このガイドは何も保証しないし、「暗号資産またはサイバーセキュリティの専門家」の視点から書かれたものでもありません。
複数の情報源からの継続的な学びと個人の経験を積み重ねた結晶です。
例えば、私自身もFOMOと欲に騙された経験があります(偽のライブストリーム詐欺や偽のMEVボット詐欺)。だからこそ、この分野に入ってすぐに真剣に学び、セットアップし、セキュリティを理解する時間を取りました。
すべてを失ったり、痛みを伴う大金を失ったりして、セキュリティについて学ぶことを強制される人にならないようにしてください。
ウォレット/トークン/NFTのあらゆる種類の「ハック」や侵害は、大まかに2つのカテゴリに分類されます:
以前に許可されたトークンの承認の乱用。
プライベートキー/シードフレーズの漏洩(通常はホットウォレットで)
トークン承認は基本的には、スマートコントラクトがあなたのウォレットから特定のタイプや量のトークンにアクセスして移動するための許可です。
例えば:
ある前提条件として、基本的にEthereumネットワーク上のすべてのもの、ETHを除くすべてがERC-20トークンです。
ERC-20トークンの特性の1つは、他のスマートコントラクトに承認権限を付与する能力です。
これらの承認は、いつかスワップやトークンのブリッジなど、コアのDeFiインタラクションを行いたいと思うなら必要です。
NFTはそれぞれERC-721および1155トークンであり、それらの承認メカニズムはERC-20と類似していますが、NFTマーケットプレイス向けです。
MetaMask(MM)からの最初のトークン承認プロンプトにはいくつかの情報が表示されますが、最も関連性の高いものは次のとおりです。
承認しているトークン
あなたがやり取りしているウェブサイト
あなたがやり取りしているスマートコントラクト
トークンの許可量を編集する機能
フル詳細のドロップダウンメニューの下には、追加の情報が表示されます。承認機能です。
すべてのERC-20トークンは、ERC-20標準で指定された特定の特性と属性を持たなければなりません。
これらのうちの1つは、スマートコントラクトが承認された金額に基づいてトークンを移動する能力です。
これらの承認における危険性は、悪意のあるスマートコントラクトにグラントトークンの許可を与えると、資産が盗まれる/排出される可能性があることです。
多くのDeFiアプリは、デフォルトでERC20トークンの無制限承認を要求します。
ユーザーの利便性を向上させ、将来の承認を必要としないため、時間とガス料金を節約できるようにするためです。
無制限のトークンの承認を許可すると、資金がリスクにさらされる可能性があります。
特定の金額にトークン承認を手動で編集すると、承認されたdAppが別の承認が大きな金額に署名されるまで移動できるトークンの最大量が設定されます。
これにより、そのスマートコントラクトが悪用された場合の下限リスクが制限されます。もし、あなたが無制限の承認を与えたdAppに脆弱性がある場合、それらの承認されたトークンを保持しているウォレットからすべての承認されたトークンを失うリスクがあります。
See the Multichain WETH(WETHはETHのERC-20トークンラッパーです)の悪用例として。
この一般的に使用される橋は、過去の無制限トークン権限を乱用してユーザーから資金を取ることが行われました。
デフォルトの無制限承認から手動承認に変更する例(Zerionウォレットを使用)の一例。
NFTのための「setApprovalForAll」
これは一般的に使用されるが、あなたのNFTを販売したい時に信頼できるNFTマーケットプレイスに一般的に付与される、潜在的に危険な承認です。
これにより、NFTはマーケットプレイスのスマートコントラクトによって移転可能になります。したがって、NFTをバイヤーに販売すると、そのマーケットプレイスのスマートコントラクトが自動的にNFTをバイヤーに移動させることができます。
この承認により、特定のコレクション/契約アドレスからのすべてのNFTトークンへのアクセスが許可されます。
これは悪意のあるウェブサイト/契約によってあなたのNFTを盗むためにも使用される可能性があります。
FOMOフリーミント状況のためのクラシックなウォレット排水は次のようになります:
ユーザーは正当だと信じている悪意のあるウェブサイトにアクセスします。
ウォレットをウェブサイトに接続すると、ウェブサイトはウォレットの内容のみを見ることができます。
ただし、彼らはこれを使用してウォレットをスキャンし、最も価値の高いNFTを見つけ、このNFTの契約アドレスに対してMMからの「すべての承認を設定する」を促します。
ユーザーは、自分が造幣していると思っていますが、実際には悪意のある契約にそのトークンを移動するための承認を与えています。
詐欺師は、アイテムが盗まれたとマークされる前に、トークンを盗んでオープンOSまたはBlur入札に流動化します。
承認にはガスが必要です。なぜなら、トランザクションを処理しているからです。
署名はガス不要であり、対応するウォレットを制御していることを証明するために、dAppsにサインインする際に頻繁に使用されます。
署名は一般的にはリスクが低い行動ですが、OpenSeaなどの信頼されたサイトで以前に与えられた承認を悪用するために使用されることもあります。
(ERC-20sの場合)許可機能がETHに最近導入されたため、ガスレス署名で承認を変更することも可能です。
1inchのようなDEXを使用すると、これが見えることがあります。
これについて詳しく読むここ.
何かを承認する際には注意してください。何のトークンに承認を与えているか、どのスマートコントラクトに対して承認しているかを確認してください(etherscanを利用してください)。
承認にリスクを限定してください:
Revoke.cashは、さまざまなトークン承認を簡単に取り消すことができるウェブサイトです。
ホットウォレットは、コンピュータや携帯電話を介してインターネットに接続されています。 キー/ウォレットの資格情報はオンラインまたはブラウザ内でローカルに保存されています。
Cold wallets are hardware devices where the key is generated and stored PURELY offline and physically near you.
暗号資産が1000ドル以上ある場合、レジャーは約120ドルですので、レジャーを購入してセットアップすることをお勧めします。レジャーのウォレットを接続(インポートではなく)して、MMに同じ機能を持つ別のホットウォレットとして使用することができます。この方法で安全性を保ちながら利用できます。
LedgerとTrezorが最も人気です。私はLedgerが一番ブラウザウォレットと互換性があるので好きです(RabbyやMMに似ています)。
公式の製造元のウェブサイトから常に購入してください。EbayやAmazonでの購入は避けてください。それは潜在的に危険なマルウェアがプリロードされている可能性があります。
商品を受け取ったら、梱包が密閉されていることを確認してください。
最初に台帳を設定すると、シードフレーズが生成されます。
種子を書く時は、絶対に物理的な紙か、将来のために鋼板に書いてください。そうすればあなたの種のフレーズは耐火性であり防水性になります。
決して写真を撮ったり、種子をキーボードの形式(携帯電話を含む)に入力しないでください。これにより、種子が数字化され、あなたの「冷たい」ウォレットが安全ではない「熱い」ウォレットになります。
暗号資産はハードウェアウォレットに直接保存されるわけではありませんが、シードフレーズによって生成されたウォレットの中に「保管」されています。
シードフレーズ(12-24語)はすべてであり、すべてのコストで保護/保護する必要があります。
そのシードフレーズの下で生成されたすべてのウォレットへの完全な制御/アクセスを提供します。
シードはデバイス固有ではなく、必要に応じて別のハードウェアウォレットに「インポート」してバックアップすることができます。
シードが紛失/破壊され、元のハードウェアウォレットが紛失/破壊され/ロックアウトされた場合 = すべての資産へのアクセスを永久に失うことになります。
さまざまなレベルのシードレベルのストレージがあります。たとえば、複数の部分に分割する、部分間の物理的な距離を追加する、目立たない場所に保存する(冷凍庫の底のスープ缶、自分の所有する地下など)。
最低限、水や火災に対して保護するために、鋼鉄で1つのコピーを含む少なくとも2〜3つのコピーを持つべきです。
「秘密鍵」はシードフレーズのようなものですが、特定の1つのウォレットのみを対象としています。これは通常、ホットウォレットを新しいMMアカウントにインポートしたり、取引ボットなどの自動化ツールでインポートしたりするために使用されます。
元の24語のシードに加えて、Ledgerにはオプションの追加セキュリティ機能があります。
ザ パスフレーズは、復旧フレーズに最大100文字の25番目の単語を追加する高度な機能です。
パスフレーズを使用すると、24ワードの復旧フレーズだけではアクセスできない、まったく異なるアドレスセットが作成されます。
もう一つのレイヤーを追加するだけでなく、パスフレーズはあなたに対して強制された際に否認可能性を与えます。
パスフレーズを使用する場合は、それを安全に保存するか、文字ごとに完璧に覚えて大文字小文字を区別することが重要です。
これは、「$5レンチ攻撃」の状況において、身体的に脅迫されることがある唯一の最終防衛手段です。
ホットウォレットは、インターネットに接続された場所に秘密鍵を保存します。
インターネットを介してこれらの資格情報を明らかにすることは、惑わされ、だまされ、操作されることが驚くほど簡単です。
コールドウォレットを持っているということは、詐欺師がそれらのウォレットやその中の資産にアクセスするために、物理的にあなたのレジャーまたはシードを見つけて取る必要があることを意味します。
シードが侵害された = 悪意のあるサイト/コントラクトとやり取りしていないものも含めて、その中のすべてのホットウォレットと資産が危険にさらされています。
過去に一般的だったハッキング方法(シードフレーズの漏洩)で、ホットウォレットを通じて人々が「ハック」されていました。
求人オファーのPDFを通じてマルウェアをダウンロードさせられたり、「ベータテスト」ゲーム、Googleシートを介してマクロを実行させられたり、合法的なサイトやサービスの模倣などによってだまされたりします。
悪意のある契約とのやり取り: ミミックサイトからのFOMOマイント、未知のエアドロップ/受け取ったNFTとの契約とのやり取り。
「カスタマーサポート」または関連するプログラム/フォームにキーとシードを挿入または送信すること。
ハイプロファイルな「ハック」の例と解説
ケビン・ローズ:コレクション(アートブロック)を作成しようとしましたが、サインされた署名トランザクション(ガスレス)を行い、単にミントサイトにログインしていると思っていました。
しかし、Seaport(新しいOpenSeaマーケットプレイス契約)を使用すると、署名だけで受け入れることができるカスタムオーダーを作成することができます。
ケビンはすでに彼の資産をOpenSea契約に承認していたため、ハッカーは彼をだまして、ケビンの高価なNFTをすべて無料/~$1でハッカーに売るカスタム注文を満たす署名をするように仕向けた。
主なポイント:
署名は以前に承認されたものを悪用することもできます。たとえその承認が信頼できるソースに対して行われたものであったとしても。
“grail/main vault”ウォレットをお持ちの場合は、OpenSea(OS)の承認をOS以外のウェブサイトで署名しないでください。契約やウェブサイトとのやり取りも行わないでください。代理ウォレットに送金してからやり取りしてください。
NFT_GOD:MetaMaskのインポートアカウント(ハードウェアウォレットの追加とは逆のオプション)オプションを使用し、レジャーの設定時にMetaMaskにシードフレーズを入力しました。
これにより、彼のコールドウォレットはホットウォレットになりました。前のゴールデンルールを覚えてください。シードフレーズをデジタル化しないことです。
彼はその後、明らかに偽のOBS(録画ソフトウェア)をダウンロードしたようです。これは、Google検索のトップに広告として宣伝されていたODSというものでした。
これはマルウェアだったので、それはシードフレーズを盗んで彼のホットウォレットのすべての資産を盗み、そして彼のコールドウォレットも同様に盗んでしまいました。
キーポイント:
いかなる方法でもシードフレーズを「デジタル化」しないでください。キーボード(携帯電話も含む)に入力したり、写真を撮ったりすることはしないでください(クラウドサービスへの自動バックアップも人々のセキュリティを脅かす可能性があります)。
この記事は、[洞察力のある内部者], オリジナルのタイトル'暗号資産で再びラグされない方法'を転送します。すべての著作権は元の著者に帰属します[INSIGHTFUL]. これに対する異議がある場合は、お問い合わせください。Gateの学習チーム、そして彼らはそれを迅速に処理します。
免責事項:本記事における意見や見解は著者個人のものであり、投資助言を意味するものではありません。
記事の翻訳はGate Learnチームによって他の言語に行われます。特に記載がない限り、翻訳された記事の複製、配布、盗作は禁止されています。
このガイドは何も保証しないし、「暗号資産またはサイバーセキュリティの専門家」の視点から書かれたものでもありません。
複数の情報源からの継続的な学びと個人の経験を積み重ねた結晶です。
例えば、私自身もFOMOと欲に騙された経験があります(偽のライブストリーム詐欺や偽のMEVボット詐欺)。だからこそ、この分野に入ってすぐに真剣に学び、セットアップし、セキュリティを理解する時間を取りました。
すべてを失ったり、痛みを伴う大金を失ったりして、セキュリティについて学ぶことを強制される人にならないようにしてください。
ウォレット/トークン/NFTのあらゆる種類の「ハック」や侵害は、大まかに2つのカテゴリに分類されます:
以前に許可されたトークンの承認の乱用。
プライベートキー/シードフレーズの漏洩(通常はホットウォレットで)
トークン承認は基本的には、スマートコントラクトがあなたのウォレットから特定のタイプや量のトークンにアクセスして移動するための許可です。
例えば:
ある前提条件として、基本的にEthereumネットワーク上のすべてのもの、ETHを除くすべてがERC-20トークンです。
ERC-20トークンの特性の1つは、他のスマートコントラクトに承認権限を付与する能力です。
これらの承認は、いつかスワップやトークンのブリッジなど、コアのDeFiインタラクションを行いたいと思うなら必要です。
NFTはそれぞれERC-721および1155トークンであり、それらの承認メカニズムはERC-20と類似していますが、NFTマーケットプレイス向けです。
MetaMask(MM)からの最初のトークン承認プロンプトにはいくつかの情報が表示されますが、最も関連性の高いものは次のとおりです。
承認しているトークン
あなたがやり取りしているウェブサイト
あなたがやり取りしているスマートコントラクト
トークンの許可量を編集する機能
フル詳細のドロップダウンメニューの下には、追加の情報が表示されます。承認機能です。
すべてのERC-20トークンは、ERC-20標準で指定された特定の特性と属性を持たなければなりません。
これらのうちの1つは、スマートコントラクトが承認された金額に基づいてトークンを移動する能力です。
これらの承認における危険性は、悪意のあるスマートコントラクトにグラントトークンの許可を与えると、資産が盗まれる/排出される可能性があることです。
多くのDeFiアプリは、デフォルトでERC20トークンの無制限承認を要求します。
ユーザーの利便性を向上させ、将来の承認を必要としないため、時間とガス料金を節約できるようにするためです。
無制限のトークンの承認を許可すると、資金がリスクにさらされる可能性があります。
特定の金額にトークン承認を手動で編集すると、承認されたdAppが別の承認が大きな金額に署名されるまで移動できるトークンの最大量が設定されます。
これにより、そのスマートコントラクトが悪用された場合の下限リスクが制限されます。もし、あなたが無制限の承認を与えたdAppに脆弱性がある場合、それらの承認されたトークンを保持しているウォレットからすべての承認されたトークンを失うリスクがあります。
See the Multichain WETH(WETHはETHのERC-20トークンラッパーです)の悪用例として。
この一般的に使用される橋は、過去の無制限トークン権限を乱用してユーザーから資金を取ることが行われました。
デフォルトの無制限承認から手動承認に変更する例(Zerionウォレットを使用)の一例。
NFTのための「setApprovalForAll」
これは一般的に使用されるが、あなたのNFTを販売したい時に信頼できるNFTマーケットプレイスに一般的に付与される、潜在的に危険な承認です。
これにより、NFTはマーケットプレイスのスマートコントラクトによって移転可能になります。したがって、NFTをバイヤーに販売すると、そのマーケットプレイスのスマートコントラクトが自動的にNFTをバイヤーに移動させることができます。
この承認により、特定のコレクション/契約アドレスからのすべてのNFTトークンへのアクセスが許可されます。
これは悪意のあるウェブサイト/契約によってあなたのNFTを盗むためにも使用される可能性があります。
FOMOフリーミント状況のためのクラシックなウォレット排水は次のようになります:
ユーザーは正当だと信じている悪意のあるウェブサイトにアクセスします。
ウォレットをウェブサイトに接続すると、ウェブサイトはウォレットの内容のみを見ることができます。
ただし、彼らはこれを使用してウォレットをスキャンし、最も価値の高いNFTを見つけ、このNFTの契約アドレスに対してMMからの「すべての承認を設定する」を促します。
ユーザーは、自分が造幣していると思っていますが、実際には悪意のある契約にそのトークンを移動するための承認を与えています。
詐欺師は、アイテムが盗まれたとマークされる前に、トークンを盗んでオープンOSまたはBlur入札に流動化します。
承認にはガスが必要です。なぜなら、トランザクションを処理しているからです。
署名はガス不要であり、対応するウォレットを制御していることを証明するために、dAppsにサインインする際に頻繁に使用されます。
署名は一般的にはリスクが低い行動ですが、OpenSeaなどの信頼されたサイトで以前に与えられた承認を悪用するために使用されることもあります。
(ERC-20sの場合)許可機能がETHに最近導入されたため、ガスレス署名で承認を変更することも可能です。
1inchのようなDEXを使用すると、これが見えることがあります。
これについて詳しく読むここ.
何かを承認する際には注意してください。何のトークンに承認を与えているか、どのスマートコントラクトに対して承認しているかを確認してください(etherscanを利用してください)。
承認にリスクを限定してください:
Revoke.cashは、さまざまなトークン承認を簡単に取り消すことができるウェブサイトです。
ホットウォレットは、コンピュータや携帯電話を介してインターネットに接続されています。 キー/ウォレットの資格情報はオンラインまたはブラウザ内でローカルに保存されています。
Cold wallets are hardware devices where the key is generated and stored PURELY offline and physically near you.
暗号資産が1000ドル以上ある場合、レジャーは約120ドルですので、レジャーを購入してセットアップすることをお勧めします。レジャーのウォレットを接続(インポートではなく)して、MMに同じ機能を持つ別のホットウォレットとして使用することができます。この方法で安全性を保ちながら利用できます。
LedgerとTrezorが最も人気です。私はLedgerが一番ブラウザウォレットと互換性があるので好きです(RabbyやMMに似ています)。
公式の製造元のウェブサイトから常に購入してください。EbayやAmazonでの購入は避けてください。それは潜在的に危険なマルウェアがプリロードされている可能性があります。
商品を受け取ったら、梱包が密閉されていることを確認してください。
最初に台帳を設定すると、シードフレーズが生成されます。
種子を書く時は、絶対に物理的な紙か、将来のために鋼板に書いてください。そうすればあなたの種のフレーズは耐火性であり防水性になります。
決して写真を撮ったり、種子をキーボードの形式(携帯電話を含む)に入力しないでください。これにより、種子が数字化され、あなたの「冷たい」ウォレットが安全ではない「熱い」ウォレットになります。
暗号資産はハードウェアウォレットに直接保存されるわけではありませんが、シードフレーズによって生成されたウォレットの中に「保管」されています。
シードフレーズ(12-24語)はすべてであり、すべてのコストで保護/保護する必要があります。
そのシードフレーズの下で生成されたすべてのウォレットへの完全な制御/アクセスを提供します。
シードはデバイス固有ではなく、必要に応じて別のハードウェアウォレットに「インポート」してバックアップすることができます。
シードが紛失/破壊され、元のハードウェアウォレットが紛失/破壊され/ロックアウトされた場合 = すべての資産へのアクセスを永久に失うことになります。
さまざまなレベルのシードレベルのストレージがあります。たとえば、複数の部分に分割する、部分間の物理的な距離を追加する、目立たない場所に保存する(冷凍庫の底のスープ缶、自分の所有する地下など)。
最低限、水や火災に対して保護するために、鋼鉄で1つのコピーを含む少なくとも2〜3つのコピーを持つべきです。
「秘密鍵」はシードフレーズのようなものですが、特定の1つのウォレットのみを対象としています。これは通常、ホットウォレットを新しいMMアカウントにインポートしたり、取引ボットなどの自動化ツールでインポートしたりするために使用されます。
元の24語のシードに加えて、Ledgerにはオプションの追加セキュリティ機能があります。
ザ パスフレーズは、復旧フレーズに最大100文字の25番目の単語を追加する高度な機能です。
パスフレーズを使用すると、24ワードの復旧フレーズだけではアクセスできない、まったく異なるアドレスセットが作成されます。
もう一つのレイヤーを追加するだけでなく、パスフレーズはあなたに対して強制された際に否認可能性を与えます。
パスフレーズを使用する場合は、それを安全に保存するか、文字ごとに完璧に覚えて大文字小文字を区別することが重要です。
これは、「$5レンチ攻撃」の状況において、身体的に脅迫されることがある唯一の最終防衛手段です。
ホットウォレットは、インターネットに接続された場所に秘密鍵を保存します。
インターネットを介してこれらの資格情報を明らかにすることは、惑わされ、だまされ、操作されることが驚くほど簡単です。
コールドウォレットを持っているということは、詐欺師がそれらのウォレットやその中の資産にアクセスするために、物理的にあなたのレジャーまたはシードを見つけて取る必要があることを意味します。
シードが侵害された = 悪意のあるサイト/コントラクトとやり取りしていないものも含めて、その中のすべてのホットウォレットと資産が危険にさらされています。
過去に一般的だったハッキング方法(シードフレーズの漏洩)で、ホットウォレットを通じて人々が「ハック」されていました。
求人オファーのPDFを通じてマルウェアをダウンロードさせられたり、「ベータテスト」ゲーム、Googleシートを介してマクロを実行させられたり、合法的なサイトやサービスの模倣などによってだまされたりします。
悪意のある契約とのやり取り: ミミックサイトからのFOMOマイント、未知のエアドロップ/受け取ったNFTとの契約とのやり取り。
「カスタマーサポート」または関連するプログラム/フォームにキーとシードを挿入または送信すること。
ハイプロファイルな「ハック」の例と解説
ケビン・ローズ:コレクション(アートブロック)を作成しようとしましたが、サインされた署名トランザクション(ガスレス)を行い、単にミントサイトにログインしていると思っていました。
しかし、Seaport(新しいOpenSeaマーケットプレイス契約)を使用すると、署名だけで受け入れることができるカスタムオーダーを作成することができます。
ケビンはすでに彼の資産をOpenSea契約に承認していたため、ハッカーは彼をだまして、ケビンの高価なNFTをすべて無料/~$1でハッカーに売るカスタム注文を満たす署名をするように仕向けた。
主なポイント:
署名は以前に承認されたものを悪用することもできます。たとえその承認が信頼できるソースに対して行われたものであったとしても。
“grail/main vault”ウォレットをお持ちの場合は、OpenSea(OS)の承認をOS以外のウェブサイトで署名しないでください。契約やウェブサイトとのやり取りも行わないでください。代理ウォレットに送金してからやり取りしてください。
NFT_GOD:MetaMaskのインポートアカウント(ハードウェアウォレットの追加とは逆のオプション)オプションを使用し、レジャーの設定時にMetaMaskにシードフレーズを入力しました。
これにより、彼のコールドウォレットはホットウォレットになりました。前のゴールデンルールを覚えてください。シードフレーズをデジタル化しないことです。
彼はその後、明らかに偽のOBS(録画ソフトウェア)をダウンロードしたようです。これは、Google検索のトップに広告として宣伝されていたODSというものでした。
これはマルウェアだったので、それはシードフレーズを盗んで彼のホットウォレットのすべての資産を盗み、そして彼のコールドウォレットも同様に盗んでしまいました。
キーポイント:
いかなる方法でもシードフレーズを「デジタル化」しないでください。キーボード(携帯電話も含む)に入力したり、写真を撮ったりすることはしないでください(クラウドサービスへの自動バックアップも人々のセキュリティを脅かす可能性があります)。
この記事は、[洞察力のある内部者], オリジナルのタイトル'暗号資産で再びラグされない方法'を転送します。すべての著作権は元の著者に帰属します[INSIGHTFUL]. これに対する異議がある場合は、お問い合わせください。Gateの学習チーム、そして彼らはそれを迅速に処理します。
免責事項:本記事における意見や見解は著者個人のものであり、投資助言を意味するものではありません。
記事の翻訳はGate Learnチームによって他の言語に行われます。特に記載がない限り、翻訳された記事の複製、配布、盗作は禁止されています。