オンチェーンエコシステムの継続的な拡大に伴い、オンチェーントランザクションは徐々にWeb3ユーザーにとって欠かせない日常業務へと進化してきました。ユーザー資産は、集中型プラットフォームから分散型ネットワークへと急速に移行しています。この傾向は、資産セキュリティの責任がプラットフォームからユーザー自身に移行していることも意味します。オンチェーン環境では、ウォレットのインポート、DApp へのアクセス、承認への署名、トランザクションの開始など、インタラクションのあらゆるステップに対してユーザーが責任を持つ必要があります。ブラインド署名や操作エラーはセキュリティ上のリスクとなり、秘密鍵の漏洩、認証の不正使用、フィッシング攻撃などの深刻な結果につながる可能性があります。

現在主流のウォレットプラグインやブラウザには、フィッシングの識別やリスクリマインダーなどの機能が徐々に統合されてきましたが、攻撃手法がますます複雑化する中で、受動的な防御ツールだけに頼ってリスクを完全に回避することは依然として困難です。ユーザーがオンチェーン取引における潜在的なリスクポイントをより明確に特定できるように、当社のセキュリティチームは実践的な経験に基づいてプロセス全体の高リスクシナリオを整理し、保護の提案とツールの使用スキルを組み合わせて、体系的なオンチェーン取引セキュリティガイドラインを開発し、すべてのWeb3ユーザーが「自律的で制御可能な」セキュリティ防御ラインを構築できるようにしました。

安全な取引の基本原則:

  • 盲目的に署名することを拒否します。理解できない取引やメッセージには決して署名しないでください。
  • 繰り返し検証する: 取引を行う前に、関連情報の正確性を必ず複数回確認してください。

オンチェーンインタラクションにおけるミスゼロ:Web3セキュアトランザクションガイド

1|安全な取引アドバイス

安全な取引はデジタル資産を保護するための鍵となります。調査によると、安全なウォレットと 2 段階認証 (2FA) を使用すると、リスクを大幅に軽減できることがわかっています。具体的な提案をいくつかご紹介します。

  • 安全なウォレットを使用する:

Ledger や Trezor などのハードウェア ウォレット、または Metamask などのソフトウェア ウォレットなど、評判の良いウォレット プロバイダーを選択してください。ハードウェア ウォレットはオフライン ストレージを提供するため、オンライン攻撃のリスクが軽減され、大量の資産を保管するのに適しています。

  • 取引の詳細を再確認してください:

入力ミスによる損失を避けるために、トランザクションを確認する前に必ず受信アドレス、金額、ネットワーク(例:Ethereum や BNB チェーンなど、正しいチェーンを使用していることを確認する)を確認してください。

  • 2段階認証(2FA)を有効にするには:

取引所またはウォレットが 2FA をサポートしている場合は、特にホット ウォレットを使用する場合は、セキュリティを強化するために必ず 2FA を有効にしてください。

  • 公共のWi-Fiの使用を避ける:

フィッシングや中間者攻撃を防ぐため、公共の Wi-Fi ネットワーク上で取引を行わないでください。

2. 安全な取引を行う方法

完全な DApp トランザクション プロセスには、ウォレットのインストール、DApp へのアクセス、ウォレットの接続、メッセージの署名、トランザクションの署名、トランザクション後の処理など、複数のステップが含まれます。各リンクには一定の安全上のリスクが存在します。以下、実際の運用における注意点を一つずつ紹介していきます。

オンチェーンインタラクションにおけるミスゼロ:Web3セキュアトランザクションガイド

注: この記事では主に、Ethereum およびさまざまな EVM 互換チェーン上の安全な相互作用プロセスについて説明します。他の非 EVM チェーンで使用されるツールと特定の技術的詳細は異なる場合があります。

1: ウォレットのインストール:

現在、DApp を使用する主流の方法は、ブラウザ プラグイン ウォレットを介してやりとりすることです。 EVM チェーンで使用される主流のウォレットには、MetaMask などがあります。

Chrome 拡張ウォレットをインストールするときは、バックドアのあるウォレット ソフトウェアのインストールを防ぐために、Chrome App Store からダウンロードしてインストールし、サードパーティの Web サイトからインストールしないようにする必要があります。これらの条件に該当するユーザーは、秘密鍵保管の全体的なセキュリティをさらに向上させるために、ハードウェア ウォレットを組み合わせて使用​​することをお勧めします。

ウォレットのバックアップ シード フレーズ (通常は 12 ~ 24 語の回復フレーズ) をインストールするときは、デジタル デバイスから離れた安全な場所に保管することをお勧めします (例: 紙に書いて金庫に保管する)。

2: DAppにアクセスする

Web フィッシングは、Web3 攻撃でよく使われる手法です。典型的なケースとしては、エアドロップの名目でユーザーをフィッシング DApp アプリケーションに誘導し、ユーザーがウォレットに接続した後、トークン認証、トランザクションの転送、またはトークン認証署名に署名するように誘導し、結果として資産の損失を招くというものです。

したがって、DApp にアクセスする際、ユーザーは警戒し、Web フィッシングの罠に陥らないようにする必要があります。

DApp にアクセスする前に URL が正しいことを確認してください。提案:

  • 検索エンジンから直接アクセスすることは避けてください。フィッシング攻撃者は、フィッシング Web サイトのランクを上げるために広告スペースを購入する可能性があります。
  • ソーシャル メディア内のリンクをクリックしないでください。コメントやメッセージに投稿された URL はフィッシング リンクである可能性があります。
  • DApp URL の正確性を再確認してください。DefiLlama などの DApp マーケット、プロジェクトの公式ソーシャル メディア アカウント、その他のソースを通じて確認できます。
  • 安全なウェブサイトをブラウザのお気に入りに追加します。後でお気に入りから直接アクセスできます。

DApp の Web ページを開いた後、アドレス バーでセキュリティ チェックを実行する必要もあります。

  • ドメイン名と URL が偽物かどうかを確認します。
  • HTTPS リンクであるかどうかを確認すると、ブラウザにロック 🔒 記号が表示されます。

現在市場で主流となっているプラ​​グインウォレットには、特定のリスク警告機能も統合されており、危険なウェブサイトにアクセスしたときに強い警告を表示することができます。

オンチェーンインタラクションにおけるミスゼロ:Web3セキュアトランザクションガイド

3: ウォレットを接続する

DApp に入ると、ウォレットの接続操作は自動的に、または「接続」をアクティブにクリックした後に開始される場合があります。プラグイン ウォレットは、現在の DApp でいくつかのチェックと情報表示を実行します。

ウォレットを接続した後、ユーザーが他の操作を実行しない限り、DApp はプラグイン ウォレットを積極的に呼び出すことはありません。 DApp がログイン後にウォレットにメッセージやトランザクションへの署名を頻繁に要求したり、署名を拒否した後に署名をポップアップ表示したりする場合は、フィッシング Web サイトの可能性があり、注意して扱う必要があります。

4: メッセージ署名

たとえば、極端なケースでは、攻撃者がプロトコルの公式 Web サイトを攻撃したり、フロントエンド ハイジャックなどの攻撃を通じてページ コンテンツを置き換えたりします。このようなシナリオでは、一般ユーザーが Web サイトのセキュリティを識別することは困難です。

現時点では、プラグインウォレットの署名は、ユーザーが自身の資産を保存するための最後の障壁となります。悪意のある署名を拒否する限り、資産は損失から保護されます。ユーザーは、メッセージやトランザクションに署名する際には署名の内容を慎重に確認し、資産の損失を避けるためにブラインド署名を拒否する必要があります。

一般的な署名の種類は次のとおりです。

  • eth_sign: ハッシュデータに署名します。
  • personal_sign: プレーンテキスト情報に署名します。これは、ユーザー ログインの確認やライセンス契約の確認時に最もよく使用されます。
  • eth_signTypedData(EIP-712):ERC20 PermitやNFT Orderなどでよく使われる構造化データの署名。

5: トランザクション署名

トランザクション署名は、送金やスマート コントラクトの呼び出しなど、ブロックチェーン トランザクションを承認するために使用されます。ユーザーは秘密鍵で署名し、ネットワークはトランザクションの有効性を検証します。現在、多くのプラグイン ウォレットは署名するメッセージをデコードし、関連するコンテンツを表示します。必ずブラインドサインしないという原則に従ってください。セキュリティに関する提案:

  • 間違いを避けるために、受取人のアドレス、金額、ネットワークを再確認してください。
  • オンライン攻撃のリスクを軽減するために、大規模なトランザクションはオフラインで署名することをお勧めします。
  • ガス料金に注意し、それが妥当であることを確認し、詐欺を避けてください。

ある程度の技術的余裕があるユーザーの場合は、インタラクティブなターゲット コントラクト アドレスを etherscan などのブロックチェーン ブラウザーにコピーして確認するなど、一般的な手動検査方法も使用できます。レビュー内容は主に、契約がオープンソースであるかどうか、最近大量のトランザクションがあるかどうか、Etherscan がアドレスに公式ラベルまたは悪意のあるラベルを付けているかどうかなどです。

6: トランザクション後の処理

フィッシング ページや悪意のある署名を回避することは、すべてがうまくいくことを意味するものではありません。取引後もリスク管理は必要です。

トランザクション後、トランザクション チェーンのステータスを適時にチェックし、署名時に予想されるステータスと一致しているかどうかを確認する必要があります。異常が発見された場合は、速やかに資産の移管や権限の解除等のストップロス操作を実施してください。

ERC20 承認権限管理も非常に重要です。場合によっては、ユーザーが特定の契約のトークンを承認した後、何年も経ってからこれらの契約が攻撃され、攻撃者は攻撃した契約のトークン承認額を使用してユーザーの資金を盗みました。このような状況を回避するために、当社のセキュリティ チームは、リスクを防ぐためにユーザーが次の標準に従うことを推奨しています。

  • 承認を最小限に抑えます。トークンの承認を実行する場合、トランザクションの要件に基づいて、対応する数のトークンを制限された量で承認する必要があります。取引に 100 USDT の承認が必要な場合は、デフォルトの無制限の承認を使用するのではなく、承認金額を 100 USDT に制限する必要があります。
  • 不要なトークンの承認は速やかに取り消してください。ユーザーは revoke.cash にログインして、該当アドレスの認可ステータスを照会し、長期間やり取りされていないプロトコルの認可を取り消して、その後のプロトコルの抜け穴によってユーザーの認可制限が悪用され、資産の損失が発生するのを防ぐことができます。

オンチェーンインタラクションにおけるミスゼロ:Web3セキュアトランザクションガイド

3. ファンド分離戦略

リスク認識を持ち、適切なリスク防止策を講じる場合、極端なケースでも資金の損害範囲を軽減するために資金を効果的に隔離することも推奨されます。推奨される戦略は次のとおりです。

  • 大量の資産を保管するには、Gnosis Safe マルチ署名ウォレットまたはコールドウォレットを使用します。
  • 日常のやり取りには、プラグイン ウォレットまたは EOA ウォレット (MetaMask など) をホット ウォレットとして使用します。
  • ホット ウォレット アドレスが継続的にリスク環境にさらさないように、定期的に変更してください。

誤ってフィッシングの被害に遭ってしまった場合は、被害を軽減するために以下の対策をすぐに講じることをお勧めします。

  • Revoke.cash などのツールを使用して、リスクの高い承認をキャンセルします。
  • 許可署名が署名されているが資産が移転されていない場合は、新しい署名を直ちに開始して古い署名 nonce を無効にすることができます。
  • 必要に応じて、残りの資産を新しいアドレスまたはコールドウォレットにすばやく転送します。

4|エアドロップ活動に安全に参加する方法

エアドロップはブロックチェーンプロジェクトを宣伝する一般的な方法ですが、隠れたリスクも伴います。ここにいくつかの提案があります:

  • プロジェクトの背景調査: プロジェクトに明確なホワイトペーパー、公開チーム情報、コミュニティの評判があることを確認します。
  • 専用アドレスを使用する: メインアカウントのリスクを分離するために専用のウォレットとメールアドレスを登録します。
  • リンクをクリックする際には注意してください。エアドロップ情報は公式チャネルからのみ入手し、ソーシャル プラットフォーム上の疑わしいリンクをクリックすることは避けてください。

5. プラグインツールの選択と使用方法の提案

ブロックチェーンのセキュリティコードには多くのコンテンツがあります。すべてのやり取りについて詳細な検査を実施することは不可能な場合があります。リスク判断を支援するために安全なプラグインを選択することは非常に重要です。具体的な提案は次のとおりです。

  • 信頼できる拡張機能: Metamask (Ethereum エコシステム用) などの広く使用されているブラウザ拡張機能を使用します。これらのプラグインはウォレット機能を提供し、DApp の相互作用をサポートします。
  • 評価を確認する: 新しいプラグインをインストールする前に、ユーザーの評価とインストール数を確認します。一般的に、評価が高く、インストール数が多いプラグインは信頼性が高く、悪意のあるコードのリスクが軽減されます。
  • 最新の状態を維持する: 最新のセキュリティ機能と修正プログラムを取得するには、プラグインを定期的に更新してください。古いプラグインには、攻撃者が簡単に悪用できる既知の脆弱性が含まれている可能性があります。

6.結論

上記の安全な取引ガイドラインに従うことで、ユーザーはますます複雑化するブロックチェーンエコシステム内でより冷静にやりとりし、資産保護機能を効果的に向上させることができます。ブロックチェーン技術は、分散化と透明性を主な利点としていますが、これはまた、署名フィッシング、秘密鍵の漏洩、悪意のある DApp などの複数のリスクにユーザーが独自に対処する必要があることも意味します。

本当に安全なチェーンリンクを実現するには、ツールリマインダーだけに頼るだけでは十分ではありません。体系的な安全意識と操作習慣を確立することが重要です。ハードウェア ウォレットを使用し、資金分離戦略を実装し、承認を定期的に確認してプラグインを更新し、トランザクション操作で「多重検証、ブラインド署名の拒否、資金分離」の概念を実装することによってのみ、真に「自由で安全なオンチェーン」を実現できます。