黒ブタBLOG

XYM(Symbol)の委任ハーベストの設定で詐欺被害にあった。

どーも、黒ブタです

Twitter界隈ではSymbolのコミュニティメンバーやノード管理者チームが今回の詐欺に関して色々検証してくれている。

ただ実際に詐欺にあった側の心情や、なぜ詐欺に引っかかってしまったのかということに関して詳細を記しているものは見かけなかった。
詐欺にあった事はとても恥ずかしいことではあるが、同じ詐欺手口の被害者を減らすためにもブログに残そうかと思う。

まず、検証側は詐欺の詳細などをある程度知った上で検証してるので、

・身に覚えのない知らないアグリゲートボンデッドは無視すればいい
・署名が必要なトランザクションはちゃんと中身を確認、理解してから署名すれば詐欺なんてあわない
・ノード管理者側から委任ハーベスト申請時に送金指示をすることはない
・秘密鍵の要求などはない

という意見を複数見かけた。

でも待ってほしい。
個人的な意見で申し訳ないが、僕のように他の通貨がメインでXYMもリストに少し加えようと思って詳しく調べずに手を出す人もそれなりにいると思う。
その場合Symbol(XYM)関連の情報を発信しているTwitterアカウントは当然フォローしていないので、そもそも賑わっていた情報を手に入れずに委任ハーベストの設定まで進んでしまう場合がある。
委任ハーベストの手順が分からないので、その問題に直面して初めて手順に関して詳しく解説しているブログや動画を探して設定をする。
僕が設定を進めていた時は詐欺が出始めた初期?だった為、それらの情報が手順のブログや動画の中で注意・警告がなかった。

そんな中でなぜ被害に遭ってしまったのか?詐欺を警戒していなかったのか?またどのような心情だったのか?を流れと共に書いていく

皆が皆ベテランで検証サイドの目線ではなく、初心者や情報を仕入れていない状態で設定を進める人も少なからずいると理解してもらいたい

メモ
委任ハーベスト = デリゲートハーベスト
サイトによって違うので名称を統一してほしい

参考にした動画(とてもわかりやすかった)
ジンジロさん(@jinjiroXYM)作成

おすすめの参考サイト
シン・ねむぐま超絶未来さんの記事
Twitter:@nembear
Symbol(XYM)デスクトップウォレット委任ハーベスト設定&委任先変更方法

sayo桜XYMハーベストノード運用中さんの記事
Twitter:@sayosayo712
Symbol(XYM)委任ハーベストのやり方(デスクトップウォレット版)

SACHI@とんがりコイナーさんの記事
Twitter:@bakuagecoin
Symbol(XYM) 委任ハーベストのやり方!報酬利率はどれくらい?不労所得の方法!

委任ハーベストの設定を開始・・・・しようと思ったら最低10,000XYMないと設定に進めないことが発覚

追記
本当はテスト的に少額で委任ハーベストの接続確認をしてから必要な枚数を入れて本番としたかったが最低必要枚数の10,000XYMがウォレットに入っていなければテストもできないぶっつけ本番でやるしかなかったのでそれも詐欺被害に遭ってしまった要因の1つかと思っている。
僕はいつもならGox対策などで必ず少額で送金テストなどしてから物事を進めています。
シンボルウォレットではそこら辺を改善してほしい。

1. XYMを購入
XYMの取り扱いのある日本の取引所は少ない
ZAIFでXYMを購入する

XYMの取り扱いのある日本の取引所
ZAIF,
サクラエクスチェンジビットコイン,
bitbank(2021/10/05~)

2. シンボルウォレットをインストール
僕の場合はNEM(XEM)を持っていてオプトインをしていた為、シンボルウォレットの設定はしてあったのでここはスキップ

3. XYMを自身のシンボルウォレットに送金
取引所で購入したXYMを自身のシンボルウォレットに送金

4.インポータンススコアの確認
着金確認後、委任ハーベストの設定を開始しようと思ったらインポータンススコアが0%より大きくないと始められないことを知り待機
インポータンススコアの更新を待つ(数時間~最大12時間)

5.委任ハーベストの設定を開始
インポータンススコアが0%より大きくなったことを確認していよいよ委任ハーベスト(デリゲートハーベスト)の設定をスタート!

※半日オフラインでシンボルウォレットを開きっぱにしていてネットに接続してもインポータンススコアが0%のままだったので、ログインし直して初めてインポータンススコアが上がっているのを確認できた。
セキュリティ対策の為にも用がない時、離席する時などはオンラインオフライン関係なく必ずログアウトした方がいいと思う。

6.すべてのキーをリンク
条件の合う好みのノード運営者様を探す(「XYM 委任ハーベスト 還元」などでTwitterやGoogle検索をする)
ノードを選択、または直接入力する
委任ハーベスト(デリゲートハーベスト)のすべてのキーをリンクをクリックする

そうするとポップアップが出現する

7.すべてのキーをリンクする用のトランザクションに署名
上記確認を押すとトランザクションに署名というポップアップ画面に切り替わる

※ジンジロさん(@jinjiroXYM)すみません画像を撮っていなかったので動画の中から切り取り拝借させていただきました。
再度委任ハーベストを申請するときに自前の画像を用意し切り替えます。

ここでパスワードを入力して署名する(パスワード入力1回目)

ここから詐欺に注意

8.ハーベスティングをリクエスト
キーのリンクが成功するとハーベスト状況が【無効】の状態から【リンク済みキー】に切り替わり、次のステップ
【ハーベスティングをリクエスト】が出来るようになる。

※ハーベスティングをリクエストのボタンが【ハーベスティングをリク】となっていて途中で見切れているのは改善できないのだろうか?

とりあえずボタンを押す

9.ハーベスティングをリクエスト用 アカウントのアンロック
2度目のポップアップ出現
パスワードを要求され警戒心アップ(パスワード入力2回目)
だが、トランザクションの署名ではないのでとりあえずパスワードを入力し進む

※ジンジロさん(@jinjiroXYM)すみません画像を撮っていなかったので・・・以下同文

10.ハーベスティングをリクエスト用のトランザクションに署名
アカウントのアンロックが完了するとポップアップが切り替わる。

※ジンジロさん(@jinjiroXYM)すみません画像を撮っていなかったので・・・以下同文

ん?
トランザクションの署名?!
またパスワード入力?!
3度もパスワードの要求があった為、流石に怪しいと思い詐欺を疑い出す・・・警戒心MAX状態に。(パスワード入力3回目 – キャンセル)
少し気になるので一旦手順の確認で複数サイト徘徊をする

ここで一旦署名をキャンセルしてホームに戻る
戻ってしまった。
これが大問題でした
下記画像の赤枠の詐欺のアグリゲートボンデットが未承認の状態で待機

11.ハーベスティングをリクエスト用のトランザクションに署名
複数サイトの徘徊後、動画でもサイトでも2回目のトランザクションに署名(パスワード入力3回目)は正しい手順で怪しいものではないことを確認
申請の続きに入る
ホームにあった委任ハーベストの申請と同時に来ていた詐欺のアグリゲートボンデットを開くとパスワードの要求がある
※他にも中身があったと思うがその時はパスワードに目がいってしまっていて他が目に入らなかったようです。

※これが詐欺のアグリゲートボンデットの中身です。
僕はこの中身に気づかずに下部にあったパスワードを入力して(署名)しまった。
署名前はこの下部にパスワードの入力用のBOXが設置してあるが、この写真は署名後なのでパスワードの入力欄は既にありません。

委任ハーベストで委任先から送金の要求がされることはありません

心情
10であったハーベスティングをリクエスト用のトランザクションに署名がこっちにも案内来ているのか。
親切設計だなと勘違いをする。
詐欺のアグリゲートボンデットをハーベスティングをリクエスト用のトランザクションに署名するものと同じものだと誤認して手続きを進めてしまう。

※ジンジロさん(@jinjiroXYM)すみません画像を撮っていなかったので・・・以下同文

ポップアップの【トランザクションに署名】の内容を念入りに見るが特に気になるメッセージはないし(数字とアルファベットの暗号化のようなものはあった気がする)、モザイクの記載も手数料以外にないから安心だな(全然安心じゃない)
パスワードの入力をする(パスワード入力3回目完了-詐欺被害確定)

12.ハーベスティングの開始を待つ
手続きが終わったら数秒から数分で有効化(ハーベスティングの開始)するって書いてあるし、とりあえず待つか

この間にもピコンピコンとトランザクションの署名に成功やらなんやら流れていく



20分経ってもハーベスト状況は有効化にならずこの辺りでおかしいと思い始める

13.ホームで色々確認する


あれ?
ウォレットの残高10,600くらいあったのに10,500減って105XYMしかない!!
これはなんかやばそうな気がする・・・

とりあえずホームで気になるやつ上から順に確認していくか

↑で署名したアグリゲートボンデットの中身を改めて確認
んん?
なんだこのモザイク【10,496.144531 (XYM)】っていう数字は!?
やっちまったか?
でもメッセージにはDelegate(委任)って書いてあるし、委任ハーベストに必要な分は預けないといけなかったのか?
・・・と疑心暗鬼になる。

14.Twitterを徘徊
「XYM 委任ハーベスト 詐欺」などでキーワード検索をかけると直近(前日9/28)で似たような案件の情報がヒットしてとても焦り始める

——————
委任ハーベストに必要な分は預けないといけなかったのか?
——————
こちらの事件に関していち早く反応しており、委任ハーベストについて詳しく知っていそうなNEMに人生を賭けたさん(@XEM555)にTwitterで突撃質問すると、
「送金は必要なく残高が減ることはありません。
あったとしても手数料分だけで10000も減ることはない」
と丁寧に回答を頂けた。

この時点で状況が状況なだけに詐欺をほぼ確信する

15.数時間後に犯人からと思われるメッセージが届く
事件発生から4時間くらいした頃に犯人からと思われるメッセージが届く
中身を開けるとおちょくるようなメッセージが添付されており、詐欺被害の事実を受け入れる

16.Twitterにて注意喚起
Twitterはしていたが、Symbol(XYM)関係のフォロワーさんはほとんどいなかったのでDMで相談する事もできず手口も悪質極まりない&巧妙だったため少しでも早くなんとかして被害拡大の注意喚起をしたい。
そう思い、Twitterにて少しでも多くの開発者やノード管理者、委任ハーベストをこれから行おうと思っているユーザーに察知して貰えるように少し大袈裟にツイート回数を多めにして注意喚起を始める。

17.複数のノード管理者様が気付づく
複数のノード管理者様が気付いてリツイートをしてくれるようになる

気づいてもらえたので成り行きを観察

今に至る

これが実際に詐欺被害にあうまでの流れです。
被害者側の視点を理解してもらえればと思います。

追記(2021/09/30 19:30)
開発陣の方々が今回の件を重く見たからかわかりませんがデスクトップウォレットの更新があったようです。
注意警告だけではなくトランザクションに署名のポップアップ画面に送金などがある場合はその総額などの記載があれば詐欺被害は格段に減らせるかと思うのですが、難しいのだろうか?

モバイルウォレットは特に注意が必要のようです

僕の場合はデスクトップウォレットでの被害だったのですが、情報を追いかけているとモバイルウォレットの方が深刻なようです。
モバイルウォレットではトランザクションの中身を確認することが出来ない?らしく、委任ハーベストの申請とほぼ同時刻に詐欺のアグリゲートボンデットが届いている為、何もわからずに委任ハーベストに必要なものだと判断して承認を押してしまう事案が発生しているようです。

追記(2021/10/01 22:20)
また、iPhoneユーザのFace IDだと承認作業も自動でしてしまう場合があるらしいです。

また本日(2021/10/01)日本の取引所の一つ「bitbank」の公式発表で2021/10/05にXYMが上場するようです。
bitbankの利用者はスマホで取引している方が多いかと思います。
XYMを購入するだけなら特に詐欺にあうことはないかと思いますが、大量購入者で委任ハーベストをこれから行おうかと考えている方は、問題が解決するまでは必ずデスクトップウォレットで設定することをお勧めします。

パスワードを何度も要求されるのはなぜ?

パスワードを何で何度も要求されるの?と不安と不満を持っていましたが、その疑問にNEMやSymbolに詳しいXEMBookさん(@xembook)が教えてくださいました。
主に大事なデータを盗まれないようにするセキュリティ対策のようです。
納得の理由ですね!