Closed ymuichiro closed 1 year ago
当方より一点提案です。アグボンの発生タイミングは以下だと想定しています
ハーベスト委任を行っている最中
よって、このハーベスト設定を手動で行う方法を完全に非推奨とし、コミュニティの誘導でハーベスト専用のサイトに全て誘導できないでしょうか
この対策を実行する為に必要なアクションは以下の通りです
① ワンタッチでハーベストが出来るWebサイトの開発 or Arcana の推進 → 個人的には Webサイトの方がアクセス性がよく、PC Onlyユーザーも救済出来る点からWebであるべきだと考えます
② 各メディア媒体でアプリ版のハーベストフローの徹底周知(多言語要) → 例えば note, nemlog 他、海外のBlockChain関連記事等。Google、Bingで検索した時になるべく Symbol ハーベストと検索したら上位の記事はこのパターンで埋める必要があります
是非、ご意見 or 他のアイディアなど頂けないでしょうか...
あひきさんのSymbol Node List からもワンクリック委任できますね! https://symbol-tools.com/symbolTools/view/tool/nodeList.html
ここから各ノードに飛べば。
あぐぼんヤローの動向は みかんさん https://twitter.com/mikan_xym が随時 追っていて ついーとしているからチェックなのだ
アグボン詐欺防止の観点からすると、公式ウォレット(って呼び方はHatchetさんは否定してましたが)の使用は非推奨な方向にしたら良いんじゃないですかねぇ?
疑い出すとキリがないし身動きが取れなくなりますが…
https://github.com/ymuichiro/symbol_japan_forum/issues/3#issuecomment-109542031 これを利用したことはないのだけど、個人的には秘密鍵の入力をする時点で危ないなぁと思ってしまう。 (疑うわけではなく、信頼しきれないという意味)
→ 個人的には Webサイトの方がアクセス性がよく、PC Onlyユーザーも救済出来る点からWebであるべきだと考えます
すると今度は困ったことにフィッシングを意識しないといけなくなるんだよなぁ…。 MyEtherWalletとかもフィッシングあったし。
という点を妥協するか、それ相応の対策を取るかという点も考えて欲しいかな、と思いました。
https://github.com/ymuichiro/symbol_japan_forum/issues/3#issuecomment-1095120225 発生というか、メッセージが送られてくるタイミングは現状そうで、これは必要な手順だと錯誤させることが目的の攻撃です。 でも考えようによっては、いくらでもパターンは構築可能で、 ・ハーベスト報酬を受取るためには署名が必要です ・ハーベストが切断されました。再接続には署(ry ・ノードのアップグレードに伴い署(ry
等々、言い訳はどうとでもできてしまうので、 フローの解説とやってはいけないことの周知+の知識として、 見に覚えのないものには署名しないということは理解してもらわないとなぁ…という気がします。
あと現状のPC用ウォレットでアグリゲートボンデッドで何がどうなるのか、ってのがわかりにくいUIってのも問題かなぁ。 字が小さいし、よく見ればおや…?って感じるけど、正直よくわからん。 まぁそんなよくわからんもんなら署名してはいけないわけだけど…。 エクスプローラくらいには何かわかりやすくして欲しい。
現在以下のアカウントでスキャム注意喚起を行ってます。 https://symbol.fyi/accounts/NBNA5SSCILI6GFQFAJQIBOVETVOZW2MOOGSSEZI
方法としては、アグボン詐欺と思われるアカウントからのハッシュロックTXアナウンスを検知して、注意喚起のハッシュロックTX&アグリゲートTXをかぶせて送信しています。受信者はパーシャルトランザクションを2通受け取ることになるので、少し身構える効果を生み出せていると思います。
最初は新規アカウントのみ対象にしていたのですが、古参の方がやられている率が高く、今は全ユーザ対象に実施しています。注意喚起するごとに10XYM消費する活動ですので、もし枯渇しているのを見かけた場合は以下のNameSpace宛に補充していただけると助かります。 [namespace: xembook.scam]
デスクトップウォレットも、Arcanaと同じようにアドレスを登録する事でアグボンに署名が出来る仕様にすればいいのにと思っています🤔(知らないアドレスからのアグボンには署名が出来ないように)
少し前に私がQuestに挑戦して、失敗してしまった案ですが、デスクトップウォレットに送金金額入力欄の追加やキャンセルボタンの追加は有効かと思うのですが、現状更新が難しいならば、ArcanaやNodeListによる設定を広めるしかないですかね?🤔
しかし、Symbolが使われれば使われるほど様々なタイミングに紛れ込んでくるかと思うと邪魔ですよね。 アドレス制限をしてても表示はされてしまいますし…
https://twitter.com/Yiddish816/status/1481993872553046016?t=yeBjnbYT4fsOnyAokNd2BQ&s=19
皆様ご意見ありがとうございます。フィッシング詐欺はその通りですね。後はXSSによって入力が抜き取られるリスクだってあるので、安易にWebで完結しようは確かに危険ですね。
で @44uk 記載の通り以下はまさしくその通りで、手法を変えても成立してしまう可能性は十分あるんですよね
・ハーベスト報酬を受取るためには署名が必要です ・ハーベストが切断されました。再接続には署(ry ・ノードのアップグレードに伴い署(ry
ちなみに Arcana は現状この詐欺に引っかかったケースはないんですよね?その手法をわかりやすく、かつ体系的にドキュメント化して、各ウォレット開発者へ展開すれば解決したりするかな?(勿論しゅーさんに不満が無ければ)
Arcanaを悪くいうつもりは全くないのですが、どうしてもアイコンはSymbolでなければ名前もArcanaなので、よく知らない人は 元祖ウォレットに流れてしまうので、そちらの改修が必要かと思いました。一旦は現状コミュニティとして成功した事例の体系化(を複数人で)と、各ウォレット開発PJへの共有、リソースがなければQuestで対応者募集の流れはどうかなぁと。
後はちょっと斜め上かもしれないけど、この「相手に自身への送金トランザクションを発行する」、ってどの程度使われているのかな。今後もし人が増えれば新参ホイホイになる可能性もあるので、直接的にはトランザクションの発行を要求できない、とするのはどうだろうか
改善後フロー案 相手に支払いを”要求”する場合は、そのトランザクションを復元するQRコード or URLを出力する 相手の連絡先か、対面でこれを渡し、相手のアプリ上でトランザクションを復元(入力情報を復元) 相手側から自身へ送金を行う
これの場合、相手のアドレスと連絡先を知らなければ攻撃ができない
GW期間中に事例が4件ありました。 これらの方々は新規かつ、Twitterの情報はあまり見ていない気がしており、彼らがみるであろう情報を先回りして更新した方がいいのではと思いました
Google検索 Symbol ハーベスト
の1ページ目は2021年初期の記事が多く、アグボン詐欺の記述がないことが多いと思いました
よってこれらの記事の作者等にDM等でアグボン詐欺の対策の記述をして貰うよう呼びかけてみようかと思うのですが、この活動問題ありそうでしょうか。ご意見頂ければ幸いです。
アグボン詐欺の記述を一から作成するのは時間がかかるので、対策や詳細説明について良い記事をご存知の方がいらっしゃいましたら私のTwitterへDM頂けないでしょうか https://twitter.com/faunsu19000
Symbolのウィキ初心者さん見ないかな?ウィキペディアもアグボン警告と、モバイルウォレットのArcana推しができると良いですね。
私は何もわからない頃は、ねむたすさんのサイトとかも見てました。NPOで運営されている所だったので。
有益な情報
デスクトップ版のアプリの最新版のダウンロードを促進するでいいかも
https://twitter.com/mikunNEM/status/1523494644960886786?t=9uMUQioGAKxItfts-8ZN3A&s=19
そのためには検索で引っかかる古い記事のダウンロードリンクを変えないといけないかも?
誤訳と判明 デスクトップアプリは現在もそのままでアグボンへの署名が可能
公式モバイルの方は、アグボンが届くと、デスクトップから署名してねっていう文言が出ると思います。 なので現状の被害は公式デスクトップウォレット経由ですね。
mikanです。 色々なご意見勉強になります。技術的なことは家族が担当しており、私自身の知識は希薄ですみません。 私はハーベストの委任と解除を検知した際に啓発のトランザクションを送っています。また、詐欺のアグボンを検知して警告のトランザクションも送っています。言語は日本語と英語です。 日本語と英語の分からない人はそもそもカバーできないことと読まない人は助けられないという問題点があります。 みなさんが検討されているとおり、意識的に送金をしようとしない限り、相手に送金ができないようなウォレット等に初心者を誘導できる環境が望まれると思います。
そもそもデスクトップウォレット廃止の流れっぽいかな
は、まじかよ。 OLD SDKにガッツリ依存してるから、あーこりゃ作り直しだな。でも使い方の参考になるかな、と思ったけど捨てるのか…。
現状はデスクトップウォレットの開発はストップしてる感じですねぇ。。🤔うーむ。
UIがVueじゃなくてReactだったらブランチしてもいいかなと思いつつ アグボン詐欺対策は根本から一旦絶たれそうですね
本格的にコミュニティ側でのウォレット運営を考えた方が良いかもしれない
@ymuichiro こんにちは。本件プロダクトと広報の両面で対策すべき案件かと思います。プロダクト面の即時対策は厳しそうな雰囲気ですので、まずは広報面でしょうか。ふぁーさんの提案(既存の入門記事のアップデート)に賛同します。
・ウォレット作成またはハーベスト方法を案内している既存記事(とくにSEO高いものから)について、アグボン対策の注意喚起及びArcanaウォレット推奨の旨を加筆修正依頼。 ・コミュニティ全体で上記方針を共有、Twitter上での新規ユーザ誘致や新規の入門記事作成の際には対策徹底。コミュニティ内で相互にフォローし合う(COMSAのガーディアン機能みたいな)
具体的にタスクに落として進捗管理・期限管理しないとフォーラムとしてもクロージングしづらいと思いますので、フォーラム内でタスクの仕様をオーソライズ後に基本はQUEST化して募集…という流れを標準にして良いかと思います。
タスク設計のタタキまで書いてみます。
※記事読まない人には伝わらない問題はありますが、Webで引っかかる主要な記事を全く読まずに自力でウォレット作成やハーベスティングが出来るリテラシの人はきっとアグボン詐欺にも引っかからない…はず…?
@kurikou02
※記事読まない人には伝わらない問題はありますが、Webで引っかかる主要な記事を全く読まずに自力でウォレット作成やハーベスティングが出来るリテラシの人はきっとアグボン詐欺にも引っかからない…はず…?
これは私もそう思います。よく分からず画面に出たボタンを押してしまう人は、何かの記事に依存している人々だと思います 実際のユーザー層情報はないので仮定ですけどね
既存のSymbol入門記事・ハーベスト入門記事の洗い出し(管理リスト作成) 加筆修正の要否チェック(アグボン対策、Arcanaウォレット推奨の記載有無) アグボン対策・Arcanaウォレット推奨の案文作成(みかんさんの注意喚起を基に) 著者に加筆修正依頼(案文ベースでお願いする)
私も同じような流れが良いと思います。自分の開発と副業 * 2と主業とじむはぶの管理と家族の応対と、ちょっと私の進捗は遅めですが...
あなたのウォレットから100,000XYMをわたしのウォレットに移動させますね?いいですか?って表示されてるのをちゃんと見てれば、 は?なにそれ、ありえねぇーって成るはずなので、XYMの動き方があまり目に入らないUIももうちょっと改善できないかなぁとは思う。
ワンクリック実装してみました。 ただ、ハーベスト設定し直す度に毎回新しいアドレスが必要になるので、果たしてその実装は良いのか?と若干首をかしげてます😅
https://github.com/ishidad2/desktop-wallet/commit/1726f0c37b41a3407cb86f0dd33cb5c286cad4ef
@ymuichiro さん 差し支えなければ、広報面の対策の件、私の方でタスク化(QUEST化)して進行しましょうか? 私は開発の手も遅いしコーディング面では貢献度低いので、個別案件の管理・進行を少しでも引き取れればと。 ふぁーさん、matsunokiさんに負荷集中してるなぁと心配しております。
@kurikou02
ありがとうございます… タスク、受けていただけると大変ありがたいです…
タスクが目白押しなので是非とも🌝
文案の推敲や適切なやり方の検討は勿論手伝います…! アグボン詐欺撲滅に向けて
@ymuichiro さん 先週立て込んでて全然動けなかったんですが、結局ふぁーさんの方でサイトのリストアップとか色々手を動かして頂いたみたいで…誠に申し訳ない…。牛歩でも全く進まないよりは…と思い声を上げましたが、本件ボールお返ししたほうが良いでしょうか。
@kurikou02 いえ、やっていただけるのであればありがたいです。 特にこの後の推奨記事作成や各記事への連絡なんて結構時間かかる作業なんで。
ふぁーさんが着手してくれてる資料をベースに詰めて行ければと思います。
■ふぁーさん作成の共有ドキュメント(スプレッドシート) https://docs.google.com/spreadsheets/d/1Wo9GmSXWf5_LNv9Cb-5CjZK7F6ytjT7pXOtUpRFdmhs/edit?usp=sharing ※一応編集権限を限定したほうが良いかもしれません( @ymuichiro さん)
■参考情報 https://twitter.com/faunsu19000/status/1528263277234757632?s=20&t=fryyfxe2GJbHnav30yq2Ng
@kurikou02 ちなみに推奨の手法をまとめていただく箇所やってもらったりできますか? (Arcana ver , NodeList ver , XYMBOOK ver
Twitterで参考記事いくつか貰ったのでSSに記載の各方法それぞれ3分位あれば読了出来る長さのコンテンツを作ってこんな感じて書いて!って既存のサイトに投げかける形を想定しています
https://twitter.com/sayosayo712/status/1528277972142018561?t=-jxRrTk56A5CLypOAN0FMw&s=19
https://twitter.com/Gu1jdJwD3UU97oL/status/1528267218256941056?t=SJnabSdt394SI4Ue_saWcw&s=19
※ アドレス個別に頂ければ編集権限だけあてて、ほかは閲覧のみにしようと思います
@kurikou02 そういえばこれの件って何かクエストとかもう上げていたりします...?
@ymuichiro 建てました~! アグボン詐欺の広報面の対策まとめ | QUEST https://quest-bc.com/quest/Cjr0QXVjleV6nrfMXqgV #QUEST
@kurikou02 ありがとうございます! 引き続きお願いします!
コミュニティ各位
■進捗報告(2022/06/12) とりあえず、ふぁ~さんが作ってくれたスプレッドシートをベースに、主要な検索エンジン、ブログサービス、SNS等で引っかかるハーベスト手順等の紹介記事の洗い出しまで完了。その数おおよそ59記事。うちアグボン詐欺に触れているものはわずか20記事(33%)、Arcanaウォレットを紹介しているものは5記事(8%)という結果でした。 https://docs.google.com/spreadsheets/d/1Wo9GmSXWf5_LNv9Cb-5CjZK7F6ytjT7pXOtUpRFdmhs/edit?usp=sharing
■次のアクションについて ・大半の記事が、コアデブチームがリリースしているデスクトップウォレットによる手順を案内している結果となりました。それらの記事に、アグボン詐欺への注意喚起、及びArcanaウォレットの紹介について追記・修正をお願いする準備に取り掛かろうと思います。 ・アグボン対策の詳細手順については、いくつか既に有志の方がまとめて頂いてる記事があったので、案文とともにそれらの記事を参照してもらう方向でいこうかと考えてます。この辺、アドバイスあればぜひお願いします。以下、対策まとめの参照先として効果がありそうな記事です。
Symbol/XYM(シンボル)安全な委任ハーベストのやり方【結論:Arcanaを使おう】
@ymuichiro @mikunNEM @matsuno3 @mikan-xym
皆様。アグボン詐欺の広報面での対策の件、進捗報告とレビューのお願いです。 ①コミュニティ全体でのアグボン詐欺対策の活性化と、②既存の解説記事への注意喚起の掲載依頼…の2点について、それぞれ特設サイト的なもの(のタタキ)を作ってみました。
①アグボン詐欺特設サイト(とりあえずこれを読んでおけばOK的な、一枚物のチラシ的なイメージ) https://sites.google.com/d/1WgTw4p7kf7Sgo7YthFzYd0PvznFZFxH7/p/1V6kE7KcMG6DtFXRixuocAHUa2gbK4XsO/edit
②アグボン詐欺の注意喚起掲載のお願い(サイトやブログ運営者の方にご協力をお願いするためのビラ的なもの) https://sites.google.com/d/1hMG9Rkr7ULgyHk0ZIf2z1R7VQO-w68hT/p/1V1d3B5e6VKcc7VvnOQ_umPT2hdqmLIsp/edit
デザインとか見栄えとかは最後に調整するとして、全体的な進め方や、これらの特設サイトの内容等に関して気になる点がないか、ぜひレビューをお願いできればと思います。何となくそういうレビューが得意そうな方/アグボン詐欺に詳しい方を勝手ながらメンションさせて頂いておりますが、もちろん他の皆様からのご意見も大歓迎です!
※私はイラストやデザインは不得手ですし、広報業務なども全くの素人ですので、「全然ダメじゃ!!わしがもっとイケてる感じにしちゃるわ!!」という方おられましたら、ぜひご支援賜りたく。よろしくお願いいたします。
@kurikou02 早速大変ありがとうございます!気になった点をまずは書き出していきます。
特設サイトについて
対策について Arcana 1つだけだと私はこのような懸念を感じました
以下の表現について Symbolブロックチェーンの機能を悪用した詐欺行為です。
私がひねくれものかもしれませんが、Symbolの機能は脆弱だと認識される表現に見えました。私は以下の文言を提案します 「ブロックチェーンを使った詐欺がSymbolでも発生しています。Symbolではハーベストという操作を行なう際に狙われるケースが散見されています。事例を紹介するので必ず事前にご確認下さい」
これも私がひねくれていたら放念してもらえたらと思います。これは特に外部や新参から見れば立派な「欠陥」です。 十分な確認画面やアラートが表示される等の対策が取られていればそうでもないですが、私であればこの表現は「 放漫 」なコミュニティと取ります。この辺りは「今後コミュニティとして詐欺の撲滅に尽力していきます」くらいの方が余計な反感を買わない気がします ※ 特にNEMの頃、コインチェックがやらかしてくれた我々から見れば被害な出来事も外部から見ればそうではない記憶として残っている可能性は高いと想定しています。
特設サイトと同様の指摘事項 注意喚起側にも同様の表現はあるので、こちらも同じくです。
Arcana Wallet だけを推奨することのリスク まずはもしまだであれば、しゅーさんには一度許諾は取った方が良いと思います(こんな告知するよと) 後は、Arcanaだけだと同じくステマ扱いされるリスクを感じるので、複数あった方が聞き入れられやすいと思いました
特設サイトを作るのであれば細かい説明はリンク貼って貰って、簡単な誘導コピペを貼ってもらうのは手軽で確かにいいですよねと感じました。
過去のアグボン詐欺のスクショ、撮っている方がいないかTwitterへ投げかけてみました。 → づーさんより素材提供ありました! --> Link
文案や画像の資料素材提供が radio さんからありましたので共有しておきます! 具体例の所、Radioさんの文面を部分的に拝借させて貰うのがいいかも https://drive.google.com/drive/folders/16rXF1fkJG4MMZ7rHWP_y9Oh4YwdiZG4n?usp=sharing
@ymuichiro さん お忙しいところ、ご確認ありがとうございます。また鋭いご指摘もたくさんありがとうございます。(本職のふぁーさんのお仕事ぶりや営業・コンサルトしての活躍ぶりが目に浮かびました。大変勉強になります)
のののんさんにも個別にコメントを頂いておりまして、皆さんから頂いたご指摘・アドバイスもふまえ下記方針で全体的に手直ししてみました。再度レビュー頂けますと幸いです。
以上、皆様どうぞよろしくお願いいたします。
ちなみに手直しするうえで、警察庁のページを参考にしてみました。
@kurikou02 ありがとうございます!個人的には凄く良いと感じてます。 後は凄く細かい点なので任せますが、フォントとフォントサイズはこれにしてはどうでしょうか
フォント ... Noto sans JP よくWeb系で鉄板のフォントとして使われています。視認性が高く、見慣れていると思います。
フォントサイズ ... 全体的にタイトルやサブタイトルを小さめに モバイル版で表示してもらうとタイトルが改行だらけになっていると思います。今はモバイルの方がトラフィックが多い時代なので、モバイル側の視認性を上げた方がユーザーは見やすいと想定しています。
一旦サンプルでタイトルだけ Noto Sans JP に変えてみました
他の方
他にもコメントあれば是非
後これは今回の活動には含めないでいいと思っていますが、更に今後必要となる検討事項の可能性として貼っておきます
取り敢えず、具体的な情報を持っている人がいないか確認中
内容によってはXYMCity側に対策案ないか投げます
https://twitter.com/minarin_JK17/status/1543134387075973120?t=BJRV4Hnro4MlJohPEjd5yA&s=19
@kurikou02 いつもありがとうございます🙏 Symbolのコミュニティ広報アカウント(@symnem_com_info)ですが、現在発信専用のアカウントとして運用している為、個人のアカウントを指定してもらった方が有難いです。 私のアカウント(@mikunNEM) を追加で載せていただいても構いません。
そういった点では nemJapan UserGroup (Discord)も書いといていいかも?
※ 全員がTwitterやってるわけでもないという点から
後私も書いてもらって大丈夫です
※ グループDMの代わりに専用アカウント作ったら便利?
個人アカウントよりなんか組織っぽいアカウントの方が聞きやすいだろうという想定がもしあれば Symbol Japan Forum のアカウントを連絡先にして、相談したらRTして回答求めるか、判断しやすいやつは私から回答するなんてしたらどうだろう
もしくは Google Form(これはニセフォーム出てくる可能性が怖い
皆さんが確認出来るので nemJapan UserGroup がいいかなと思います。
そうね。やっぱりそれが一番取り漏らしもない&キャッチアップが早くて良さそう
該当箇所の文案作りました。Discordの招待リンクは期間無制限にしてあります。
不安な方は日本のSymbolユーザーが集まるコミュニティ nemJapan UserGroup へ投げかけてみましょう 以下のリンクからDiscordというチャットサービスに繋がります。
[nemJapan UserGroup リンク] https://discord.gg/5CKEnxsJkX
もし、グループチャットへのアクセス方法が分からない場合は以下Twitterアカウント宛にリプライください @faunsu19000 @mikunNEM @kurikou_XymCity
@ymuichiro @mikunNEM
皆さんサイトの確認とアドバイスありがとうございます。 頂いた内容踏まえ下記修正しております。ご確認お願いします。
概ね固まってきたかと思っていますが、 あんな事件があった直後で世間もまだ動揺のさなかだと思いますので、特設サイトの公開や、他サイト運営者の方への注意喚起掲載依頼の連絡は来週末以降にしようかと思います。ご意見あればお願いします。
@kurikou02 対応ありがとうございます。確認しました! 凄く見やすくなったと感じています。内容も特に違和感等のあるものはありませんでした。
フォントは追加しておきましたので確認頂ければ幸いです! (これ、そういえばカスタマイズしないと出ないフォントでした...)
確かに事件直後で神経質な人は想定外の反応をしてくる可能性はあるので、ちょっと空けるくらいが良さそうですね 引き続き、宜しくお願いします
@kurikou02 対応ありがとうございます。 問題ないと思います👍
こんにちわ。 どなたかいらっしゃいますか?
こちらのアグボン詐欺にかかったかもしれないです。 残高全て送金されてしましました。
こちらはもう取り替え仕様がないですよね?
提起
アグボン詐欺はTwitterを追う限りまだ発生しています。 現在有志により注意喚起やArcana WalletにてUI上の防止策が図られていますが、この経済圏を更に安全なものとしていくべく、根本的対策案も検討していきませんか?
アイディアや実施結果の共有をしていきましょう
期待
参考情報
アグボン詐欺とは...? https://nemlog.nem.social/blog/70818