もしあなたがオープンソース開発者、特にブロックチェーン分野の開発者であれば、GitHubからのIssueや通知のメールを受け取ったことがあるはずです。しかし最近、GitHubとGitcoinからの正当な助成金の申し出を装った巧妙なフィッシング詐欺が出回っています。セキュリティ研究者 @m4rio_eth のバイラルなスレッドをもとに、何が起きているのか、そしてどのように身を守るかを分かりやすく説明します。

The Scam Unveiled

すべては一見公式のGitHub通知のように見えるところから始まります。 "gitcoin-foundationdao" を名乗るボットアカウントがあなたのリポジトリにIssueを立て、「GitHub x Gitcoin Developer Fund 2025」への適格性を通知します。メッセージにはquadratic funding、総額$15,000,000 USDのマッチングプール、そしてGitcoin Passportでウォレットを検証するよう招待する文言が含まれています。もっともらしく聞こえますよね？Gitcoinは実際にweb3のオープンソースプロジェクトに資金提供するプラットフォームです。

しかしここが危険なサインです：提示されたリンク（例: grants.github.com/Apply-form のように見えるもの）は、実際には "github-fundation.com" という偽サイトにリダイレクトします（注目すべきはスペルミス："fundation" は "foundation" の誤りです）。そのサイトでは暗号ウォレットの接続を促され、これは資金や秘密鍵を盗む典型的なフィッシング手口です。

Cantinaのリードセキュリティ研究者であり、Soldeer（Ethereumスマートコントラクト向けの最初のSolidityパッケージマネージャー）の作成者である @m4rio_eth は、自身がSoldeerの仕事で標的にされたためこの詐欺を発見しました。彼は偽メール、偽のGitHubアカウント、フィッシングサイトのスクリーンショットを共有してコミュニティに警告しました。

Screenshot of fake GitHub issue notification for Gitcoin grant

スレッドでは、詐欺師がさまざまなリポジトリに500件以上の偽Issueを作成しており、これによりメールがGitHubのシステムから直接送られてくるため本物らしく見えると説明しています。偽のボットアカウントが新規作成されたばかりであることも、不正の明白な兆候です。

How the Attack Works

Fake Issues Creation: 詐欺師はGitHubアカウントを作成し、助成金通知のIssueをスパム的に投稿します。
Legit-Looking Emails: 実際のGitHubのやり取りとして扱われるため、メールは [email protected] から届き、スパムフィルターをすり抜けます。
Phishing Redirect: 埋め込まれたリンクは公式のGitHubやGitcoinページを模した偽サイトに誘導します。
Wallet Connection: 「検証」の名目でウォレット接続を求められ、資金流出につながる可能性があります。

これは無差別ではなく、アクティブなオープンソース貢献者、特にmemeトークンやDeFiプロジェクト向けのツールを開発するようなSolidity開発者など、ブロックチェーン分野の人々を標的にしています。EthereumやSolana上で開発しているなら、狙われやすい立場にあります。

Screenshot showing the fake GitHub bot account

Community Response and Updates

@m4rio_eth は警告を発信するだけでなく、偽Issueに大量にコメントして他の人に注意を促す行動を取り、GitHubからの制裁リスクを冒しました。彼は500件のIssueに「This is a scam!」のような返信を残し、被害拡大を防ごうとしました。幸いにもスレッド内の他の返信から、彼の注意喚起のおかげでクリックを避けられたユーザーがいることが確認できます。

あるユーザーはメールを受け取ったが無視したと述べ、別のユーザーはLidoを使った類似のフィッシングがあることを指摘しました。これは、web3の詐欺が急速に進化し、Gitcoinのような信頼される名前を悪用することがあるというリマインダーです。Gitcoinは実際にquadraticモデルを通じて公共財への資金提供を支援しています。

Example of the phishing website prompting wallet connection

How to Stay Safe

ブロックチェーンとオープンソースの世界では、警戒が最も重要です。以下の対策を実践してください：

Verify Links Manually: クリックせずにURLを手入力で確認する。 "fundation" と "foundation" のようなスペルミスに注意する。
Use Official Channels: 本物のGitcoin助成金は gitcoin.co や公式のGitHubページで発表されます。100%確信が持てない限りウォレットを接続しないこと。
Enable 2FA and Hardware Wallets: memeトークンやその他の暗号資産を扱う場合は、追加のセキュリティとして2FAやハードウェアウォレットを使用する。
Report Suspicious Activity: 疑わしい活動はXで @github をタグ付けするか、プラットフォーム上で直接報告する。
Educate Your Team: 開発コミュニティの一員であれば、このスレッドを共有して注意喚起を広める。

この詐欺はオープンソースとweb3の脆弱性が交差する例です。Soldeerのようなツールはmemeトークンの構築を容易にしますが、同時に悪意ある者を惹きつけます。情報に通じていれば、エコシステムの安全を保つことができます。

似たような詐欺に遭遇した、あるいは役立つヒントがあれば、コメントで共有してください。ブロックチェーンセキュリティやmemeトークンのインサイトについてもっと知りたい方は、Meme Insiderに引き続きご注目ください。