。このような分散型取引所では、取引を完了するのに必要な暗号通貨のための一元化されたプールが存在しないため、取引を完了するために必要な暗号通貨資本のプール (流動性プール) を提供するクラウドソーシングに依存しています。

特定の暗号通貨同士の取引を処理する流動性プールを作成するために、投資家は通常、両方の暗号通貨を同量だけプールに貸与し、ブロックチェーン上でスマートコントラクトに紐づけます。 暗号通貨をプールに貸与する見返りとして、投資家はその DeFi プロトコルにおける取引手数料の割合に基づいた報酬を得られます。 「マイニング」という名称は、投資家が提供する流動性プールのシェアを表す流動性プールトークン (LP トークン) から付けられています。

LP トークン自体はまったく別の暗号通貨であり、その価値は紐付けられたプールに対して一定の割合に固定されています。

LP トークンを保有すると、通常、取引手数料の一部などの報酬が得られます。一方、損失を被るリスクも存在し、たとえば、暗号通貨プールの価値が下落して、トークンの売却価格が当初の購入価格を下回る可能性があります。 しかし、トークンの運営者がプールの資産を持ち逃げしない限り、投資家はいつでも手を引くことができます。

残念ながら、流動性プールの運営者が非倫理的であったり、根っからの犯罪者であったりすると、この仕組みが崩壊する可能性があります。DeFi 取引所には規制がなく、DeFi ネットワークの (通常は Ethereum ベースの) ブロックチェーンに組み込まれたスマートコントラクトコードだけが、取引の完了を保証しています。しかし、トークンが撤回されたり、トークンをバックアップするプールが存在しなかったりすると、取引が成立しなくなります。つまり、この仕組みにはオンラインでのねずみ講、偽のトークン、純粋な窃盗など、犯罪のリスクが存在します。

積み重ねられた嘘

暗号通貨に関心をお持ちの方にとっては残念なことに、非倫理的な詐欺目的の「流動性マイニング」スキームは数多く存在します。以前追跡した CryptoRom のように、犯罪組織の構成員は潜在的な被害者に近づくためにさまざまなソーシャルメディアやメッセージツール (あるいはスパムメール) を利用します。また、ブロックチェーンベースの取引の際に有名な組織を模倣したり、関係性を偽装したりする偽のモバイルアプリケーションや Web サイトを使用する例もあります。

流動性マイニング詐欺に用いられる Web サイトを宣伝する、数多くのスパムメッセージのうちの 1 つです。

しかし、今回追跡したスキームは、必ずしもロマンスに比重を置いたものではありませんでした。とはいえ、場合によっては若い女性の画像をプロフィールに使い、感情に訴えかけることもあります。

たとえば、筆者が受け取ったメッセージの送り主のプロフィールは以下のようなものでした。

この Twitter アカウントの人物は、「アメリカ」在住の若い女性を自称しています。

「Catherina」(現在は「Linna」という名前に変わっています) は、流動性マイニング詐欺の被害者をおびき寄せるために使用される数多くの同種のアカウントのうちの 1 つです。

このアカウントは、筆者がダイレクトメッセージを最初に受け取った日のほんの数週間前に開設されたものです。プロフィールのタイムラインには、女性のセルフィーや動画がずらりと並んでおり、一部の画像や投稿の内容から、ロシアで撮られたものであることがわかります。この女性の画像は、全く同じ内容を投稿している複数の Twitter アカウントで使用されています。

「Catherina」との会話を続けたところ、WhatsApp や Telegram でのやり取りに誘導されました。

Telegram でのやり取りを通じて、詐欺師は筆者に Coinbase のウォレットを開設し、そこに米ドルとほぼ等しい価値を持つ証券に裏付けられた「ステーブルコイン」であるとされる Tether (USDT) を預けるように促してきました。

詐欺師が送ってきたアプリストアの Binance アプリのスクリーンショットには自動翻訳の痕跡が見られ、中国語版のアプリが表示されていました。リンクが送られてきたわけではないため、このスクリーンショットは正規の Binance アプリのものだと思われます。

以下のスクリーンショットは、Google Play ストアの CoinBase Wallet (別の正規のアプリ) のものですが、表示されている言語はトルコ語でした。

詐欺師とのやり取りを通じて、筆者は「Catherine」にカナリアリンク (筆者が設定したサーバーに結びついた URL) を開かせることに成功しました。ログを見たところ、「Catherine」の IP アドレスは香港のものでした。

やがて、「Catherine」は「US Coinbase Investment Trading (米国 Coinbase 投資取引)」と名付けられた Telegram チャンネルで「プール」にウォレットを紐づけするための情報を得るように勧めてきました。同じ Telegram チャンネルが、「Liquidity mining part time exchange group (流動性マイニング情報交換グループ)」と題された Twitter のダイレクトメッセージグループでも宣伝されていました。

上記の Telegram チャンネルでは、近々大きな額の報酬が払い出される、といった「ニュース」が共有されています。その中には、詐欺のリスクがあるため、他のフォーラムメンバーからのダイレクトメッセージを一切信じないようにという戒めも含まれていました。CoinBase の管理者 (@Coinbase_CarlM) を装ったメッセージでは、詐欺グループは潜在的な被害者を「公式ブロック」にウォレットを登録するための URL に誘導していました。

この URL (coinbase-udt[.]cc) では、モバイル形式の Web サイトが表示され、WalletConnect プロトコルと互換性のある暗号通貨ウォレット用に特別にフォーマットされたリンクである QR コードをポップアップ表示します。MetaMask のようなブラウザのウォレット拡張機能がある場合は、ウォレットを登録するかどうかをユーザーに自動的に尋ねます。

この Web サイトは、20 億 USDT (約 20 億ドル相当) 以上の「ユーザー収入」を生み出し、2,300 の「有効な」ウォレット「ノード」がプールされていると主張しています。Web サイトは米国の Alibaba Cloud でホストされていますが、トップページ以外のテキストの多くは中国語です。

一度ウォレットを登録すれば、ユーザーは他のユーザーを招待することで追加の報酬を受け取ることができると、同サイトは約束しています。しかし、報酬を受け取るためには、ユーザーは「ブロックチェーンマイナー代」を支払い、自分のウォレットをノードとして設定するための「ブロックチェーン証明書」を受け取る必要があります。しかし、一度登録されたユーザーのウォレットの中身は、詐欺師によっていつでも引き出される可能性があります。ユーザーは、報酬を増やすためにウォレットに次々入金するように促されますが、暗号通貨を引き出すことも、「報酬」を実際に現金化することもできないことにいずれ気付かされます。

ドメインレコードを調査したところ、同じサーバーを指す類似のドメイン名が多数見つかりました。以下が発見されたドメイン名です。

Wwv[.]trxusdt.vip

eth-usdt[.]group

trxusdt[.]vip

coinbase-usdt[.]cc

ercusdt[.]vip

cyth-usdt[.]com

ソフォスは、今回調査した流動性マイニング詐欺の詳細を Coinbase などの組織と共有しました。しかし、発生している流動性マイニング詐欺は今回調査した一件だけではありません。 説得力を増すために Android と iOS の両方で偽のモバイルアプリケーションを使用する詐欺など、類似した他の詐欺の報告も相次いでいます。

潜在的な被害者の保護

暗号通貨詐欺の世界では、成功例が模倣犯を生み出します。詐欺師が CryptoRom/ sha zhu pan の仕組みを拡大して開発した新たなスキームは、それぞれ異なる方法で潜在的な被害者を増やそうとしています。

暗号通貨投資に関する保護、規制、信頼できる情報、法執行機関による国際協力のいずれもが欠如しているため、巧妙な詐欺を行うための十全な隠れ蓑が形成されてしまっています。世界中の多くの人々が情報源として SNS、WhatsApp、Telegram に依存しているため、詐欺師はこれらのプラットフォームを利用して被害者を誘い出し、できるだけ多くの金銭を奪い取るまで引き付けます。詐欺師は特に、新たな友人や交友関係あるいは金銭を得ることを目的としてこれらのサービスを利用する、つけ込まれやすい立場の人々を標的にしています。

詐欺の被害をさらに拡大させないためには、ユーザー教育が重要です。本記事で説明したような詐欺が存在すること、および詐欺を見分ける方法を知ってもらう必要があります。 暗号通貨取引所やウォレットプロバイダーなどは、詐欺に関連するドメインやウォレットを迅速にブロックする必要があります。

残念ながら、法執行機関が対策を講じることができる場合もありますが、法執行機関だけでこのような国際的な詐欺を阻止/停止できる可能性は極めて低くなっています。詐欺を完全に阻止するためには、犯罪組織が拠点としている国 (中国など) を含む、多くの国との国際的な協力が必要です。ある組織を壊滅したとしても、入れ替わるようにまた別の組織が現れるでしょう。Web やアプリ開発のエコシステム全体が、犯罪者が詐欺を行うのに有利になっているため、完全に詐欺を撲滅するためには、防御と教育を強化するほかありません。

コメントを残す

Your email address will not be published.