DeFiの世界では技術的なハッキングと並んで、「ラグプル」をはじめとした詐欺的なプロジェクトによる被害が後を絶ちません。ラグプルとは、プロジェクト開発者がユーザーから資金を集めた後に突然姿を消し、資産を持ち逃げすることを指します。2021年から2023年の間に、DeFi詐欺による損失はハッキング被害を上回る規模に達したとする調査結果もあります。本記事では、ラグプルの種類と手口、詐欺プロジェクトの典型的な特徴、そして被害を防ぐための実践的なチェックリストを詳しく解説します。
ラグプルの種類:ハードラグプルとソフトラグプル
ハードラグプル:突然の流動性引き出し
ハードラグプルは最も明確な詐欺形態で、開発者がプロジェクトの流動性プール(LP)から突然全ての資金を引き出し、投資家のトークンを無価値にするものです。Uniswapなどのデックスに上場したトークンのコードに「流動性を一瞬でロックを解除して引き出せる関数」が仕込まれているケースが典型的です。Squid Game Token(2021年11月、約330万ドル)などが有名な事例です。
ソフトラグプル:ゆっくりとした資産の流出
ソフトラグプルは、開発者が徐々に保有トークンを売却・開発を停止・チームを解散させるなど、時間をかけて資産を流出させる手法です。突然の流動性引き出しはなく、「自然消滅」のように見えるため、詐欺と認定されにくいグレーゾーンのケースも多くあります。多くの「失敗したプロジェクト」がこのカテゴリに当たります。
典型的な詐欺プロジェクトの特徴・レッドフラグ
匿名チームと検証不可能な実績
詐欺プロジェクトの最大のレッドフラグは、チームメンバーが全員匿名であることです。暗号資産の世界では匿名自体は珍しくありませんが、本物のプロジェクトのチームはLinkedInでの経歴確認が可能だったり、以前の実績を参照できたりします。「KYC(本人確認)済み」と謳うプロジェクトも、KYC提供企業の信頼性を必ず確認しましょう。
ホワイトペーパーのないプロジェクト・コピペ白書
正当なプロジェクトは必ずホワイトペーパーを公開し、技術的な仕様・ロードマップ・トークノミクスを詳細に説明しています。詐欺プロジェクトはホワイトペーパーが存在しないか、他のプロジェクトからコピーされた内容、あるいは意味のない専門用語を並べた空虚な文書を公開するだけのケースが多いです。
スマートコントラクトの危険なコード:技術的チェックポイント
流動性ロック状況の確認方法
ラグプル対策として最も重要なのが、流動性のロック状況の確認です。UniCrypt、Team.Finance、DxSaleなどのプラットフォームを使って流動性がロックされているかを確認できます。ロック期間が短い(3ヶ月未満など)場合や、ロックはされているが開発者ウォレットに大量のトークンが残っている場合は注意が必要です。
ハニーポット:買えるが売れないトークン
ハニーポットと呼ばれる詐欺では、トークンは購入できますが売却が制限される仕組みがコントラクトに仕込まれています。一見価格が上昇し続けるように見えますが、購入者は実際にトークンを売ることができません。TokenSniffer、HoneypotIsなどのツールを使えば、購入前にハニーポットかどうかを確認できます。
ソーシャルエンジニアリングと偽コミュニティ
Telegram・Discordの偽コミュニティ戦術
詐欺プロジェクトはTelegramやDiscordで活発なコミュニティがあるように見せかける「bot軍団」を活用します。メンバー数が多くても実際の会話は少なく、批判的な投稿が即座に削除され、管理者のみが投稿できる一方向コミュニケーションの場合は要注意です。また、有名なプロジェクトを模倣した偽Telegram/Discordグループも多く存在します。
有名人・インフルエンサーの無許可使用
詐欺プロジェクトは著名人やインフルエンサーの画像・名前を無断使用してプロモーションを行うケースが多くあります。Elon Muskの名前を使った数々の詐欺トークンや、K-POPスターを使ったラグプルが典型的な例です。有名人が実際にプロジェクトを支持しているかどうかは、公式SNSを必ず直接確認しましょう。
トークノミクスの危険なサイン
開発者・チームへの過剰な初期割り当て
正当なプロジェクトでも開発チームへのトークン割り当ては行われますが、20〜30%以上の割り当てや、ロック・ベスティング(段階的解放)なしの即時受け取りは危険なサインです。特に「チーム:50%、流動性:50%」のような単純な配分や、アドレスが公開されていない割り当ては詐欺の可能性が高いです。
異常な税率設定とミント権限の保持
取引ごとに高額な「税」(10%以上など)を徴収するトークンや、コントラクトオーナーがいつでもトークンを追加発行(ミント)できる権限を持ったままのプロジェクトは大きなリスクを伴います。発行上限の設定と、コントラクト所有権の放棄(renounced ownership)または時間ロック付き多重署名への移行が安全なプロジェクトの基準です。
詐欺を見抜くための実践ツールと手法
TokenSniffer・De.Fi・GoPlus Securityの活用
TokenSniffer(tokensniffer.com)はトークンコントラクトを自動スキャンし、既知の詐欺パターンを検出します。De.Fi(de.fi)のSCANNER機能はウォレットのリスク評価と悪意あるコントラクトの検出に使えます。GoPlus Security(gopluslabs.io)はトークンのセキュリティ情報をAPI経由で提供し、多くのDEXアグリゲーターに統合されています。
オンチェーン分析:Etherscan・BscScanの見方
EtherscanやBscScanなどのブロックチェーンエクスプローラーを使って、コントラクトのソースコード公開状況、大量保有者(ホルダー)の分布、初期の大量移転トランザクション、開発者アドレスの取引履歴などを確認することができます。トップ10ウォレットが流通量の大半を占めている場合や、最近作られたウォレットへの大量送金が見られる場合は注意が必要です。
事例研究:Squid Game TokenとShibaInuコピー詐欺
文化的トレンド便乗型詐欺の典型
2021年11月のSquid Game Tokenは、Netflixの人気ドラマに便乗して作られた典型的なラグプル事例です。わずか1週間で価格が数万%上昇した後、開発者が約330万ドルの流動性を引き出して姿を消しました。ShibaInuコピーと呼ばれる類似トークン詐欺は、人気ミームコインの名前・ロゴを模倣したトークンで投資家を騙すものです。
FOMO(取り残され恐怖)を悪用する心理戦術
詐欺師は投資家のFOMO(Fear of Missing Out:取り残され恐怖)を巧みに利用します。「今しかないチャンス」「既に1000%上昇中」「ホワイトリスト枠残りわずか」などの煽り文句、カウントダウンタイマー、偽のスキャーシティ(希少性の演出)はすべて詐欺の典型的な手口です。急いで判断させようとするプレッシャーを感じたら、立ち止まることが最善の対策です。
被害を防ぐための最終チェックリスト
投資前に必ず確認する10項目
投資前のチェックリスト:(1)チームの身元確認が可能か。(2)監査レポートが公開されているか。(3)流動性がロックされているか(期間も確認)。(4)ホワイトペーパーが存在し具体的な内容か。(5)GitHubにコードが公開されているか。(6)ミント・ブラックリスト等の危険な関数がないか(TokenSniffer等で確認)。(7)開発者への過剰なトークン割り当てがないか。(8)コミュニティが本物か(bot検出)。(9)Twitterの公式アカウントの開設日・フォロワー増加傾向。(10)似たプロジェクトが過去に詐欺で終わっていないか。
被害にあった際の対処法と報告先
詐欺被害にあった場合、まずはウォレットの残っている資産を安全なアドレスに移動させましょう。次に、接続を許可した全てのコントラクトのアプルーブをrevoke.cashなどで取り消します。被害を報告する先としては、取引所(入金元)のサポート、地域の警察サイバー犯罪部門、日本では警察庁のサイバー犯罪相談窓口があります。
まとめ
DeFi詐欺・ラグプルは高リターンへの期待とFOMOを巧みに利用した手法で、毎年多くの投資家が被害を受けています。主な防衛策は「急いで投資しないこと」「チームの身元を確認すること」「スマートコントラクトをツールで確認すること」「流動性のロック状況をチェックすること」の4つに集約されます。技術的な知識がなくても、本記事で紹介したツールとチェックリストを活用することで、多くの詐欺を事前に見抜くことが可能です。
よくある質問(FAQ)
Q1. KYC(本人確認)済みのプロジェクトは安全ですか?
A1. KYCはリスク低減の要素にはなりますが、絶対的な安全の保証にはなりません。KYCを実施している企業の信頼性自体も確認が必要です。また、KYC済みでも詐欺に終わったプロジェクト事例は存在します。
Q2. ラグプルとexitスキャムの違いは何ですか?
A2. ラグプルはDeFiにおける流動性の突然の引き出しを指すことが多く、exitスキャムはより広い概念で、プロジェクトチームが資金を持って突然姿を消す行為全般を指します。本質的には同じ詐欺行為の異なる表現です。
Q3. 小額なら詐欺プロジェクトに投資しても問題ありませんか?
A3. 少額でも詐欺プロジェクトへの参加は推奨できません。万が一儲けが出ても、それはより多くの被害者から集めた資金の一部です。また、ウォレットへの悪意あるコントラクトの承認(アプルーブ)を通じて、より大きな資産被害につながるリスクもあります。
※本記事は情報提供を目的としており、投資を推奨するものではありません。仮想通貨への投資はリスクを伴います。投資判断はご自身の責任で行ってください。
