あなたの暗号資産は盗まれたことがありますか?
SlowMist セキュリティチームが発表した最新データによると、2025 年 1 月に合計 40 件の Web3 セキュリティ インシデントが発生し、損失額は 8,794 万ドルに達しました。ハッキングの原因は、契約の抜け穴、アカウントのハッキング、秘密鍵の漏洩などです。さらに、今月はフィッシング事件の被害者が9,220人おり、被害総額は1,025万ドルに上った。
近年、Web3セキュリティインシデントが多発しており、暗号化ウォレットのセキュリティ問題が顕著になってきています。
すべての Web3 投資家が避けることのできないツールとして、暗号ウォレットは暗号資産を保護するための重要な防御線であるだけでなく、Web3 時間の一番の鍵でもあります。まさにこの重要性ゆえに、暗号ウォレットは、ニーモニックの紛失、偽のウォレットトラップ、認証の抜け穴など、仮想資産の盗難の被害が最も大きい領域となっています。注意しないと、資産が一夜にしてゼロになる可能性があります。
皆様の仮想資産の安全のために、この記事では、Portal Labs が暗号化ウォレットの主な使用シナリオから始め、最も一般的なウォレットの危険性を列挙し、デジタル資産を保護するための実用的な提案を提供します。
記憶術管理の隠れた危険性
以前の記事では、ウォレットのニーモニックフレーズは暗号化されたウォレットの最も重要な資産証明書であり、ウォレットを復元するための鍵であるため、大切に保管する必要があることを繰り返し述べてきました。新しいデバイスで暗号化されたウォレットを開くときは、ニーモニックフレーズをインポートする必要があります(秘密鍵は数字と文字の羅列なので、覚えて入力するのは簡単ではないためです)。
しかし、心配なのは、多くのユーザーがニーモニックを保存する際に深刻なセキュリティ上の脆弱性を抱えていることです。
最もよくある間違いは、ニーモニックフレーズをクラウドノート、電子メール、ソーシャルソフトウェアのチャット履歴などオンラインで保存したり、スクリーンショットを直接撮ってフォトアルバムに保存したりすることです。これらの方法は便利そうに思えるかもしれませんが、実は非常に危険です。デバイスがハッキングされると、ニーモニックフレーズが自動的にスキャンされ、抽出され、ウォレット資産を直接盗むために使用される可能性があります。
さらに、バックアップが不十分であることも大きな隠れた危険です。ユーザーによっては、単に紙に記憶術を書き留めて、引き出しや財布、本の間に挟んでおくか、写真を撮って紙を捨てる人もいます。しかし、普通の紙は非常に壊れやすく、長期間同じ場所に保管すると紛失、盗難、偶発的な損傷などのリスクもあります。
では、ニーモニックを正しく保存するにはどうすればよいでしょうか?
まず、手書きのバックアップを作成し、クラウド、ソーシャル ソフトウェア、電子メール、またはインターネットに接続されたデバイスに保存しないようにしてください。
次に、耐久性のあるストレージメディアを選択できます。もちろん、必ずしも金属製の記憶術バックアップボードを使用する必要はありません。ただの紙よりも良いノートを選ぶ方が良いです。
さらに、複数のコピーを作成し、複数の安全な場所(金庫、保管ボックスなど)に保管して、少なくとも 1 か所で見つけられるようにします。
最後に、バックアップの状態を定期的に確認し、記録が判読可能であり、安全な場所に保存されていることを確認します。
承認とトランザクション
Web3 の世界では、暗号通貨ウォレットは単にお金を保管するためのツールであるだけでなく、さまざまなやり取りを行うための認証情報でもあります。 DeFi に参加する場合、NFT を購入する場合、エアドロップを請求する場合など、多くの操作では、スマート コントラクトとやり取りするために暗号ウォレットを「承認」する必要があります。
しかし、あらゆる「承認」には大きなセキュリティリスクが潜んでいる可能性があると考えたことがありますか?
簡単に言えば、スマート コントラクトにウォレットへのアクセスを許可すると、実際にはコントラクトに「ウォレット内で特定の操作を実行することを許可します」と伝えていることになります。契約が安全であれば問題はありません。しかし、巧妙に偽装されたフィッシング契約を承認すると、承認が完了した次の瞬間に、ウォレット内のすべての資産が直接転送される可能性が非常に高くなります。
近年、このようなフィッシング事件が相次いで発生しており、特に有名プロジェクトのエアドロップの前後には、大量の「偽エアドロップ」ウェブサイトが登場し、ユーザーを誘導してウォレットを認証させている。これらのいわゆる「エアドロップ受信」は、実際には直接転送の罠です。
では、どうすればこれを回避できるのでしょうか?
なじみのないウェブサイトのウォレットを安易に承認せず、よく知られているプロジェクトや監査済みの dApp を優先してください。 「エアドロップを受け取る」または「特典を配布する」と主張する Web サイト、特にウォレット認証を必要とする Web サイトについては、よく考えてください。まず、コミュニティやフォーラムでプロジェクトの信頼性を調べる必要があります。
契約内容をチェックして、資産に直接アクセスしないことを確認してください。必要に応じて、ブロックチェーン ブラウザ (Etherscan など) を使用して契約アドレスを確認することをお勧めします。
不要な承認を取り消します。契約を承認した場合でも、Revoke.cash などのツールを使用して、リスクの高い契約のアクセス権限を定期的に確認し、取り消すことができます。
偽のウォレット詐欺
Web3 の世界では、暗号通貨ウォレットは「デジタル銀行」であるだけでなく、ID 認証情報でもあります。しかし、ダウンロードしたウォレットが公式アプリではなく、巧妙に偽装された「フィッシング詐欺」である可能性を考えたことはありますか?
近年、偽の暗号通貨ウォレットアプリケーションを知らずにダウンロードするユーザーが増えています。その結果、ハッカーはウォレットを作成するとすぐにニーモニックフレーズを入手し、資産をハッカーによって監視することができました。または、ニーモニックフレーズがインポートされると、ウォレットが即座にハイジャックされ、アカウントが即座に空になります。こうした詐欺に使われる手法は、あなたが思っているよりも巧妙かつ巧妙であることが多いです。
では、偽の財布の罠に陥らないためにはどうすればよいのでしょうか?
最も重要な原則は、もちろん、ウォレットは公式チャネルからのみダウンロードすることです。 MetaMask の公式サイト metamask.io、Trust Wallet の公式サイト trustwallet.com、Ledger の公式サイト ledger.com などの検索エンジン広告やソーシャル メディア上のプロモーション リンクを信頼しないでください。
同時に、URLを確認する習慣も身につけましょう。ハッカーは、metamask-wallet.io や trustwallets.com など、一見普通のウェブサイトのように見えますが、実際には悪意のある類似のドメイン名を使用して公式ウェブサイトを偽造することがよくあります。さらに予防するには、MetaMask に組み込まれているフィッシング対策プラグインや、疑わしい Web サイトにアクセスしたときに自動的に警告を発し、フィッシングの罠に陥らないようにする PhishFort などの Web3 詐欺対策ツールをインストールすることもできます。
モバイル ユーザーの場合、不明なソースから APK ファイルを決してダウンロードしないでください。ハッカーがウォレット アプリケーションをコード レベルで変更し、悪意のあるスクリプトを埋め込んで、ウォレットが作成またはインポートされると乗っ取られる可能性があるためです。 iOS および Android ユーザーは、常に App Store または Google Play から公式アプリをダウンロードし、インストール後にウォレットの開発者情報が公式のものと一致していることを確認することをお勧めします。
また、暗号通貨ウォレットのブラウザプラグインバージョンを勝手にインストールしないでください。偽のプラグインの中には、取引時にウォレットの認証を乗っ取ったり、支払いアドレスを改ざんしたり、知らないうちに資産をハッカーのアカウントに流したりする可能性があります。
一歩ずつ「落とし穴」を避けて財布をもっと安全に
暗号通貨ウォレットには多くの落とし穴がありますが、それぞれの落とし穴の背後には対応する解決策があります。時間をかけて上記のガイドラインを学び、それに従う意思があれば、リスクを大幅に軽減できます。ニーモニックフレーズを保護し、すべての承認に注意し、信頼できるツールとサービスを選択することを忘れないでください。そうすれば、Web3 投資の旅はより安全で安定したものになります。
次に、Portal Labs は Web3 への投資を保護するためのセキュリティ ツールに関する記事を書き続けます。乞うご期待!
