毎日チェーン上でやり取りするウォレットは安全ですか?財布の盗難を防ぐために知っておくべきこと！

ネットワーク セキュリティに関しては、助けを求めないでください。 MetaMask ウォレットに署名する前に注意してください。
MetaMask は非常に有名で最も広く使用されている EVM (Ethereum Virtual Machine) 暗号化デジタル ウォレットであり、暗号デジタル分野に詳しい人なら誰でも一度は MetaMask ウォレットを使用したことがあると思います。しかし、暗号化されたデジタル分野に参入する人が増えるにつれ、デジタル詐欺事件が徐々に増加しており、ブロックチェーンの動作モードに不慣れなためにデジタル資産が盗まれる事件がますます一般的になってきています。
かつて友人がそのような状況に陥りました。彼は明らかに取引を行っていないのに、ウォレット内のデジタル資産が理由もなく転送されていたことに気付きました。ニーモニックフレーズが他人に漏洩していないと確信していましたが、ウォレットを使用していたそうです。異なるアカウントに何度もログインする、Web サイトにログインする、異なる dApp インタラクションに参加するなど、したがって、問題は署名にある可能性が非常に高くなります。
今回は、MetaMask を例として、ブロックチェーン上の 3 つの署名の問題について説明します。
いわゆる署名は、実際には ID 認証プロセスです。お金を引き出すために銀行に行くときと同じように、銀行は操作指示を受け取るだけでなく、あなたが本当の口座所有者であることを確認するために本人認証も行う必要があります。銀行本人認証はパスワード、署名、印鑑などにより行うことができます。
ブロックチェーン署名
ブロックチェーン上のトランザクションについても同様で、トランザクションを実行するときは、ブロックチェーンに「何をするか」を指示するだけでなく、対応する処理を実行する前に、本人認証を実行して、自分が本当のアカウント所有者であることを確認する必要があります。手術。この本人認証を「署名」と呼びます。
署名の具体的な方法は、ブロックチェーンウォレット（MetaMaskなど）に保存された秘密鍵（Private Key）を使用して、暗号化アルゴリズムを通じて発行した指示にデジタル署名することです。この署名は、あなたのアドレスの公開鍵（Public Key）を使用して行うことができます。 ) を比較して、それが実際に発行された対応する命令であることを確認し、認証プロセスが完了します。また、「署名」という行為には巻き上げが必要ありません。インターネットに接続していなくても実行できます。
したがって、有効な取引署名があり、対応する取引指示 (送金など) と一致している限り、取引を正常に完了できます。
この時点で、賢い読者なら謎が分かると思いますが、トランザクションの署名はプロセス全体の中で最優先事項です。言い換えれば、詐欺師は取引を偽造し、取引の署名をだまし取ることができ、その後、詐欺師はこの署名を使用して偽造した取引を実行し、不可解な状況で資産を失う可能性があります。トランザクション署名の漏洩は、多くのデジタル資産の盗難の犯人の 1 つです。
個人のサイン
一般的な Web3 ログイン署名
個人署名は、UTF-8 でエンコードされたテキストに署名するために使用できます。この方法を使用すると、MetaMask は署名されたコンテンツを明確に表示します。この方法は、Web サイトのログインによく使用されます。
上で説明した OpenSea ログインでは、個人署名方式が使用されます。
Eth_Sign
ユーザーは署名する際にさらに注意を払う必要がある
ethsign は、MetaMask がごく初期に提供した署名メソッドで、署名には 32 バイトのハッシュ番号 (Hash) を渡す必要があり、ハッシュ番号はどのコンテンツからも取得できるため、この意味のないハッシュ番号だけでは署名が行われてしまいます。作成者は、自分がどのようなコンテンツに署名しているのかまったく知りません。このコンテンツは、トランザクション、承認、Web サイトへのログイン要求、またはその他のものである可能性があります。したがって、非常に高いリスクがあります。現在、MetaMask はそのような署名に署名し始めています。リクエスト赤い警告がポップアップ表示され、詐欺に遭わないようにユーザーに警告します。
ダン、ベルを鳴らしてください。 Ethsign は非常に危険な署名方法であり、多くの詐欺で使用されている署名方法でもあります。上で説明した OpenSea ログインでは、個人署名方式が使用されます。
EIP712 サイン
より高度で安全なトランザクション署名方法
EIP712 Sign は、より安全な署名標準であり、署名データの構造を規定し、ドメインや検証契約アドレスなどのデータの範囲制限も追加します。
ERC712 署名は、メタトランザクションなどの契約の実行でよく使用され、たとえば、OpenSea NFT の上場、値下げなどのプロセス中に EIP712 署名リクエストが表示されます。
この標準の利点は、署名者が自分が署名している内容を明確に確認できるため、フィッシングのリスクが大幅に軽減されることです。ただし、この種の署名が絶対に安全であるというわけではありません。
結論
要約すると、署名がチェーン上にない場合はリスクがないと考えることはできません。それどころか、ブロックチェーンの署名、特に ethsign を使用してポップアップされる署名は実際には全能であると考えられるため、開発チームと個人の両方が特に注意する必要があります。
メタマスク対話自体のセキュリティに加えて、その他のセキュリティに関する推奨事項は次のとおりです。
1. 秘密キーとニーモニック フレーズはいかなる状況でも他人に渡すことはできず、クリップボードを使用してコピーしたり、写真やスクリーンショットを撮ったり、ネットワーク ディスクに保存したりすることはできません。秘密キーまたはニーモニックフレーズがウォレット内のすべてであることを忘れないでください
2. ホットウォレットとコールドウォレットを分離する. すべての取引はホットウォレットで行う必要があります. コールドウォレットは送金操作のみを実行します. コールドウォレットでNFTを販売したい場合は、送金するために少しガスを費やした方がよいでしょう.まずはホットウォレットへ。
3. ミントに行くとき、またはいくつかの dApps を試すときは、小さなウォレットを使用するのが最善です
4. 大量の資産は取引所またはハードウェア ウォレットに保存するのが最善ですハードウェア ウォレットのニーモニック フレーズは手書きでのみ作成でき、インターネット上に保存することはできません。
誰もが暗号通貨の世界で幸せになり、自分のウォレットを守ることを願っています。ウォレットは、Web3 の世界で生き残る鍵です。キーを紛失したり盗まれたりした場合、ウォレットはもはやあなたのものではありません。このようなことが起こった場合は、すぐに削除してください。ウォレットの内容。アセット、ウォレットは非推奨です。