ソーシャルエンジニアリングとは、人間の心理やミスを利用して重要なデータや財産、アクセス権などを盗み取る方法を指します。「巧妙なソーシャルエンジニアリングによって仮想通貨トークンのAaveが危うく盗み取られるところだった」という人物が、被害者側からの視点で自らが受けたソーシャルエンジニアリングの手口をまとめています。



今回、危うく所持している仮想通貨トークンを根こそぎ奪われかけたのは、オープンソースの垂直離着陸機(VTOL機)開発プロジェクト・Arrowを運営するトーマス(@thomasg_eth)氏。トーマス氏はArrowについて「まだ初期段階にあり、多くの人々からの協力を受け付けていて、協力してくれる人々を拒むことはない」と説明しています。



ある日、ArrowのDiscordチャンネルに「heckshine」という名前のユーザーが参加しました。自己紹介でheckshineは、ゲーム開発企業のUbisoftで働いており、3Dデザインやアニメーションを手がけていると述べました。また、VTOLに対する情熱や、義理の兄弟がボーイングの副社長であること、メタバースプロジェクトに取り組んでいる友人がいるといった情報をheckshineは語ったそうです。



heckshineの英語には妙な部分があったものの、トーマス氏は「言語の壁があるからだろう」と大して気にしなかったとのこと。その後の数日間で、heckshineはArrowのウェブサイトで使用するアニメーション製作に取りかかり、きちんとしたデータを提出したほか、航空機のレンダリングにも取り組み始めました。この時点で、トーマス氏や他のArrowメンバーは、heckshine氏の献身的な姿勢に感銘を受けていました。

そんな中、heckshineは友人である「Linh」という人物をトーマス氏に紹介し、「LinhがArrowに興味を持っているからメールを送ってくれないか」と頼んできました。Linhの参加はArrowにとって有益だと伝えられたトーマス氏がメールを送ると、Linhは思慮深いメールで返信し、自身が運営する「Space Falcon(スペースファルコン)」というメタバースプロジェクトについて話したとのこと。この時点では、トーマス氏は特にNFTに興味を持っているわけではなかったので、Linhのメタバースプロジェクトについて深く考えませんでした。

Linhはその後のやり取りで、自身がボーイングや電動航空機スタートアップのWiskとつながりがあることや、Arrowに関するいくつかの考えを述べ、最終的にArrowのアドバイザーとして参加することとなりました。Linhの英語にもやはり違和感があったものの、これも言語の壁が原因だろうと気に留めなかったそうです。



その後、Linhはスペースファルコンについて、ユーザーが保有するNFTに応じて継続的に収入を得られる「ステーキング」という仕組みだと話しました。このあたりでトーマス氏が調べてみたところ、確かにスペースファルコンというゲームプロジェクトは存在し、ブロックチェーンのSolanaでかなり人気があるということが判明。また、チームページにはLinhの名前も表示されていたそうです。



それからもheckshineは献身的にArrowのプロジェクトに協力し、いくつかの超高品質なレンダリングデータを提出していたとのこと。そしてheckshineがプロジェクトに参加してから2週間が経過したある日、Discorfでトーマス氏とheckshineが航空機の設計について会話していたところ、Linhから驚きのニュースが飛び込んできました。Linhは、Wiskのチームとトーマス氏の面会の約束を取りつけることに成功したと報告し、Wiskのヴァイス・プレジデントとやり取りした電子メールスレッドのスクリーンショットを貼り付けました。後になって考えると非現実的な話ではあるものの、トーマス氏はこれをうそだと信じる理由もなく喜びました。



このタイミングで、Linhはスペースファルコンのステーキングアプリがリリースされたと述べ、トーマス氏のイーサリアムウォレットにNFTを送ってアプリをテストしたいと依頼しました。LinhのArrowに対する協力に感謝しているトーマス氏は、アプリのテストくらいの手伝いは当然だと考えて受諾。トーマス氏はこの際、スペースファルコンが新しいプロジェクトであるという点を考慮して、NFTを新しいイーサリアムアカウントに保管することにしました。これは、将来的にスペースファルコンに関連する問題が発生し、悪用された場合に備えてのことでした。Linhがトーマス氏に見せたウェブサイトのページには、「Armstrong ETH」というトークンを利用することが記されていました。



結果的に、ステーキングプロセスは問題なく完了し、操作も簡単だったことをトーマス氏は伝えました。すると、Linhは新たに他のNFTを送ることを申し出た上で、「スペースファルコンの成長をサポートするために、メインアカウントに保管してほしい」と依頼してきました。面倒ではあるものの受け入れたトーマス氏が、「メインアカウントでステーキングする前に、契約をしっかり読み通す」とLinhに知らせたところ、なぜかLinhの態度が強引になり始めたとのこと。これにより、トーマス氏は何かがおかしいことに気付いたそうです。



最初にLinhからNFTが送られたアドレスの取引履歴を確認したところ、ステーキング時に承認したイーサリアムトークンはウェブサイトに記されていた「Armstrong ETH」ではなく、別のトークンであるAaveだったことが判明。トーマス氏は、メインアカウントでAaveを多数保有していました。この時点でLinhらは全てのDiscordメッセージを削除し始めたそうです。トーマス氏がさらに契約を精査すると、「アカウントから任意の金額のイーサリアムトークンを転送できる機能」が含まれていることがわかりました。つまり、もし最初のNFTを新しいアカウントに保管せず、普段から使っているメインアカウントに保管していた場合、Linhらはトーマス氏のメインアカウントにAaveを送れるだけでなく、逆にAaveを自由に引き出すことも可能だったというわけです。



その後の調査で、Linhらのアカウントには100ETH(約3300万円)もの資金があり、Linhらは非常に資金豊富なグループだったことがわかりました。この点から、トーマス氏はLinhらが3Dデザインの請負業者を雇い、heckshineの仕事を委託していたと考えています。また、スペースファルコンというプロジェクトは実際に存在していますが、Linhは実際にプロジェクトに関わる同名の「Linh」をかたる偽物だったとのこと。



今回の事例から、トーマス氏は「トークンの承認は非常に危険であり、最新の注意を払う必要がある」「詐欺師は非常に賢くなっており、これまでより巧妙で徹底的な手口を使う」「どれだけ信頼できる相手であっても、常に確認する」という教訓が得られると主張。今回のLinhらは実に2週間もプロジェクトに関わってトーマス氏の信頼を獲得しており、被害を回避できたのは単に新しいアプリのセキュリティを気にしたからに過ぎません。

トーマス氏は、「最小限のダメージでこれら全てを乗り越えられたのはとても幸運です。皆さん、気をつけてください!」と報告を締めくくりました。