Binance ブログは、ブロックチェーン上でのメッセージ署名に関連するセキュリティリスクを強調した新しい記事を公開しました。この記事は、潜在的な危険性と詐欺から身を守る方法についてユーザーに理解してもらうことを目的としています。
メッセージへの署名はブロックチェーン取引の重要な部分であり、これによりユーザーはアクションを承認し、ID を確認し、分散型アプリケーション (DApps) とやり取りすることができます。ただし、慎重に処理しないと、ユーザーを重大なセキュリティ上の脅威にさらす可能性があります。ユーザーが任意のメッセージに署名できるようにする「eth_sign」関数は、特に悪用されやすく、攻撃者が被害者の資産を完全に制御できる可能性があります。このようなリスクから身を守るために、ユーザーは信頼できるプラットフォームを使用し、見慣れないメッセージへの署名を避け、一般的な詐欺について常に情報を入手することをお勧めします。
分散型空間において、署名はトランザクションの承認とDAppとの相互作用の両方に不可欠です。署名には主に二つのタイプがあります:オンチェーン(トランザクション)署名とオフチェーン(メッセージ)署名です。オンチェーン署名は、資金の移転やスマートコントラクトの実行など、ブロックチェーンの状態を変更するアクションを承認するために使用されます。一方、オフチェーン署名は、ユーザーの身元確認やDAppへのログインなど、ブロックチェーンの状態に影響を与えないアクションに使用されます。Web3ユーザーがしばしば相互作用するのはオフチェーン署名であり、これらは犯罪者によって悪用される可能性があります。
この記事は、eth_sign機能がユーザーに任意のメッセージにプライベートキーで署名することを可能にし、潜在的なセキュリティリスクを引き起こすことを説明しています。この方法は、プレフィックスやコンテキストなしの生の読み取れないメッセージ形式を使用しており、ユーザーはしばしば署名している内容の意味を誤解することになります。最も深刻なリスクは、悪意のあるメッセージに署名することで、攻撃者がユーザーの資産を完全に制御できるようになることです。これらのリスクを軽減するために、この記事では、署名している内容についてより多くのコンテキストと明確さを提供するpersonal_signやeth_signTypedDataのようなより安全な方法を使用することを推奨しています。
実生活の例は、詐欺師がメッセージ署名をどのように悪用するかを示しています。例えば、偽のNFTエアドロップや著名なプロジェクトのなりすましは、ユーザーを悪意のあるメッセージに署名させるために使用される一般的な戦術です。これらの詐欺はしばしば緊急性を生み出し、ユーザーにオファーの正当性を確認せずに迅速に行動するよう圧力をかけます。ユーザーは、自身を守るために、無断のオファーに注意し、ソーシャルメディアアカウントの信頼性を確認し、悪意のあるメッセージから保護を提供する安全なウォレットを使用するべきです。
Binance Web3ウォレットは、eth_sign機能を禁止することによってユーザーを保護するための措置を講じています。これにより、ユーザーがそのような詐欺の犠牲になるのを防ぎます。この記事は、Web3エコシステムにおける資産の安全性を確保するために、情報を保持し、セキュリティのベストプラクティスを採用する重要性を強調して締めくくられています。