「コードは法律より信頼できる」——スマートコントラクトはそう言われることがありますが、2026年現在、そのコード自体を悪用したスマートコントラクト詐欺が急増しています。バックドア(抜け穴)の埋め込み・蜂蜜罠(ハニーポット)・偽トークン発行など、ブロックチェーンの透明性を逆手にとった高度な手口が次々と登場しており、技術に詳しい投資家でも被害に遭うケースが報告されています。
2023年累計被害額
検出数(年間)
資金を奪う速さ
コード確認可能
📋 この記事でわかること
- スマートコントラクト詐欺の主要5パターンと具体的なコード悪用手口
- ハニーポット・バックドア・アップグレード悪用を見抜くチェック方法
- Etherscan・ツールを使った安全確認の実践的手順
- 被害に遭った際の対処法と相談先
スマートコントラクト詐欺とは
スマートコントラクト(Smart Contract)とは、ブロックチェーン上に記述された「自動実行されるプログラム」です。条件を満たすと自動的に処理が走り、誰の介入も不要で取引が成立します。Ethereumを筆頭に多くのブロックチェーンで活用されており、DeFi・NFT・DAO(分散型自律組織)など幅広い用途に使われています。
しかしこの「自動実行」の性質が詐欺師に悪用されています。一度デプロイされたコントラクトは基本的に変更不可であり、被害が発生しても「コード通りに動いただけ」と主張されると法的対応が困難になります。また、多くのユーザーはコードを読まずにトランザクションに署名するため、騙されやすい環境が生まれています。
⚠️ 重要警告
スマートコントラクト詐欺は「コードが透明だから安全」という思い込みを突いてきます。コードが公開されていても、一般投資家にはその危険性を読み解く知識がないことを詐欺師は熟知しています。
スマートコントラクト詐欺の主要5パターン
パターン①:ハニーポット(Honeypot)詐欺
ハニーポットとは、購入はできるが売却(引き出し)が不可能なように設計されたトークン・コントラクトです。コードに一見わかりにくい形で「売却を拒否する条件」が埋め込まれており、購入者は永久にトークンを売れずに資金が閉じ込められます。
- DexscreenerやDexToolsで急騰チャートを見せて購入を誘導
- 複数のウォレットが「利益を出している」ように見える(自作自演)
- 購入すると売却ボタンを押しても常にエラーまたは高額ガス代
- 所有者のみ売却できる隠し関数がコード内に存在
チェック方法
Honeypot.is(honeypot.is)でトークンアドレスを入力するだけで、ハニーポット判定が数秒でわかります。投資前に必ず確認してください。
パターン②:バックドア・管理者権限の悪用
スマートコントラクトのオーナー(管理者)アドレスに、ユーザーの資金を任意に引き出せる関数や、税率を100%に変更できる機能が隠されているパターンです。コードが公開されていても、難読化や複雑な継承構造で一般ユーザーには見落とされます。
- withdraw()やemergencyWithdraw()関数で全資産を引き出せる設計
- setTax()で取引税を0%→99%に変更する機能が隠れている
- BlackList機能でユーザーの売却を一方的にブロックできる
- Proxy構造を使い、後でコントラクトの実装を差し替え可能
パターン③:アップグレード可能コントラクトの悪用
「アップグレード可能なスマートコントラクト」は合法的な技術ですが、詐欺師はこれを悪用します。最初は無害なコントラクトを監査・公開し、信用を得た後でアップグレードにより悪意のあるコードに差し替え、ラグプルを実行します。
- OpenZeppelin製のProxy パターンを使用し合法に見せる
- 監査は初期コントラクトのみで実施、差し替え後は無監査
- ガバナンス機能を偽装し、実際はマルチシグが管理者権限を持つ
- 大規模TVLが集まってからアップグレードを実行して逃走
パターン④:フロントランニング・MEV悪用詐欺
MEV(Miner Extractable Value)とは、ブロック生成者がトランザクションの順番を操作して利益を得る仕組みです。詐欺師はこれを利用した「MEVボット」と称するコントラクトへの出資を募り、ユーザーの資金を横取りします。
- 「自動でアービトラージ利益を出すMEVボット」と宣伝
- GitHubにそれらしいコードを公開して信頼性を演出
- ユーザーがETHを送金するとオーナーに自動転送される設計
- YouTubeの「MEBボット解説動画」経由での被害が特に多い
パターン⑤:偽エアドロップ・承認フィッシング
無料でトークンを配布(エアドロップ)するように見せかけ、受け取り操作の中で「setApprovalForAll」などの全資産承認トランザクションに署名させる手口です。NFT保有者を標的にしたケースが特に増加しています。
- 「〇〇プロジェクトのエアドロップが受け取れます」とDM誘導
- 偽サイトでウォレット接続→setApprovalForAll署名を要求
- 署名した瞬間にウォレット内のNFT・トークン全て引き出し
- 高額NFTコレクション保有者が集中的に狙われる
スマートコントラクト詐欺の典型的な被害フロー
急騰チャート・エアドロップ情報を発見
Twitter・Discord・YouTubeで「今すぐ買わないと乗り遅れる」という情報を目にする
コントラクトを確認せずにトランザクションに署名
「公開されているから安全」と思い込み、コードを読まないまま署名・入金する
利益が出ているように見える(または即時被害)
ハニーポットは購入後に価格が上がるが売れない。バックドアは一定期間後に実行
売却不可・資産消失を発見
売ろうとしてもエラー、またはウォレットが空になっている状態を発見
プロジェクト消滅・回収困難
「コードが意図通りに動いた」と主張され、法的手段も困難な状況に
スマートコントラクト詐欺を見抜く実践チェックリスト
✅ チェック①:Honeypot.isでハニーポット判定
honeypot.isにトークンアドレスを入力。「Is Honeypot: Yes」なら即座に回避。無料で数秒で確認できる最初のステップ。
✅ チェック②:Etherscanでオーナー権限を確認
EtherscanのContract→Read Contractタブで「owner」アドレスを確認。ゼロアドレス(0x000…)なら権限放棄済みで比較的安全。オーナーが存在する場合はその権限関数を精査する。
✅ チェック③:TokenSnifferでリスクスコアを確認
tokensniffer.comにアドレスを入力するとリスクスコアが表示される。売却税・ブラックリスト機能・自己破壊関数などの危険な要素を自動検出してくれる。
✅ チェック④:Revoke.cashでApprove権限を管理
revoke.cashで自分のウォレットが過去に与えたApprove権限を一覧確認・削除できる。定期的に不要な権限を削除する習慣をつける。
✅ チェック⑤:トップホルダー構成を確認
Etherscanのトークンページでホルダー一覧を確認。上位数アドレスが総供給量の50%以上を保有している場合は操作リスク大。
✅ チェック⑥:署名内容を必ず読む
MetaMaskの署名画面で「setApprovalForAll」「Unlimited Approve」が表示された場合は即座に拒否。エアドロップの受け取りに全体承認は不要です。
スマートコントラクト詐欺の被害に遭ったら
被害が発生した場合、最初にすべき行動は残存資産の保護です。revoke.cashで全Approve権限を削除し、残っている資産を新しいウォレットに移動させてください。
| 相談先 | 対応内容 | 費用 |
|---|---|---|
| ワンダーウォール | SC解析・ブロックチェーン追跡・被害証明書作成・LINE匿名相談 | 無料一次診断あり |
| 警察サイバー犯罪相談窓口 | 被害届受理・捜査機関連携 | 無料 |
| 金融庁(無登録業者申告) | 違法業者の注意喚起・情報提供 | 無料 |
| 仮想通貨専門弁護士 | 損害賠償請求・取引所への開示請求 | 有料(要相談) |
🆘 SC詐欺・ウォレット被害はすぐ相談
スマートコントラクト解析・ブロックチェーン追跡は高度な専門知識が必要です。
ワンダーウォールはSC詐欺被害に対応した専門チームが最短3時間で調査を開始します。
よくある質問(FAQ)
まとめ:コードを信頼しすぎず、ツールで必ず確認を
スマートコントラクト詐欺は、技術の透明性を逆手に取った巧妙な手口です。ハニーポット・バックドア・アップグレード悪用・MEVボット詐欺・承認フィッシングの5パターンを理解し、Honeypot.is・TokenSniffer・Revoke.cashなどの無料ツールを活用した確認を習慣化することが最大の防衛策です。
イーサリアムを狙った詐欺全般についてはイーサリアム詐欺の手口まとめ、DeFiに特化した情報はDeFi詐欺の手口と見分け方もご参照ください。また仮想通貨詐欺の手口一覧もあわせて確認しておくことをお勧めします。
すでに怪しいコントラクトに資金を預けてしまった・ウォレットから資産が消えた、という場合は一人で悩まず
ワンダーウォールへの無料相談から始めてみてください。匿名でLINEから相談でき、専門家が状況を整理してくれます。
