🔑 Gate.ioアカウント登録
👨💼 24時間以内にKYC認証を完了
🎁 ポイント特典受取
Gateブログ
暗号資産に関するニュースや洞察へのゲートウェイ
Web3におけるサイバーセキュリティ、NFTを保護するには
13 October 17:41
[TL;DR]
NFTの導入が進み、9月には新規利用者が3万人に達し、2022年の取引高は700億ドルになる見込みです。
アセットの成功は良くも悪くも注目を集め、無防備なユーザーをだます悪意ある行為者にとっても魅力になっています。
Web3ユーザーが損失を避けるためには、詐欺や攻撃からNFTを保護するための対策が必要です。
その1つが、偽取引や有害な取引を検知するためのWeb3リテラシーの習得です。
もう1つは、ウォレットキーとシードフレーズをオフラインのウォレットに安全に保管することです。
Web3の概要と、今年のNFTの成長
Web3が世界市場に浸透していく中で、NFTは重要な役割を担っています。本稿執筆時点で、この固有のデジタル資産の総取引高は680億ドルの高水準を記録しています。これは、年初の170億ドルから75%増加し、驚異的な数字を計上しています。今年はマクロ経済が暗号資産とWeb3に大きな打撃を与えましたが、NFTの導入は増加の一途をたどっています。暗号資産インサイト企業のIntotheblockによると、9月時点で3万件の新規アドレスでNFTを使用しています。さらに、同時期に1,000件以上の新しいNFTコレクションが市場に登場しました。実際、shark Tankのケビン・オリアリー氏は、このオンライン資産はやがて時価総
額でビットコインを上回ると予測しています。
(引用元:Forbes)
(引用元:AAG - AAG Ventures)
NFTの導入が進み、9月には新規利用者が3万人に達し、2022年の取引高は700億ドルになる見込みです。
アセットの成功は良くも悪くも注目を集め、無防備なユーザーをだます悪意ある行為者にとっても魅力になっています。
Web3ユーザーが損失を避けるためには、詐欺や攻撃からNFTを保護するための対策が必要です。
その1つが、偽取引や有害な取引を検知するためのWeb3リテラシーの習得です。
もう1つは、ウォレットキーとシードフレーズをオフラインのウォレットに安全に保管することです。
Web3の概要と、今年のNFTの成長
Web3が世界市場に浸透していく中で、NFTは重要な役割を担っています。本稿執筆時点で、この固有のデジタル資産の総取引高は680億ドルの高水準を記録しています。これは、年初の170億ドルから75%増加し、驚異的な数字を計上しています。今年はマクロ経済が暗号資産とWeb3に大きな打撃を与えましたが、NFTの導入は増加の一途をたどっています。暗号資産インサイト企業のIntotheblockによると、9月時点で3万件の新規アドレスでNFTを使用しています。さらに、同時期に1,000件以上の新しいNFTコレクションが市場に登場しました。実際、shark Tankのケビン・オリアリー氏は、このオンライン資産はやがて時価総
額でビットコインを上回ると予測しています。
(引用元:Forbes)
NFTを保護する方法を学ぶ理由
多くのクリエイター、アーティスト、コレクター、投資家がNFTに魅力を感じているのと同様に、悪意ある行為者もまた、NFTに魅力を感じています。こうした組織は、プラットフォームやユーザーに対して、あらゆる種類の巧妙な策略を駆使し、苦労して稼いだ資金や資産へのアクセスを許可する情報を公開させようとしています。その結果、ユーザーがweb3で利益を上げても、セキュリティの問題で多額の資金を失っている現実があります。このような悪用には、ラグプル詐欺、従業員による盗難、頻繁に発生するフィッシング攻撃やハッキングなどがあります。この2つは、NFTの領域でより多く発生しているため、その概要を見てみましょう。
Web3における2大サイバーセキュリティの脅威
多くのクリエイター、アーティスト、コレクター、投資家がNFTに魅力を感じているのと同様に、悪意ある行為者もまた、NFTに魅力を感じています。こうした組織は、プラットフォームやユーザーに対して、あらゆる種類の巧妙な策略を駆使し、苦労して稼いだ資金や資産へのアクセスを許可する情報を公開させようとしています。その結果、ユーザーがweb3で利益を上げても、セキュリティの問題で多額の資金を失っている現実があります。このような悪用には、ラグプル詐欺、従業員による盗難、頻繁に発生するフィッシング攻撃やハッキングなどがあります。この2つは、NFTの領域でより多く発生しているため、その概要を見てみましょう。
Web3における2大サイバーセキュリティの脅威
(引用元:AAG - AAG Ventures)
フィッシング攻撃
セキュリティ侵害のこの形態では、悪意のある者が、正規のものと同様のリンクを使用して偽造したWebサイトを作成します。次に、ソーシャルエンジニアリングのシナリオを作成し、無防備なNFT保有者に偽のリンクをクリックするよう促します。このようなシナリオは通常、一度限りのエアドロップ、早期または独占的なトークン発行など、現実味の薄いチャンスであるかのように行われます。時には、被害者のアカウントがセキュリティ侵害され、パスワードを変更する必要があると嘘のメッセージを受信する場合もあります。
どのような形であっても、こうしたオファーは常に期限付きで、ユーザーの「見逃すことへの恐怖(FOMO)」を煽るものです。その結果、詐欺師はウォレットホルダーの秘密鍵、さらにはそこに含まれる資金やデジタル資産にアクセスできるようになります。
今年2月、著名なNFTプラットフォームであるOpenseaに衝撃的な事件が発生しました。それは、NFTマーケットプレイスに対するフィッシング攻撃で、ユーザーは1,200ETH(当時のレートで340万ドル)以上のNFTを失いました。また、5月にも同様の攻撃が行われ、当時のレートで150万ドル(750ETH)近い価値のあるMoonbirdのNFTが被害に遭いました。
ハッキング攻撃
これは、ハッカーが合法的で信頼できるプラットフォームに侵入し、ユーザーの情報、資金、資産にアクセスすることを意味します。Twitter、Instagram、Discord、Webサイトなど、Web3およびWeb2のプラットフォームで発生する可能性があります。フィッシング詐欺と同様に、ハッカーは、ユーザーが疑う前に驚くべき速さで資産を取得し、現金化し、引き出します。今年初頭から、このような悪用が多発しています。こうした詐欺師は、Bored Ape Yacht ClubやOpenseaなどの著名な対象をターゲットにしています。このような攻撃の驚くべき事例は、3月にAlethea AlのDiscordがハッキングされた事件です。そのユーザーは840ETH(当時のレートで約180万ドル)を失いました。また、今年最大のものは、スポーツ系NFTブランドであるLympoの10個のウォレットに影響を与えたホットウォレットハックです。1月に行われたその一度のハッキングにより、被害者はなんと1,870万ドルものLMTトークンを失いました。
Comparitechのデータによると、web3スペースは2022年第1四半期にフィッシングやハッキング攻撃で3,650万ドル相当のNFTを失っています。ほとんどのプラットフォームは、起こりうるセキュリティ侵害を防ぐためにたゆまぬ努力を続けていますが、セキュリティ侵害が避けられないことを痛切に感じています。したがって、自分の資産を自分で守ることを学ばなければ、そこに存在する多くの詐欺師の犠牲になってしまいます。
NFTを保護するには
NFTのセキュリティに注意を払う必要がある理由はご理解いただけたと思いますが、問題はその方法です。以下に、資産のエクスプロイトから守るために実施すべき最も重要な対策をご紹介します。
キーの安全な保管:NFTを常に売買したり、交換したりしないのであれば、キーはオフラインのコールドウォレットに保管してください。ホットウォレット(オンラインストレージ)を使用することで、秘密鍵へのアクセスや取引の確認が簡単かつ迅速に行えます。しかし、所有権を与えるこれらの鍵は、オンラインで保管する限りハッキングの対象になり得ます。オフラインのハードウェアウォレットで安全に保管するのがより良い選択肢です。そうすることにより、ハッカーがあなたのキーを入手することは不可能になります。オンラインである限り、侵害されないウォレットは存在しないことを忘れないでください。
クリックに対する注意:上記のように、悪意のある行為者は正規のリンクを複製し、疑うことを知らないユーザーをだまします。しかし、それがどんなに巧妙なものであっても、それが不正なリンクであることを示すサインが必ず存在します。そのため、クリックするリンクは常にダブルチェックし、URLが本物であることを確認してください。
「すぐに行動しないことへの恐怖」の克服:投資における最大の敵は、常に「欲」です。諺にでも見られるように、あまりにも良く見えるものが真実だと感じるのは通常の感覚です。そのため、取引の承諾には注意が必要です。特に、すぐに行動することを促すようなプレッシャーを与えるものには注意が必要です。複数のソースから検証してください。取引を提供している正規のページが危険にさらされている可能性があるため、他のプラットフォームをチェックすることも必要です。Twitterでオファーがあった場合、その会社のDiscordをチェックし、さらに確認してください。見逃すことを恐れて行動を起こそうとする衝動に駆られてはいけません。それは、決して良い結果には結びつきません。
盲目的に署名しない:信頼に基づいてスマートコントラクトに署名しないでください。署名するコントラクトの必要な詳細をすべて明らかにするウォレットを使用し、デューデリジェンスを行ってください。詐欺師は通常、無害なメッセージを表示して自分の行動を偽装します。あなたが使用しているウォレットが、スマートコントラクトの詳細の一部を常に制限している場合、疑いを持つことなく署名したくなるかもしれませんが、すぐに署名してはいけません。せっかく稼いだお金を知らず知らずのうちに譲渡してしまう可能性があります。署名する内容の詳細をすべて把握してください。
DMでの取引を避ける:プロトコルは通常、自社のWebサイトやソーシャルメディア・プラットフォームで、インセンティブやオファー、取引を発表します。ユーザーに個別にアプローチすることはまれであり、不可能でもあります。そのため、あるプラットフォームがDMで取引を提案しているようであれば、避けた方がよいでしょう。それは、NFTをだまし取ろうとする悪質な業者である可能性が高いのです。適切なプロセスを踏まない申請は無視するのが賢明です。
スマートコントラクトの機能を理解した上で署名する:多くのWeb3ユーザーは、署名するスマートコントラクトの要素を理解することが困難です。やみくもに署名しないことと、内容を理解することは別のことです。そこで必要なのが、スマートコントラクトの機能を理解することであり、悪者から搾取されないために必須の行動です。スマートコントラクトの機能など、Web3の重要な要素について、自分自身を教育するステップを踏み出しましょう。それによって、取引と確認などを区別できるようになります。その結果、偽装攻撃の被害に遭う危険性は低下します。
あなたのシードフレーズはあなただけのものであり、決して共有しない:シードフレーズまたはリカバリーフレーズは、キーを紛失した際にウォレットを失うことを防ぐ唯一の手段です。これは、あなたのトークンと資金にアクセスするためのバックアップ情報であり、あなただけが使用できるものです。したがって、シードフレーズはウォレットキーと同様、オフラインで安全に保管するのが最善策です。
まとめ
完全無欠のシステムは存在しないため、注意を払うことでNFTやその他のデジタル資産を安全に保護する可能性が高まります。Web3の世界ではセキュリティ違反が後を絶ちませんが、あなたの資産の安全性についても何らかの対策はあります。これらは、ほとんどのハッキングやフィッシングに対抗するための主要な予防策です。これらを実践することで、Web3に精通した数少ないユーザーの1人となり、資産をしっかりと保護できます。
著者 M. Olatunji(Gate.io リサーチャー)
(注釈)
本記事は研究者の見解を述べたものであり、投資に関するアドバイスを提供するものではありません。
Gate.ioは本記事のすべての権利を保有します。記事の再掲載は、Gate.ioを参照することを条件に許可されます。
それ以外の場合は、著作権侵害として法的措置の対象となります。
セキュリティ侵害のこの形態では、悪意のある者が、正規のものと同様のリンクを使用して偽造したWebサイトを作成します。次に、ソーシャルエンジニアリングのシナリオを作成し、無防備なNFT保有者に偽のリンクをクリックするよう促します。このようなシナリオは通常、一度限りのエアドロップ、早期または独占的なトークン発行など、現実味の薄いチャンスであるかのように行われます。時には、被害者のアカウントがセキュリティ侵害され、パスワードを変更する必要があると嘘のメッセージを受信する場合もあります。
どのような形であっても、こうしたオファーは常に期限付きで、ユーザーの「見逃すことへの恐怖(FOMO)」を煽るものです。その結果、詐欺師はウォレットホルダーの秘密鍵、さらにはそこに含まれる資金やデジタル資産にアクセスできるようになります。
今年2月、著名なNFTプラットフォームであるOpenseaに衝撃的な事件が発生しました。それは、NFTマーケットプレイスに対するフィッシング攻撃で、ユーザーは1,200ETH(当時のレートで340万ドル)以上のNFTを失いました。また、5月にも同様の攻撃が行われ、当時のレートで150万ドル(750ETH)近い価値のあるMoonbirdのNFTが被害に遭いました。
ハッキング攻撃
これは、ハッカーが合法的で信頼できるプラットフォームに侵入し、ユーザーの情報、資金、資産にアクセスすることを意味します。Twitter、Instagram、Discord、Webサイトなど、Web3およびWeb2のプラットフォームで発生する可能性があります。フィッシング詐欺と同様に、ハッカーは、ユーザーが疑う前に驚くべき速さで資産を取得し、現金化し、引き出します。今年初頭から、このような悪用が多発しています。こうした詐欺師は、Bored Ape Yacht ClubやOpenseaなどの著名な対象をターゲットにしています。このような攻撃の驚くべき事例は、3月にAlethea AlのDiscordがハッキングされた事件です。そのユーザーは840ETH(当時のレートで約180万ドル)を失いました。また、今年最大のものは、スポーツ系NFTブランドであるLympoの10個のウォレットに影響を与えたホットウォレットハックです。1月に行われたその一度のハッキングにより、被害者はなんと1,870万ドルものLMTトークンを失いました。
Comparitechのデータによると、web3スペースは2022年第1四半期にフィッシングやハッキング攻撃で3,650万ドル相当のNFTを失っています。ほとんどのプラットフォームは、起こりうるセキュリティ侵害を防ぐためにたゆまぬ努力を続けていますが、セキュリティ侵害が避けられないことを痛切に感じています。したがって、自分の資産を自分で守ることを学ばなければ、そこに存在する多くの詐欺師の犠牲になってしまいます。
NFTを保護するには
NFTのセキュリティに注意を払う必要がある理由はご理解いただけたと思いますが、問題はその方法です。以下に、資産のエクスプロイトから守るために実施すべき最も重要な対策をご紹介します。
キーの安全な保管:NFTを常に売買したり、交換したりしないのであれば、キーはオフラインのコールドウォレットに保管してください。ホットウォレット(オンラインストレージ)を使用することで、秘密鍵へのアクセスや取引の確認が簡単かつ迅速に行えます。しかし、所有権を与えるこれらの鍵は、オンラインで保管する限りハッキングの対象になり得ます。オフラインのハードウェアウォレットで安全に保管するのがより良い選択肢です。そうすることにより、ハッカーがあなたのキーを入手することは不可能になります。オンラインである限り、侵害されないウォレットは存在しないことを忘れないでください。
クリックに対する注意:上記のように、悪意のある行為者は正規のリンクを複製し、疑うことを知らないユーザーをだまします。しかし、それがどんなに巧妙なものであっても、それが不正なリンクであることを示すサインが必ず存在します。そのため、クリックするリンクは常にダブルチェックし、URLが本物であることを確認してください。
「すぐに行動しないことへの恐怖」の克服:投資における最大の敵は、常に「欲」です。諺にでも見られるように、あまりにも良く見えるものが真実だと感じるのは通常の感覚です。そのため、取引の承諾には注意が必要です。特に、すぐに行動することを促すようなプレッシャーを与えるものには注意が必要です。複数のソースから検証してください。取引を提供している正規のページが危険にさらされている可能性があるため、他のプラットフォームをチェックすることも必要です。Twitterでオファーがあった場合、その会社のDiscordをチェックし、さらに確認してください。見逃すことを恐れて行動を起こそうとする衝動に駆られてはいけません。それは、決して良い結果には結びつきません。
盲目的に署名しない:信頼に基づいてスマートコントラクトに署名しないでください。署名するコントラクトの必要な詳細をすべて明らかにするウォレットを使用し、デューデリジェンスを行ってください。詐欺師は通常、無害なメッセージを表示して自分の行動を偽装します。あなたが使用しているウォレットが、スマートコントラクトの詳細の一部を常に制限している場合、疑いを持つことなく署名したくなるかもしれませんが、すぐに署名してはいけません。せっかく稼いだお金を知らず知らずのうちに譲渡してしまう可能性があります。署名する内容の詳細をすべて把握してください。
DMでの取引を避ける:プロトコルは通常、自社のWebサイトやソーシャルメディア・プラットフォームで、インセンティブやオファー、取引を発表します。ユーザーに個別にアプローチすることはまれであり、不可能でもあります。そのため、あるプラットフォームがDMで取引を提案しているようであれば、避けた方がよいでしょう。それは、NFTをだまし取ろうとする悪質な業者である可能性が高いのです。適切なプロセスを踏まない申請は無視するのが賢明です。
スマートコントラクトの機能を理解した上で署名する:多くのWeb3ユーザーは、署名するスマートコントラクトの要素を理解することが困難です。やみくもに署名しないことと、内容を理解することは別のことです。そこで必要なのが、スマートコントラクトの機能を理解することであり、悪者から搾取されないために必須の行動です。スマートコントラクトの機能など、Web3の重要な要素について、自分自身を教育するステップを踏み出しましょう。それによって、取引と確認などを区別できるようになります。その結果、偽装攻撃の被害に遭う危険性は低下します。
あなたのシードフレーズはあなただけのものであり、決して共有しない:シードフレーズまたはリカバリーフレーズは、キーを紛失した際にウォレットを失うことを防ぐ唯一の手段です。これは、あなたのトークンと資金にアクセスするためのバックアップ情報であり、あなただけが使用できるものです。したがって、シードフレーズはウォレットキーと同様、オフラインで安全に保管するのが最善策です。
まとめ
完全無欠のシステムは存在しないため、注意を払うことでNFTやその他のデジタル資産を安全に保護する可能性が高まります。Web3の世界ではセキュリティ違反が後を絶ちませんが、あなたの資産の安全性についても何らかの対策はあります。これらは、ほとんどのハッキングやフィッシングに対抗するための主要な予防策です。これらを実践することで、Web3に精通した数少ないユーザーの1人となり、資産をしっかりと保護できます。
著者 M. Olatunji(Gate.io リサーチャー)
(注釈)
本記事は研究者の見解を述べたものであり、投資に関するアドバイスを提供するものではありません。
Gate.ioは本記事のすべての権利を保有します。記事の再掲載は、Gate.ioを参照することを条件に許可されます。
それ以外の場合は、著作権侵害として法的措置の対象となります。
ETH/USDT
-0.16%
BTC/USDT
-1.22%
GT/USDT
+ 2.15%
運試しで箱を開いて $6666の報酬を獲得しよう
今すぐ登録
今すぐ20ポイント受け取ろう
新規ユーザー限定:2つのステップを完了してポイントを受け取ろう!
今すぐ受け取る
