偽のウォレットアドレスを特定するにはどうすればよいですか?コールドウォレットが依然としてハッキングの危険にさらされているのはなぜですか?こうした攻撃はどのようにして起こるのでしょうか?ハッカーのターゲットになるのはどのような人たちなのでしょうか?このような問題を回避するにはどうすればよいでしょうか?
近年、Web3ではコインの盗難事件が多発しており、特に話題となった「1155 WBTC盗難事件」は広く世間の注目を集めています。暗号化された資産の保護にも、誰もが注目するようになりました。この事件を受けて、PoPP と OneKey は共同でオンチェーン セキュリティの問題をコミュニティと共有するスペースを開催しました。このスペースには有益な情報が満載であり、予防に対する認識が不足している新規参入者に一般的な科学を提供しました。
ゲスト:
PoPP CTO: ネオ
OneKey Eco ヘッド: Cavin
司会:JY
このスペースでは主に次の問題に焦点を当てます。
1. 偽のウォレットアドレスを特定するにはどうすればよいですか?
2. 仮想通貨を取引所に置く場合とウォレットに置く場合、どちらが安全ですか?
3. コールドウォレットが依然としてハッキングの危険にさらされているのはなぜですか?こうした攻撃はどのようにして起こるのでしょうか?
4. ハッカーのターゲットになるのはどのような人ですか?取引の落とし穴を避けたり、落とし穴に足を踏み入れたりして共有しますか?
5. 現在、PoPP は多くのユーザーを集めていますが、資産セキュリティについてはどのように対応していますか?
1. 偽のウォレットアドレスを特定するにはどうすればよいですか?
偽のウォレットアドレスを特定する方法について、Cavin氏は2つの方法を挙げた。 1 つ目は、偽造を避けるために、送金するときにすべての数字と文字を注意深く校正することです。第二に、OKX や OneKey Classic を含め、現在主流のソフトウェア ウォレットにはすべてこのアドレス ライブラリ機能があり、よく使用するアドレスをこのアドレス ライブラリに入力して、正しいアドレスをすばやく選択できます。送金前に環境が安全であることを確認し、取引記録からアドレスをコピーしないように皆さんに注意してください。
Neo は共有内容に他にもいくつかの追加を加えました。 Neo 氏は、チームの開発者はホット ウォレットを一切信じていないと語り、すべての転送には自分のノード ウォレットのみを使用し、それを制御するためにミニ ラインを使用しました。一般の人は次の 4 つの側面から予防策を講じることができます。
a. まず、ネットワーク、VPN、携帯電話、コンピュータ環境などの安全な環境を確保します。
b. 次に、Apple デバイスやハードウェア ウォレットなどのセキュリティ デバイスを選択します。
Apple のデバイスが比較的安全であることに疑いの余地はありませんが、ハードウェア ウォレットもいくつかあります。 Android に他のソフトウェアをインストールする必要がある場合は、1 つまたは 2 つの主流のウォレットを使用することをお勧めします。ニーモニックを頻繁にインポートする必要がある場合は、ペーストボードの使用を避けてください。あまりにも多くのウォレットをダウンロードしないようにし、アプリ内でのみ更新するように皆さんに注意してください。
c. さらに、良い習慣を身につけ、取引を確認する前に小規模なテスト送金を実行してください。 QRコードを読み取って相手に送金し、送金の前後にお互いに確認することをおすすめします。
d. 最後に、各転送後にブロックチェーン ブラウザをチェックして転送の詳細を確認します。
金額が間違っている、またはターゲットアドレスが間違っていることが判明した場合は、この時点ですぐに是正措置を講じることができます。新しいトランザクションをすぐに開始して、より高いガス料金で以前のトランザクションを洗い流すこともできます。回復することはまだ可能ですが、転送に成功したり、フィッシング ソフトウェアをクリックしたりすると、何もできない可能性があります。
2. 取引所上の暗号通貨とウォレットではどちらの方が安全ですか?
ホストJY:
Neo と Cavin に共有してくれてありがとう。質問したいのですが、取引所とウォレットではどちらが安全ですか?
キャビン:
セキュリティレベルの観点から見ると、ハードウェアウォレットのセキュリティレベルは最も高いです。ハードウェアウォレットはホットウォレットに比べて利用の敷居や操作の難易度が高いですが、利便性ではホットウォレットほどではありません。
Exchange とホット ウォレットは安全性が若干劣りますが、優れた適用性を備えています。資金の一部を Binance や OKX などの信頼できる取引所に預けることをお勧めします。短期的には大きな問題はありませんが、完全に信頼することはできません。
ある程度の資金を信頼できる取引所に預け、あまり多くの資金を預けないようにすることをお勧めします。珍しいプロトコルの場合は、新しいホット ウォレット分離管理を使用できます。
ネオ:
研究開発の技術レベルでは、安全性は常に相対的なものであり、絶対的な安全性はなく、単にコストの問題です。
財布:
財布の中に入れておけば、インターネットに触れない限り比較的安全です。ただし、他の dApp とやり取りしたり、リンクを頻繁に操作したりすると、その過程でセキュリティ インデックスが低下し続けます。
交換:
仮想通貨は取引所のホットウォレットよりも比較的安全であり、取引所には単一障害点がありません。資産を取引、購入、譲渡しても、資産が失われることはありません。そして取引が提供できる利点は、補償金を支払う能力です。取引所でお金を失った場合でも、取引所が補償してくれます。
モデレーターJY: たとえば、私のウォレットには多くのインタラクションと承認が含まれています。NFTの販売を完了したら、以前の承認をキャンセルできますか?
キャビン: はい。契約の承認が取り消されているかどうかを定期的に確認する習慣がないと、リスクは徐々に増大します。
3. コールドウォレットが依然としてハッキングの危険にさらされているのはなぜですか?こうした攻撃はどのようにして起こるのでしょうか?
ホストJY:
理解した。以前、OKX から OKX ウォレットに資金を交換したときに 126 万 USDT を失った友人がいました。スタッフは、2 時間は凍結される可能性があると言ったが、その後、彼のお金は以前はコールド ウォレットに保管されていたと言いました。コールドウォレットが依然としてハッキングの危険にさらされているのはなぜですか?こうした攻撃はどのようにして起こるのでしょうか?
キャビン:
これはコールドウォレットとは何の関係もないと思います。資金移動中に何か問題が発生したのかもしれません。ハードウェア ウォレットは通常、チップ内に秘密キーやニーモニック フレーズを保存することでセキュリティを提供します。ただし、ハードウェア ウォレットを使用する場合はインターネット接続が必要であり、秘密キーはブラウザのキャッシュまたはデータ ファイルに保存されるため、ハッカーの攻撃に対して脆弱になります。
ハードウェア ウォレットはソフトウェア ウォレットと併用する必要があり、署名プロセスはハードウェア ウォレット内で完了し、秘密キーが最初から最後までインターネットに触れることがありません。
実際、このプロセスは、実際にはセキュリティ チップ (セキュア) を備えており、署名後、ソフトウェア ウォレットに転送されます。ウォレット ウォレットを取得した後、トランザクションはチェーンに送信されます。したがって、署名プロセスは、インターネットに接続せずにハードウェア ウォレット上で実行されます。
ハードウェア ウォレットを紛失した場合は、ニーモニック フレーズを新しいハードウェア ウォレットにインポートするだけです。ただし、ハッカーがウォレットのロック解除コードを入手して資産を盗む可能性があるソーシャル エンジニアリング攻撃のリスクがあります。
ハードウェア ウォレットの設計原則では、トランザクション署名プロセス中に 2 番目の確認を追加して、セキュリティを強化します。サプライチェーン攻撃やインサイダー攻撃もリスクとなるため、オープンソースのハードウェアウォレットを購入することをお勧めします。ハードウェアウォレットが改ざんされていないことを前提として、ハードウェアウォレットを紛失しても資産は安全です。
ホストJY:
ハードウェア ウォレットにはオンライン署名が必要ですが、100% 安全というわけではありません。そのような状況を回避するにはどうすればよいでしょうか?他に識別する方法はありますか?
キャビン:
OneKey 製品は EAL 6+ 認証を取得しており、安全性が高いです。ハッカーがハードウェアウォレットから秘密鍵をエクスポートすることは困難であり、ブルートフォースクラッキングは非常に困難です。ソフトウェアウォレットはサイバー攻撃に対して脆弱ですが、ハードウェアウォレットはこのプロセスを隔離します。
ネオ:
セキュリティは相対的なものであり、秘密鍵システムには問題があります。資産管理には注意が必要で、すべての資産を保存するために単一のデバイスに依存しないでください。バックアップを作成し、安全と思われるデバイスを信用しないでください。より良い資産管理を実現するためのソリューションをご提案いたします。
4. ハッカーのターゲットになるのはどのような人ですか?どのような条件が満たされますか?
司会者JY: ハッカーのターゲットになるのはどんな人ですか?何か条件は満たされていますか?
キャビン:
1,155 件の WBTC ケースから、ハッカーは攻撃を実行する前にハッシュ衝突とアドレスのシミュレートを実施し、広範囲にわたるアプローチを採用し、おそらく数万のアドレスをキャストしたと推測されます。ハッカーの常習的な行動は、取引会議の記録を通じて発見できます。ユーザーは、資金の個別管理、さまざまなシナリオでのウォレットの分離、アドレス認証ステータスの定期的な確認、送金と取引の良好な習慣の確立などの保護措置を講じる必要があります。
ネオ:
ハッカーは、認証方法、シミュレートされた転送方法、秘密キーの盗難方法などのフィッシング リンクを配置することにより、無差別に資産を盗む可能性があります。
ハッカーは、チェーン上にさらに多くの資金があることを発見すると、個人を標的にすることもあります。攻撃を開始し、ソーシャル情報を通じていくつかのリンクを送信します。あるいは、あなたから USDT を購入したり、電子メールを送信したり、同僚を模倣したりするなど、さまざまな方法であなたから盗む可能性があります。したがって、誰も信頼せず、見慣れないリンクをクリックしないように注意してください。
プロジェクト側にとって、ハッカーは契約アドレスの脆弱性を探して攻撃する可能性があり、プロジェクト側は監査を実施してユーザー資産を検証する必要があります。さらに、ハッカーはプロジェクト関係者の顧客サービススタッフを攻撃し、友人の追加やメッセージの送信などによりコンピュータに侵入し、イントラネット情報を取得して資産を盗む可能性があります。大量の資産を保有している企業やユーザーの場合、ハッカーは組織的かつ計画的な侵入を行う可能性が高くなります。チームはトレーニングを受け、効果的な予防策を講じる必要があります。
ユーザー A が質問しました
フィッシング攻撃やリンク攻撃を特定して防ぐにはどうすればよいでしょうか?
ネオ:
まず、携帯電話でも PC でも、リンクが有効かどうかわからない場合は、Google Chrome のプライバシー モードまたは匿名モードを使用してリンクを開くことができます。
次に、コンピューターにソフトウェアをインストールする必要がある場合は、CMC のようなコレクションを使用することをお勧めします。プロジェクトの Twitter またはアグリゲーション プラットフォームの Web サイトからプライベート モードでアクセスできます。次に、空のウォレット リンクを使用します。通常の状況では、公式アドレスを肉眼で識別するのに、公式ドメイン名はそれほど複雑ではありません。
キャビン:
補足: いくつかのセキュリティ プラグインをインストールすることもできます。次に、プロジェクトの Web サイトを Google で検索することはお勧めできません。
ユーザー B が質問しました
暗号資産や現物資産を取引所に置くのは安全ですか?
ネオ:
どの取引所も比較的安全ですが、どの取引所に置くかを検討する必要があります。 Binance など、一部の取引所には、少額の資産を失った場合でも補償してくれる機能があります。しかし、契約上の資産は実際に消滅する可能性があります。小規模な取引所が暴走するのは通常のことであり、小規模な取引所はハッカーの攻撃に耐えられなかったり、盗まれたりする可能性があることに注意してください。補償金を支払う能力のある主流の取引所に置くことをお勧めします。
5. 現在、PoPP は多くのユーザーを集めていますが、資産セキュリティについてはどのように対応していますか?
司会者 JY: 現在、PoPP は多くのユーザーを集めていますが、資産セキュリティについてはどのように対応していますか?
ネオ:
当社は資産のセキュリティを最優先に考えており、当社が講じた主な対策の一部を以下に示します。
1 つ目は、アカウント システム全体のセキュリティ管理です。
現在、アカウント システムの管理には MPC 方式を使用していますが、バージョン 2.0、つまり第 2 四半期と第 3 四半期に再度更新する予定です。個人的には、現在の資産管理方法としての EOA アカウントの使用には一定の問題があると考えています。そのため、より安全な方法は、EUA アカウントとスマート コントラクト アカウントを最大限に活用し、秘密鍵を署名目的のみに使用することです。さらに、資産と運用を分離することは理にかなっています。ハードウェア ウォレットとソフトウェア ウォレットの両方で、秘密キーのセキュリティを向上させることができます。スマートコントラクトに資金を預けるほうが安全です。アカウントシステムではMPCソリューションを利用し、秘密鍵を3つに分割することでセキュリティを強化します。 (たとえば、自分の秘密鍵が漏洩したり、プラットフォームの秘密鍵が漏洩したりすると、署名プロセスを完了できなくなります。秘密鍵の一部はセキュリティ機関に渡されるためです。)
スマート コントラクト アカウントは、ソーシャル アカウントとバーチャル アカウントに分かれています。ソーシャル アカウントは ERC-6551 プロトコルを使用してソーシャル アセットを保存し、対話プロセス中にマルチ署名と検証を実行できます。 (取引中に特定の秘密キーが漏洩した場合、総資産を失うことなく秘密キーを変更できます。) もう 1 つは、人気のある ERC-4337 バーチャル アカウントです。現時点では使用シナリオはそれほど多くありませんが、バーチャル アカウントは、アカウント システムを徐々にインテリジェントにする潜在的な開発トレンドです。現在、ソーシャル アカウントのスマート コントラクトをサポートするために主に ERC-6551 を使用しています。
次に、対話プロセスのセキュリティ:
インタラクション層でより多くの資産損失が発生することに気づきました。そのため、PoPP 2.0 バージョンでは、プロジェクト パーティの情報にアクセスできるソーシャル プラグインをリリースします。対話する際、当社のソーシャル プラグインは、ライセンス料金のホワイトリストへの登録が必要なプロジェクトを特定し、早期に警告を発します。さらに、組み込みの DEID とプラグインを使用して、対話プロセス内に隔離層を提供し、ユーザーの資産と社会的アイデンティティを保護します。
最後に、AI 情報ソースがあります。PoPP はセキュリティ プロジェクト パーティやデータ パーティと協力して、ユーザーがセキュリティ情報を入手できるようにホワイトリストとブラックリストの情報を公開します。これら 3 つのレベルを通じて、当社はユーザーの資産と社会体験のセキュリティを確保することに取り組んでいます。ご清聴ありがとうございました。
IOS
Android