著者: Mu Mu、ヴァナキュラーブロックチェーン

暗号化業界では、資産のセキュリティは常に一般的かつ重要なトピックでしたが、ブロックチェーンの専門的な観察によると、セキュリティ科学は頻繁に普及していますが、多くの人に共通の考え方があるため、セキュリティの問題に実際に注意を払っている人は多くありません。これは完全に確率であり、「メロン３個とデート２個は私の番ではない」ということではなく、これよりも低い確率で必ず自分の番が当たると考えていることが多いのです。

実際、暗号資産の主流化に伴い、大口投資家、個人投資家を問わず、個人のユーザー資産を狙ったセキュリティ事故が頻繁に発生しており、もはや珍しいことではありません。

そこで、最近最も一般的な個人ユーザー資産のセキュリティ インシデントから始めて、私たちに密接に関係するセキュリティ問題を見てみましょう。矢面に立たされる最も重要なことは、プラットフォームとウォレット APP を確実に保護する方法です。使用しても安全ですか？

01 「公式チャンネル」は必ずしも安全なのでしょうか？

ほとんどの人は、プラットフォームとウォレット APP のセキュリティを確保するのは「公式チャネル」を探すだけで簡単だと考えていますよね。実際、必ずしもそうとは限りません...

1. 「公式 Web サイト」は、公式 Web サイトよりも公式 Web サイトのように見えます。「公式 Web サイト」を検索することは誰もが知っていますが、一般的な主流のウォレットを例に挙げると、その正確な公式 Web サイトのアドレスをすぐにリストできますか?すぐに「質問に答えて」テストします。

ほとんどの人は A と B を選択するでしょう。日常の習慣によれば、多くの人はブランド名 + .com または io が「ブランド力」のある公式 Web サイトであると考えるでしょう。しかし実際には、多くのチームは小規模な起業家としてスタートしました。当時登録された公式ドメイン名は非常に「スクランブル」で、実際の正解は C でした。

同じ理由で、これらのウォレットの公式チームも、立ち上げ当初は商標登録のことなど考えていなかったかもしれません... その後、ブランド商標は他の人によって登録され、他の人はその商標を使用して一部の検索エンジンでブランド保護サービスを購入することができました。 「ブランド公式」の認定ラベルや購入促進サービスが常に 1 位に表示されるのは、非常に紛らわしいことですが、これはここ 2 年間のことでした。これまでのところ、一部の主流検索エンジンで「xxx ウォレット 公式 Web サイト」を検索すると、最初の数ページの結果は偽物である可能性が高くなります。

公式サイトよりも公式なこれらの「公式サイト」は、ハッカーにとって低コストで成功率の高い手法の一つでもあるため、実際に多くの人を「罠」に掛けてきました。 2. 公式 Web サイトのアドレスを知っている場合はどうすればよいですか?多くの人は、正しい公式ドメイン名を入力していることを確認すれば、ダウンロードするアプリは安全であるはずだと考えています。しかし、それでも物事は起こります。最近の Bitkeep ウォレットのセキュリティインシデントで、BitKeep はチームによる予備調査の結果、一部の APK パッケージのダウンロードがハッカーによってハイジャックされ、ハッカーによって埋め込まれたコードが含まれたパッケージがインストールされた疑いがあると発表しました。簡単に言うと、一部のユーザーがダウンロードしたAPKパッケージが、その過程でハッカーによって「ハイジャック」され、ハッカーによって特別に加工された「ウォレット」にダウンロード・インストールされたものを、非公式の「偽ウォレット」として含めてみましょう。当分の間。

発表で言及されている主な理由は「ハイジャック」です。多くの「ハイジャック」方法とリンクがあるため、どのリンクが問題を引き起こしたかはまだ明らかではありませんが、ハッカーが通常どのようにしてユーザーを「公式Webサイト」に明確に入力させるかについては話せます。 " ドメイン名ですが、偽のウォレットにダウンロードされます。最初の方法は、ローカルの Localhost ファイルを使用して、PC デバイスを手動でスクリプト化し、脆弱性を利用してマルウェアやウイルスをインストールすることです。ローカル ホストの Localhost ファイルを変更することで、この方法は次のことが可能です。指定されたドメイン名を直接変更する 非公式サーバー (ハッカーが用意した「公式」ページなど) の IP をポイントする、つまり、ブラウザを開いて正確なドメイン名を入力した後、提供される Web サイトにアクセスします。ハッカーに感染し、偽のアプリをダウンロードします。 2 番目の方法は、ローカル ブラウザーまたはアプリによって開かれたページを直接操作することです。特定のプラットフォームの Web サイトまたはウォレット ページを開いたときに、ブラウザー プラグインを介して特定の Web ページに表示されるコンテンツを直接変更できます。 APP ダウンロード ボタンを APP ダウンロード リンクに移動し、アドレスをハッカーが用意したアドレスに置き換え、資産の入出金アドレスをハッカーのアドレスに置き換え、クリップボード内のウォレット アドレスまたは秘密キーを読み取って変更します。ブラウザ プラグインに Web ページを変更する権限があるかどうかについては、ほとんどのブラウザ プラグインにそのような権限があるため、心配する必要はありません。よく観察すると、よく使用される Little Fox にもそのような権限があることがわかります。ウォレットにもそのような許可が与えられています…つい最近、トップの CEX をダウンロードした人々が、私たちがよく使用している偽のアプリでも入出金アドレスが置き換えられ、その結果資産が失われるという事件がありました。 3 番目のタイプであるリモート DNS ハイジャック、ドメイン名解決レコードの改ざん、および APP メーカーのサーバー ハッキングは、リモートのインターネット サービス プロバイダーに属する問題です。これらはめったに発生せず、コストと難易度も非常に高くなりますが、実際に発生します。また、同様の「ポイズニング」手法を使用して、アクセスしたドメイン名をハッカーのアドレスに解決できます。また、サービスプロバイダー自身のドメイン名サービスプロバイダーのアカウントが盗まれ、ドメイン名解決が変更されるなどした場合、公式Webサイトのアドレスを入力してもハッカーWebサイトにアクセスしてしまう可能性があります。さらに、APP メーカー自体がハッキングされた場合、彼らは何も言うことができなくなります。これらは私たちが制御できない状況です。

02 ヴァナキュラーブロックチェーンのセキュリティに関するヒント

ハッカーが公式ウェブサイトを乗っ取ることさえできることを知った後、それを防ぐことは不可能だと嘆かざるを得ません。それではどうすればよいでしょうか?実際、これらのセキュリティ問題は暗号化分野にだけ存在するわけではなく、銀行やサードパーティの決済アプリも含めて、あらゆる APP にセキュリティ問題が存在するため、それらをもとにまとめました。参考として、対応するセキュリティに関するヒントをいくつか示します。 1. HTTPS アンチハイジャックを使用して正しい正式なドメイン名を入力する場合は、ドメイン名の先頭に https:// を追加するのが非常に便利です。 URL にローカル ハイジャックまたはリモート DNS ハイジャックのリスクがある場合、通常、ブラウザのアドレス バーの上に「安全でない」という赤い警告が表示され、ページのセキュリティ リスクなどのさまざまな警告が表示されます。簡単に言えば、これについては詳しく説明しません。これは、非対称暗号化の広く普及しているアプリケーションの 1 つでもあります。 用途 ハイジャックを防ぐために、暗号化された署名の非対称検証を使用して、公式 Web ページにアクセスしていることを確認します。

ここで余談ですが、実際、多くのプロジェクト側の Web サイト、さらには DeFi Web サイトでさえ、Web サイトの展開に HTTPS を使用していないか、使用することを強制されています。これは、チームの思いやりのある態度やプロ意識を感じるのは困難です。 2. APK ファイルのハッシュを確認します。いくつかの特別な理由により、国内の Android スマートフォン ユーザーは Google Play から直接 APP をダウンロードできず、APK インストール パッケージをダウンロードすることしかできません。ほとんどの偽 APP セキュリティ インシデントは、APK が置き換えられるか、偽の APK がダウンロードされるときに発生します。 . という質問がある場合は、APK が正式に提供されていることを確認する必要があります。

まず、HTTPS を使用して公式 Web サイトを開き、ダウンロード ページに入ります。注意深い学生は、通常、一部のダウンロード ページに「アプリケーションのセキュリティを確認する」または SHA256 という言葉が含まれるリンクがあることに気づくでしょう。80% の人はこの文書を読まないと推定されています。セキュリティ プロンプトが表示され、90% の人は内容を表示して検証するための検証リンクをクリックしていません...セキュリティ検証リンクまたは SHA256 リンクをクリックすると、公式に発表された APK インストール パッケージ ファイルに対応するハッシュ値が表示されます。 (ファイルに変更があった場合、ハッシュ値は完全に変更されます) APK ファイルをダウンロードした後、そのハッシュ値が公式のものと一致しているかどうかを計算します。これは、ファイルが置き換えられていないことを意味します。 APK をダウンロードした後、重要なステップが始まります。Google が所有するvirustotal.com ウイルス チェック Web サイトを開き、ダウンロードした APK ファイルをアップロードして、比較のためにこのファイルのハッシュ値を取得し、数十のウイルス データベースを検索します。ファイルに悪意のあるコードが含まれているかどうかなど、一石二鳥のアーティファクトと言えます。

最後に、より厳密にしたい場合は、公式 Web サイトのダウンロード ページを開くときに、ハッシュ値とダウンロード リンクがローカルのウイルスやプラグインによって改ざんされる可能性があるかどうかを再確認する必要があります。携帯電話などの異なる環境のブラウザを通じてハッシュ値は一貫しています。

ダウンロードしようとしているウォレットの公式WebサイトのダウンロードページがHTTPSに対応していない場合、まず疑う必要があるのは、それが本物の公式Webサイトであるかどうかです。また、APKファイルのハッシュ値検証が提供されていない場合は、このウォレットチームの態度は非常に不適切で無責任であるため、このアプリを使用するかどうかを慎重に検討してください。 3.現在インストールされているプラ​​ットフォームとウォレットアプリが安全かどうかを確認するにはどうすればよいですか?実際、最善の方法は、Android Google Play および IOS AppStore にアクセスし、公式 Web サイトのダウンロード ページからダウンロードしてインストールすることです。理論上、Google および Apple App Store のセキュリティ係数は公式のセキュリティ係数よりもはるかに高いためです。ウォレットのプラットフォームは世界トップレベルのセキュリティ ソフトウェア、ハードウェア、人材の埋蔵量を備えており、ウォレットやプラットフォームはそれらと同じレベルにありません。

そのため、ウォレットやプラットフォーム公式サイトのダウンロードページからGoogle PlayやAppStoreのページを開き、開発者の会社名、ダウンロード量、レビュー量（主流のウォレットは量が多い）を再確認し、問題がなければ検討してよいと思います。ダウンロードしたアプリは現時点では安全です。

アプリケーションのインストールに現在使用している apk パッケージが安全かどうかわからない場合は、前の 2 つのセキュリティに関するヒントに従って公式を確認し、ハッシュを検証してから携帯電話にダウンロードしてインストールを上書きできます。上書きプロセスでエラーが発生してデータが失われ、ウォレットが復元できなくなることを防ぐため、最初にヘルパーをバックアップすることを忘れないでください (ただし、通常、アプリケーションを上書きしたり更新したりしてもデータは失われません)。 4. ウォレットのセキュリティに関するその他の提案 コールド ウォレットやハードウェア ウォレットを使用しない場合、最も安全な方法は、iPhone デバイスにインストールすることです。まず、必要なのは海外 ID のみです。第二に、iPhone はロックされており、キーがなければロックを解除できません。

海外の主流アプリ（メタマスクなど）の多くは、セキュリティ上の問題が多すぎるため、APK のダウンロードとインストールだけをサポートしていません。しかし、多くのメーカーは新規顧客を獲得せざるを得ず、Android ユーザーが多すぎて APK のダウンロードを開くことができません。 Android が APK を開くには、Google Service Framework (Google Play を含む) や Google Password Verifier などの必要なソフトウェアが必要です。この段階では、いくつかの理由により、サードパーティのソリューションをインストールするのは非常に困難です。人々が探しているのは非公式の情報源であり、安全ではなく、厳密性も不十分です。

もちろん、Android スマートフォンを使用する必要があります。また、Samsung など、Google Family Bucket フレームワークをネイティブにサポートしているメーカーを選択することもできます。また、セキュリティ チップの分離をサポートする安全なフォルダーをサポートするデバイスにウォレットをインストールすることもできます。セキュリティの 2 番目の層。Apple の携帯電話と同様に、紛失した場合に機密データのロックを解除して取得できないという追加のセキュリティ効果があります。

5. プラットフォームAPPに関する提案

ほとんどの CEX プラットフォームは複数の検証を使用しているため、偽の APP の影響は少なくなります (ハッカーにとってはより困難です)。ただし、APP の入金アドレスと出金アドレスが公式 Web サイトで提供されているアドレスと一致しているかどうかを確認することにも注意を払う必要があります。さらに、プラットフォーム内で「ホワイトリスト」機能を有効にするには、安全なホワイトリスト アドレスにのみアセットを指定する必要があります。

さらに、前述の 2 つのローカル ハイジャックと入出金アドレスの変更を除けば、プラットフォーム CEX が直面する最大のリスクはフィッシングです。これは、ほとんどの人の APP、SMS、Google 認証システムが実際には同じデバイスにインストールされているためです。その結果、ハッカーがデバイスを制御または監視している限り、これら 3 つの情報を制御し、プラットフォーム資産を制御できる可能性が高くなります。

したがって、セキュリティ上の理由から、1 台のデバイスで複数の認証を同時に実行することはお勧めできません。Google Authenticator を別の安全な携帯電話にインストールすることも、インストールせずに PC または PC Web ページでプラットフォーム アカウントを操作することもできます。これにより、携帯電話上のアプリの「爆発」を 1 回で防ぐことができ、資産の安全性が最大限に保護されます。

03 まとめ

Vernacular Blockchain は、セキュリティの問題は毎日、いつでも話し合う価値があると考えています。おそらく、これらの詳細に注意を払うのにほんの 1 秒しかかからず、資産のセキュリティを向上させることができます。 99％の可能性があります。なぜそうではありませんか？