早くもSanDeGo実用化開始

前回の記事 : 国産コインSanDeGoエアドロ中

国内初の高利率POSコイン「SanDeGo」は今日現在で未上場ですが、
東京・池袋のハラールレストラン「マレーチャン」にて
固定レート1SDG=0.01円で仮想通貨決済が可能になりました。

5/4までのエアードロップで10万枚を受け取った方は無条件で
1000円分の金券ゲットに等しい状況なわけですが、
特に目的も無くSDGを受け取ってPOSによるステーキングを
していない都内在住の方は、いっそのことSDG決済でパッと
使ってしまうのもアリかもしれません。

詳しくは下記マレーチャン公式サイトをご確認ください。
https://www.malaychan-satu.jp/

エアドロなりすまし詐欺について

クリプトハーバー(以下CHE)トークンのエアードロップが始まって
数日が経過したわけですが、その中で申請者から
「エアードロップの送金先が第三者のイーサアドレスになっている」
という報告がありました。

Discordのチャンネル内で意見を交換した結果、
「Googleフォームを利用したエアードロップの脆弱性」
が見えてきました。

~ 今回の事件の概要 ~

1.被害者がCHEのエアードロップ申請を行い、下記の3つの情報を送信。
Twitter ID(@アカウント名)
Discord ID(名前#ユニークコード)
イーサリアムアドレス(ERC)

2.エアードロップがほぼ完了したにもかかわらずCHEトークンが届かない事を
不審に思った被害者が「エアドロ臨時窓口」に問い合わせたところ
運営サイドから重複して申請しているとして次のような申請ログが届いた。

4/5/2018 0:41:19
本人のDiscordID
第三者のTwitterID
第三者のイーサリアムアドレス

4/4/2018 0:34:20
本人のDiscordID
第三者のTwitterID
第三者のイーサリアムアドレス

4/3/2018 21:52:04
本人のDiscordID
本人のTwitterID
本人のイーサリアムアドレス

3.既にこの時点で運営から第三者にエアードロップが送金されており、
なりすまし犯にトークンを横取りされていたことが判明。
事件が発覚した。

~ なりすましの手口を考察 ~

色々と「運営サイドあかんやろ」的なツッコミどころはありますが
これは下記の要素が起因となります。

・Googleフォームの仕様
フォームを設定したCHE運営サイドは誰が申請したのか
IPアドレスなど個人を特定出来る情報は入手することは出来ない。
(悪用防止のためGoogleがそういう設計にしている)

・CHEエアードロップ申請の仕様(※推定)
申請したDiscordIDの公式チャンネル参加とTwitterIDの公式アカウントの
フォローという条件を満たしていると、指定されたイーサリアムアドレスに
エアードロップのトークンを送金する。
後から重複して送信された登録情報は「修正」として処理する。

勘の良い人ならお気づきと思いますが、この条件であれば
いくらでもなりすまし&横取りが可能です。

Discord公式チャンネルに参加するだけで他の人のIDは取得出来ます
Twitterで公式アカウントのフォロワーを見ればTwitterIDも取得できます
イーサリアムアドレスはJAXXなりMEWなりで好きなだけ発行できます

犯人はGoogleの捨てアカウントを作成し、Discordで適当なIDをコピー。
Twitterで公式アカウントのフォロワーから適当に参照したIDをコピー。
イーサリアムアドレスだけ自分のアドレスを用意。

これらを使ってエアードロップ最終日ギリギリに申請を行うと…?

・元になったDiscordID保有者がエアードロップ未申請の場合
=普通に申請が通るので、犯人がなりすましでエアードロップ入手。

・DiscordID保有者がエアードロップ申請済みの場合
=正規の入力済み情報が「修正」されて、犯人がエアードロップ入手。

というわけで、必ず犯人のなりすまし&横取りが成功します。

「犯人はDiscord内に居る誰かだ!」=数千人の中から絞れと?
「Twitterで問い詰めろ!」=なりすましに使われたIDはたぶん無関係な人。
「犯人のイーサアドレスを凍結してもらえ!」=現実的に無理。

というわけで完全に詰んでますコレ。
Googleフォームを使うエアードロップは理論上、
全部この手口使われるだけで太刀打ち出来ません。

~ どうすれば防げたのか? ~

単純に修正を承認せずに2回目以降の申請を全て運営が無視すれば
申請した被害者がトークンを横取りされるリスクは無くなるのですが
それだとDiscordに犯人が張り付いて、誰かがログインした瞬間に
その人のIDをコピーして即座に申請されたらアウトです。
(順番が逆なだけで被害者へのダメージは全く変わりません)。

となると、TwitterID&DiscordID&イーサアドレスしか入力させない
既存のエアードロップの方針ではなりすまし被害をなくすことは不可能です。

ここから先は今後、国産コイン・トークンを発行したいと考えている
運営者向けの内容ですが、詐欺の回避には下記の方法が考えられます。

1.エアードロップにGoogleフォームを使わず独自に行う。
犯罪者は自分を特定されるのを嫌いますので効果的です。

2.テレグラムBotを使ってエアードロップを行う。
最近の流行で、プライベートメッセージでのやりとりになるので
なりすましが出来ません。

3.Discordでエアードロップ受け付け用の運営アカウントを用意する。
テレグラムBotと同じような受付方法のDiscord版です。

4.同一IDからの複数申請があったら即座に送金せずに連絡を待つ。
特にシステム構築も要らず、これが最も無難です。

4に関しては運営サイドが申請者に連絡してあげる事が出来ればベストですが
エアードロップの申請件数的にそれは非現実的ですね。

結論としては、最もローコストかつ最低限の労力でなりすましを防ぐ方法は…
同一IDによる複数申請があった場合はエアードロップを行わず、
申請者から直接連絡があるまでは運営サイドは何もしない。
告知には「エアードロップが届いていない方はご連絡ください」
とだけ
記述し、なりすまし対策など余計な情報は書かない。
ですかね。
これだけでも被害は大幅に減らすことが出来るはずです。


ちなみに国内トークンだから今回注目されているだけであって、
恐らくこの手口は昔からずっと使われている古典的手法と思われます。

海外のエアードロップは結構高い確率で届かないんですが、
外人がテキトーだから届かないと思ってたけど、
実はなりすましに横取りされてるだけだった
というのも実は多いのかもしれませんね。

国産コインSanDeGoエアドロ中

現在、国産(日本初?)の高利率POSコイン「SanDeGo」の10万枚AirDropが
実施されています(申請期限は日本時間の2018年5月4日の24時まで)。

公式サイト : http://www.sandego.net/en/index.html

Discord : SanDeGo公式チャンネル

Bitcointalk :【エアドロップ】国産高利率POS通貨SanDeGo【最大40億】

詳細は申請用Googleフォームを見るのが一番わかりやすいですが、
海外系コインにありがちなテレグラムや個人情報入力も無く、
ツイッターでフォロー&リツイート、Discordへのチャンネル参加と
SanDeGoウォレットのダウンロード&ウォレットアドレスの
取得だけで行けるので、ハードルは激低めです。

エアドロがBOTに食い物にされないかが不安はありますが、
せっかくの非ETHトークン系のBlackCoinクローンで、
なおかつ国内コミュニティ&今後は気軽に投げ銭しやすくなるように
進展する見込みがあるので、なかなか面白そうっすね。

~ 初めてPOSコインを扱う人へ ~

基本的に複利を得るためにPOS系コインはウォレットを立ち上げっぱなし、
&電源入れっぱなしでの運用になります。
当然ながらハイエンド機でそういう事をやると電気代で死ぬので、
普通はレンタルサーバを使って運用する方が無難です。

CHCマスターノードの項を参考にUbuntu 14.04LTSレンタルサーバで
ウォレットを実行できる環境を組んだ人は、下記手順で
SanDeGoのPOSステーク環境を構築出来るのでお試しあれ。

・ウォレットのビルド
git clone https://github.com/sandegodev/SanDeGo
cd SanDeGo/src
make -f makefile.unix
strip sandegod

・コンフィグファイル作成
mkdir /root/.sandego/
nano /root/.sandego/sandego.conf
下記6行を記述してCTRL+O、CTRL+X。
rpcuser=username
rpcpassword=password
rpcallowip=127.0.0.1
daemon=1
listen=1
server=1

・ウォレット実行と同期チェック
実行
~/SanDeGo/src/sandegod -daemon
同期チェック
~/SanDeGo/src/sandegod getinfo
ウォレットアドレス生成
~/SanDeGo/sandegod getaccountaddress “”
SNm6G1Xd8RWK2tkw998CSCbZXGJrpDkdjG

個人的には一度Windows環境でウォレットの実行およびwallet.datを
バックアップしてから、それをレンタルサーバの /root/.sandego/ に
書き込んで運用するのをオススメします。
(暗号鍵を移植する方法も良いですけども)。

・・

なお、省電力ノートでのウォレットの運用も可能ですが、
多くのノートPCは1日8時間以上の利用をハードウェア的に
想定していないため火災リスクがあるのでご注意を。

 

~ 追伸 ~

いつかSanDeGoはCoinExchangeなどの取引所に上場すると思いますが、
高効率POSは必ず売り浴びせで値段が凄まじく上下変動します。
これはどう足掻いても避けることは出来ず、高利率POSの宿命です。

大量にステークして残高が増えるスクショが各所にアップされたり
異常にポジティブ発言が増えた頃合いを狙って仕手が食い殺しに来るので、
価格高騰を願って無理に大量購入したり、高値掴みをしないように
気をつけましょう。

~ 追伸2 ~

こんな感じに記事にまとめてブログにアップロードした後、
Discordで公式運営アカウント sandego#9457 にURLと
SanDeGoのウォレットアドレスを送ると独断と偏見で
5~30万枚の報奨を得ることも可能です。

AirDropで満足出来ないブロガーはレッツチャレンジ(・∀・)
ちなみにウチの内容だと一応”二桁万枚”ですた。

~追伸3 rain実施のお知らせ~

discordでも告知されていますが「ボット-bot」チャンネルに入り、
./agree
でsensu利用を承認してから1~2日に1回
./deposit sdgo
で残高照会をしておくとrain祭りで追加エアドロを取得できます。
詳しくはdiscordの「#ニュース-news」チャンネルをご覧ください。


– おひねり用SanDegoアドレス –
SNm6G1Xd8RWK2tkw998CSCbZXGJrpDkdjG