急いで通貨を出金するのは危険です!コールドウォレットは思ったほど安全ではありません

2022-11-14, 12:38

- FTXの暴落に端を発したドミノ倒し的なFUDが徐々に広がり、撤退の動きは後を絶たず、弱気相場の終わりが見えない状況です。

- 暗号資産の世界は今、無秩序でカオスな状態です。ユーザーとして、私たちにできることは何でしょうか。

- ほとんどのユーザーの場合、パスワード保護と二段階認証がしっかり行われていれば、実はホットウォレットよりも取引所に置いた方が安全です。

- 現実の世界はもともとエントロピー増大のプロセスであり、ブロックチェーンの使命はエントロピー増大のスピードを遅らせることです。


はじめに

FTXの暴落に端を発したドミノ倒し的なFUDが徐々に広がり、撤退の動きは後を絶たず、弱気相場の終わりが見えない状況です。しかし、ここで言いたいことがあります。本当に通貨を出金することは必要なのでしょうか。デジタル資産はどう保管するべきでしょうか。


撤退か、待つ時か

FTXのクラッシュによって始まったこの出金ラッシュによって、100%の資産保管証明を公表していないいくつかの暗号資産取引所は、閉鎖のリスクさえある巨大な実行リスクにさらされました。

実際、FTXが初日に大量のアルトコインを売却したとき、敏感な投資家は資金を引き出して逃れる必要がある可能性を認識する必要があります。良いニュースの到来を受身の姿勢で待ち、事象が反転することを期待していてはいけません。

世界全体の市況が非常に乱高下しており、暗号資産の世界も非常に乱高下していることがわかります。ユーザーとしては、今できることはあまりないため、自分の状況に応じて合理的な資産配分をする必要があります。

BTCは、ある人々にとって、激動する状況の中で新しい人生を始めるための燃料になるかもしれません。どの家庭でも、資産ポートフォリオを将来的により健全で持続可能なものにするために、一定の割合で割り当てを行う必要があると考えられています。

さらに、ハードウェアウォレットで自分の資産を保管し、資金を分散させ、すべてのお金を取引所に預けたままにしないようにする方法も身につける必要があります。FTXのような強力な巨人も、わずか2日で地に堕ちました。不可能なこととは何でしょうか。


コールドウォレットかホットウォレットか

ここで、ホットウォレットとコールドウォレットのどちらを使うのがユーザーにとって適しているのか、という疑問が出てきます。次に、コールドウォレットとホットウォレットそれぞれの利用方法と潜在的なリスクをご紹介します。ご自身の状況に応じて参考にしていただき、選択してください。

コールドウォレット
基準を満たす、または正式な製造元によって製造されたハードウェアコールドウォレットは、インターネットから隔離されている必要があります。一般的に、ハードウェアコールドウォレットは、ネットワークが切断されたときにウォレットアドレスとキーを生成します。これにより、ハッカーがネットワークに接続されているデバイスからキーを直接盗むことができないようにします。

ハードウェアコールドウォレットの使用プロセスをスキャンしたところ、秘密鍵が出現するシナリオや秘密鍵を使用するシナリオは、ネットワークが切断された時点で完了するため、ハッカーが秘密鍵を盗む道をある程度断つことができ、ハードウェアコールドウォレットでは安全性が確保されていることがわかりました。

また、暗号資産を受け取る際には、imTokenやTrust Walletなどのウォレットを観察し、暗号資産を送る際にはQRコード、USB、Bluetoothを使用することをお勧めします。

しかし、コールドウォレットを使用するリスクは、ユーザーの専門知識が不足していることにより、「WYSIWYG (What You See Is What You Sign)」対話モードによるセキュリティの問題を引き起こす可能性があることです。ハードウェアウォレットは絶対に安全というわけではありません。

米国ラスベガスで開催された世界ハッカー会議「DEF CON 25」で、海外のセキュリティチームが、最古のビットコインウォレット「Trezor」を含むハードウェアコールドウォレットのクラック方法を実演しました。Trezorを入手したハッカーは、そのシェルを外すことで脆弱性を利用し、BTCを送金できます。この作業は最速で15秒しかかかりませんでした。

ちょうど2年前、暗号資産のコールドウォレットを製造するLegerのセキュリティ事故により、約100万件のメールアドレスと9,500件のユーザーデータが流出しました。その中にパスワードは含まれていないものの、これらの個人リソースは犯罪者がフィッシング攻撃を仕掛けるのに十分なものです。流出のニュースは世界中に広まり、関連するユーザーの間でパニックが起こり、サードパーティ製のコールドウォレットの使用に対する悪感情の発端となりました。

したがって、一般的には、市場に出ている有名なハードウェアコールドウォレットメーカーを注意深く観察する必要があります。ハードウェアコールドウォレットを長期間生産してきたメーカーで、セキュリティ上の事故が一度もなければ、そのメーカーが生産するハードウェアコールドウォレットは安全で信頼できる可能性が高いと考えられます。

ホットウォレット
一般的に、ホットウォレットはDApp(DeFi、NFT、GameFiなど)と相互作用します。ウォレットの実行時、悪意のあるコードは直接パッケージ化し、関連するニーモニックフレーズをハッカーが管理するサーバーにアップロードします。ウォレットの実行時、ユーザーが送金を開始し、ウォレットのバックグラウンドでターゲットアドレス、金額などの情報をこっそりと置き換えるため、ユーザーが発見するのは困難です。ニーモニックフレーズの生成に関連する乱数のエントロピー値を破壊し、これらのニーモニックフレーズは容易にクラックできるのです。

現在、市場で有名で安全なホットウォレットであるメタマスクは、イーサリアム技術開発会社ConsenSysの主要6製品の1つに属し、かつてイーサリアム財団の支援を受けたこともあります。

メタマスクは、軽量なEthereumオープンソースウォレットであり、APPウォレットでもあります。イーサリアムスマートコントラクトのテスト機能を持ち、最も包括的なDappをサポートし、ハードウェアウォレットのLedgerやTrezorと互換性があります。

ユーザーインターフェイスはシンプルで、初心者に非常に適しています。また、メタマスクに新しいアプリケーションインターフェイスを追加するなど、ユーザーがウォレット体験をカスタマイズすることもできます。しかし、ガス代が高く、シンプルなUIデザインやページに対する批判も多く出ています。


Web3.0ウォレットは信頼できるか

ウォレットは、ユーザーがチェーン上でやり取りするために必要なツールです。現実の世界から暗号資産の世界への重要な入口と見なすことができます。その本質は、強力な資産属性を持つ秘密鍵管理ツールです。今後の暗号資産ウォレットの開発も、この2つの特徴を軸に充実・拡大し、ビジネスの最適化とリソースの集約が総合的・包括的な方向で行われることになるでしょう。

Web3.0時代の分散型多機能ウォレットであるWallet.ioは、未来の暗号資産ウォレットのリーダーとして、よりバランスのとれた方式を採用し、お客様の資本の安全性を確保します。

ユーザーは自分でニーモニックフレーズや秘密鍵を記録して保存する必要がなく、携帯電話やパソコンが侵害される心配もなく、プラットフォームが資金の安全を保証します。プラットフォームはユーザーのアカウント内の資金を使用できず、オンチェーン資産は明確かつ追跡可能で、偽造できません。Wallet.ioはgate.io認証でのログインをサポートしています。認証完了後、ユーザーは1つのアカウントで取引所と個人用ウォレットに同時にログインできます。交換も送金もすべて行うことができ、便利でスピーディーです。

さらに、wallet.ioは、機関レベルのマルチコイン、マルチシグウォレットをリードしています。コントラクトコードのセキュリティ監査は、Certik&Cheetah Mobile Securityが行っています。

wallet.io個人用ウォレットとマルチシグウォレット:Gateと信頼できるデジタル資産保管の専門家が共同で、専門的な資産管理ソリューションを提供します。一人で資産を管理するのに適しています。マルチシグソリューションは、1人の秘密鍵の紛失による資産の損失を回避できます。「2/3署名」の仕組みを採用します。ユーザー、wallet.ioプラットフォーム、第三者機関がそれぞれ設定した3つの秘密鍵は別々に保管され、資産を移し替えるには2つの秘密鍵の署名が必要です。様々なデジタル通貨に対応し、数百のデジタル通貨を保管できます。バックアップ用秘密鍵は、専門機関により安全性が保証されています。ハードウェアウォレット、ハードウェアコールドストレージをサポートし、秘密鍵の安全性が高まります。

wallet.io複数ユーザー用ウォレットとマルチシグウォレット:安全で柔軟な共同資産管理のためのソリューションです。複数の当事者による協調的な資産管理に適しています。ある当事者の秘密鍵の紛失を回避できるだけでなく、複数当事者による協調的な資産管理のためのより良い解決策を提供することができます。「m/n署名」メカニズムでは、所有者はウォレットの秘密鍵の総数nと、トランザクションの署名に必要な秘密鍵の数mを設定できます。つまり、ウォレットには秘密鍵を管理するメンバーがn人いて、m人のメンバーが署名した後でなければ、資産を外部に転送することはできません。

m/n制御は安全性が高まります。取引確認のため、m/n個の鍵の署名が必要です。複数のデジタル通貨をサポートし、数百のデジタル通貨を保存できます。バックアップ体験の向上により、ユーザーのために安全なキーカードを生成できます。必要なときに、キーカードを通して資産を取り出すことができ、ハードウェアウォレットとハードウェアコールドストレージもサポートしています。

また、Wallet.ioウォレットは、ユーザーにデジタル資産の管理、送受信などのサービスを無償で提供します。送金手数料は、デジタル通貨システムの運用を維持するネットワークノードに支払われるもので、マイナー手数料とも呼ばれ、Wallet.ioとは経済的関係はありません。送金ページには参考となるマイナー手数料が表示され、実費がかかります。詳細については取引記録詳細ページをご覧ください。

現在、Wallet.ioはすべてのEOSトークン、すべてのETHのERC-20トークン、すべてのQTUMのQRC-20トークン、すべてのNEOのNEP-5トークンをサポートしています。

Wallet.ioでは、ユーザーは秘密鍵のバックアップを取る必要がありません。Wallet.ioはよりバランスのとれたセキュリティポリシーを採用しているため、秘密鍵は高い強度で暗号化され、プラットフォーム上に保存されます。ユーザーもプラットフォームも独自に秘密鍵を入手することはできません。秘密鍵はユーザーの引き出しパスワードを使用し、複数回の暗号化を経て保存されます。プラットフォームが秘密鍵を入手することはできず、秘密鍵はユーザーによって管理されます。ユーザーが送金を行う際、秘密鍵は暗号化され、使い切ると削除されます。

複数の認証とオープンソースの透明性を備えた安全で使いやすい全通貨対応ウォレットは、ユーザーの安全を確保します。


提案

結論から言うと、トークンは3つの場所に保管されることが多く、その中でもコールドウォレットが最も安全です。ほとんどの人にとって、パスワード保護と二段階認証がうまくいっている限り、実際にはいくつかのホットウォレットよりも取引所に置く方が安全です。ホットウォレットは常にチェーン上にあります。間違った認証が行われると、資産が簡単に移動されてしまいます。Wallet.ioはこのエラーを効果的に回避できます。

また、「USDTは安全性が高い」と思っている方も多いのではないでしょうか。実は、USDTはTether社が管理しています。一度ブラックマネーとみなされると、Tetherは簡単に資金を凍結できます。そのため、出所不明のUSDTに遭遇した場合は、注意したほうがよいでしょう。同様に、USDCも凍結に注意が必要です。

また、人が最も間違いを犯しやすいのが署名です。一般に、署名は認証を伴わないため、運用上のリスクはないと考えられています。しかし、平文以外で書かれた署名は、やはりセキュリティ上のリスクがあります。幸いなことに、メタマスクは赤文字でプロンプトを表示するようになりました。

もちろん、署名だけでなく、最もよく使われる機能は承認です。これは、ある通貨で相手が自由に使えるように承認した金額を決定するものです。一般的には、UniswapなどのDEXの方が安全だと言われています。しかし、無制限の送金額を承認しなければならない新しいプロジェクトに遭遇した場合は注意が必要です。ハッカーの得意技は、不安を感じる時(新プロジェクトがミントされた時)、興奮している時(突然多額と思われるエアドロップを受け取った時)、落ち込んでいる時(何度も騙された時)に偽サイトに誘導して、思わず承認させてしまうことです。


まとめ

セキュリティは決して絶対的なものではなく、相対的なものです。
現実の世界はもともとエントロピー増大のプロセスであり、常に変化し、進歩し、改善されます。ブロックチェーンの使命は、エントロピーの増加速度を緩やかにすることです。
通貨サークルのユーザーとして、この業界で長くやっていこうと思ったら、まずは自分の資産の安全性を重視し、自分の能力の範囲を理解し、適切な参加方法を選択し、常に業界の変化がもたらす反映と進歩に目を向け、経験することです。私たちが成長し、暗号資産の世界も改善して行くには、この方法しかないように思われます。
より良い世界を作るために参加してくださったすべての皆様に感謝し、Gate.ioは皆さんと一緒に暗闇を越え、夜明けを迎えるために協力します。



執筆者 Byron B. (Gate.io研究員)
本記事は研究者の見解を述べたものであり、投資に関するアドバイスを提供するものではありません。
Gate.ioは本記事のすべての権利を保有します。記事の再掲載は、Gate.ioを参照することを条件に許可されます。
それ以外の場合は、著作権侵害として法的措置を取ることとします。

共有
gate logo
Credit Ranking
Complete Gate Post tasks to upgrade your rank