主なポイント
メッセージに署名することは、ブロックチェーン上での取引の重要な側面ですが、注意を払わなければ、ユーザーをかなりのセキュリティリスクにさらす可能性があります。
ユーザーが任意のメッセージに署名できる「eth_sign」関数は、特に悪用されやすく、攻撃者が被害者の資産に完全にアクセスできる可能性があります。
自分を守るために、常に信頼できるプラットフォームを使用し、不明なメッセージに署名することを避け、一般的な詐欺について常に情報を得ておいてください。
Web3空間を探求している人々にとって、メッセージ署名は取引の承認、身分の確認、および分散型アプリケーション(DApps)とのやり取りに不可欠です。たとえば、エアドロッププラットフォームは、ユーザーが特定のウォレットアドレスの所有権を証明するためにメッセージに署名することを要求する場合があります。このプロセスは多くの重要なブロックチェーン機能を可能にしますが、同時に重大なセキュリティリスクももたらします。
この記事では、ブロックチェーン上およびオフでのメッセージ署名に関連する潜在的な危険を探求し、悪意のあるメッセージに署名することでユーザーが経済的損失を被る可能性のある一般的なシナリオを強調します。
メッセージおよび取引署名:違いを理解する
分散型空間では、署名は取引を承認し、DAppsとのやり取りを行うために不可欠です。これには、オンチェーン(取引)およびオフチェーン(メッセージ)署名の2つの主要なタイプがあります。
オンチェーン署名(取引に署名)
オンチェーン署名は、資金の移転やスマートコントラクトの実行など、ブロックチェーンの状態を変更するアクションを承認するために使用されます。方法は次のとおりです:
メッセージ生成:誰かがブロックチェーン上で取引を開始すると、ネットワークはその取引に関連するメッセージを生成します。これには、送信者および受信者のアドレス、転送される金額、その他の関連情報が含まれます。
メッセージに署名する:取引を開始するユーザーは、自分のプライベートキーでこのメッセージに「署名」します。このプロセスでは、メッセージとユーザーのプライベートキーに暗号アルゴリズムを適用し、デジタル署名が生成されます。
署名されたメッセージを送信する:署名されたメッセージは、元のメッセージとともにネットワークに送信されます。
検証:ネットワークは、取引を行うユーザーの公開鍵を使用して署名を検証します。公開鍵はプライベートキーから導出されますが、安全に共有できます。署名がメッセージと公開鍵と一致する場合、アカウント保有者が取引を承認したことが確認されます。
取引処理:署名が有効であれば、ネットワークは取引を処理します。それ以外の場合は、取引が拒否されます。
暗号ウォレットを使用する場合、通常、取引の署名プロセスはバックグラウンドで自動的に行われます。ほとんどの現代的な暗号ウォレットは、ユーザーにとって使いやすいインターフェースを提供しており、技術的な詳細を抽象化しているため、ユーザーはそのプロセスを直接見ることはありません。
オフチェーン署名(メッセージに署名)
オフチェーン署名は、ブロックチェーンの状態に影響を与えないアクション、たとえばユーザーの身分を確認する、DAppにログインする、または資金の転送を事前承認するために使用されます。方法は次のとおりです:
チャレンジ生成:アプリケーションは、ユーザーが該当アドレスを所有していることを証明することによって認証するよう求めるユニークなメッセージを生成します。このメッセージには、ログイン試行に関連する特定の詳細、たとえばタイムスタンプまたはランダムな数が含まれる場合があります。
署名の作成:ユーザーはプライベートキーを使用してメッセージに署名し、デジタル署名を作成します。この署名は、ウォレットに関連付けられたプライベートキーを所有していることの証明として機能します。
署名の検証:受取人は、ユーザーの公開鍵を使用して署名を検証します。署名が有効であれば、ユーザーの身分が確認され、アクセスが許可されます。
Web3ユーザーがさまざまな目的でやり取りするオフチェーン署名であり、このタイプの署名は犯罪者によって悪用される可能性があります。
リスク:意図しない承認
メッセージに署名するためのいくつかの方法があり、eth_sign、personal_sign、eth_signTypedDataがあります。これらの関数は異なるセキュリティレベルを持ち、使用するウォレットによっては、サポートされている方法とされていない方法があります。
eth_sign関数は、ユーザーがプライベートキーで任意のメッセージに署名できるようにしますが、これは潜在的なセキュリティリスクをもたらす可能性があります。この方法は、プレフィックスやコンテキストなしの生の、読み取り不可能なメッセージ形式を使用します。
そのため、ユーザーは自分が署名している内容の影響をしばしば理解していません。最も深刻なリスクは、悪意のあるメッセージに署名することで、攻撃者があなたの資産を完全に支配することを許可する可能性があることです。
personal_signメソッドは、より安全でユーザーフレンドリーであるように設計されています。メッセージをハッシュ化し署名する前に、標準の文字列をメッセージにプレフィックスとして付けることで、署名用のメッセージであることが明確になります。このプレフィックスは、署名されたメッセージが異なるコンテキストで再利用される可能性があるリプレイ攻撃のような特定の攻撃から保護するのに役立ちます。
eth_signTypedDataメソッドは、構造化データに署名するために使用され、署名される内容についてのより多くのコンテキストと明確さを提供します。これにより、開発者は署名されるデータの構造を定義できるため、より透明で理解しやすくなります。
eth_signフィッシングとは何ですか?
基本的に、eth_signはユーザーが任意のメッセージに署名できる暗号メカニズムです。この署名は、アカウント所有者がメッセージの内容を承認したことのデジタル証明として機能します。しかし、問題は、これらの署名されたメッセージがスマートコントラクトによってユーザーには明らかでない方法で解釈され、実行される場合に発生します。無害に見える文字列のメッセージが、実際には攻撃者にアカウントの完全な制御を許可する可能性があります。典型的なeth_signフィッシング攻撃のメカニズムを分解してみましょう:
1. セットアップ:攻撃者は、合法的なプラットフォームを模倣した偽のウェブサイトやアプリケーションを作成することがよくあります。これらは分散型取引所、NFTマーケットプレイス、または他のブロックチェーンベースのサービスである可能性があります。
2. 餌:ユーザーは、フィッシングメール、誤解を招く広告、またはソーシャルメディアグループ内の偽のリンクなど、さまざまな手段を通じてこれらの偽のプラットフォームに接続するよう誘導されます。攻撃者はしばしば、ユーザーが限られた時間のオファーを利用するために迅速に署名する必要があると主張し、緊急性を生み出します。
3. フック:攻撃者のサイトは、ユーザーにeth_signを使用してメッセージに署名するよう要求します。しかし、ユーザーが署名するメッセージは、彼らが考えているものとは非常に異なります。それは、詐欺師が望む悪意のある行動を実行する許可を与える可能性があります。
メッセージ署名を悪用するための一般的な戦術には、偽のエアドロップ、正当であるように見えるが資金を盗むことだけを目的とした悪意のあるDApps、偽のNFTミンティングサービス、フィッシングメール、カスタマーサポートの偽装、偽のクロスチェーンブリッジインターフェースの作成が含まれます。これらすべての悪意のあるツールは、ユーザーが正当なメッセージに署名していると信じ込ませることを目的としていますが、実際には犯罪者に彼らのデジタル資金へのアクセスを与えています。
これらの攻撃が特に危険なのは、Web3ユーザーが身分を確認したり、アクションを承認するためにメッセージに署名することに慣れている行動を悪用するからです。多くのユーザーは、その影響を完全に理解せずにそのようなメッセージに署名する傾向があります。
実際の例
偽のNFTエアドロップ
詐欺師はしばしば予期しない報酬の約束で被害者を操ります。この実際の例では、ユーザーは自分のウォレットに予期しないNFTエアドロップを受け取り、送信者はユーザーがかなりの報酬に当選したと主張し、NFTバウチャーをお金に変換するだけで済むと述べました。
賞品を請求するために、ユーザーはメッセージに署名するためにリンクされたウェブサイトに転送されますが、これは読み取り不可能な16進数形式で表示されます。これを確認プロセスの標準的な部分だと考え、ユーザーは署名します。しかし、このメッセージは巧妙に偽装された承認であり、詐欺師にユーザーの資産への制御を与え、ウォレットからの無許可の転送を引き起こします。
その後すぐに、ユーザーは自分の同意なしに大量のトークンがウォレットから転送されていることに気づき、詐欺にあったことを遅すぎて気づきます。
重要なポイント:特に大きな報酬を約束する未請求のオファーやエアドロップには注意してください。さらに行動を起こす前に、情報源の正当性を必ず確認してください。
有名なプロジェクトの偽装
詐欺師は、評価の高いプロジェクトやアカウントを偽装して信頼性の感覚を生み出すことがよくあります。この例では、犯罪者はX上に公式のBaby Doge Coinアカウントを模倣した偽のアカウントを作成しました。偽装者は、信頼性の層を追加するために金の検証バッジを取得していました。
偽のアカウントは、Baby Doge Coinホルダー向けの新しいエアドロップを発表し、ユーザーが新しいトークンを請求できるウェブサイトへのリンクを含めました。この投稿は急速に広まり、その正当性の外観をさらに強化しました。ユーザーは提供されたリンクを訪れ、ウォレットを接続し、身分を確認しエアドロップを請求するためにメッセージに署名しました。
被害者が知らなかったのは、署名されたメッセージがトークンを彼らのウォレットから攻撃者のアドレスに転送することを承認していたことです。ほとんどのユーザーは、自分のBaby Doge Coinトークンがウォレットから消えたときに詐欺であることに気づきました。
重要なポイント:やり取りするソーシャルメディアアカウントの真正性を常に確認し、署名を求めるメッセージには注意を払ってください。少しの違い、たとえばわずかに異なるまたは誤ったユーザー名が、本物と偽物を見分ける重要な手がかりです。この例では、詐欺師のアカウントのXハンドルが微妙に変更され、実際のものに非常に似ているように見え、最後の母音が1つ二重になっていました。
偽の新しいトークンエアドロップ
緊急感を生み出すことは、詐欺師がユーザーを急いで決定させるために使用する別の戦術です。この例では、ユーザーが自分のソーシャルメディアフィードをスクロールしていると、ある正当な暗号通貨プロジェクトから新しいトークン「Sunwaves」のエアドロップを発表する投稿を見ました。この投稿は、エアドロップを請求するための限られた24時間のウィンドウがあると主張しています。
発表に興味を持ったユーザーは、投稿に記載されたウェブサイトを訪れ、ウォレットを接続し、身分を確認しエアドロップを請求するためにメッセージに署名するなど、いくつかの確認手順を完了するよう求められます。
しかし、この署名されたメッセージは、詐欺師にユーザーのウォレットからトークンを転送する許可を与えます。ユーザーは、貴重な資産を含むトークンが自分の同意なしに転送されたことにすぐに気づきます。
重要なポイント:緊急感を生み出すオファーには懐疑的でいてください。詐欺師は、オファーの正当性を評価し確認する時間を取られないように、ユーザーに迅速に行動するよう圧力をかけることがよくあります。
Binance Web3ウォレットがあなたを守る方法
ユーザーがeth_sign詐欺に引っかからないようにするために、この機能はBinance Web3ウォレットで禁止されています。これは、実際には、eth_signが取引のためにトリガーされた場合、ユーザーはこの取引が潜在的に悪意のある署名リクエストのために非常にリスクが高いことを即座に警告されることを意味します。このような取引を完了することはできません。
詐欺から自分を守る
Web3空間でメッセージ署名詐欺を避けるためには、予防策を講じることが不可欠です:
1. 信頼できるプラットフォームを使用する:信頼できるプラットフォームでのみメッセージに署名してください。何らかの理由でプラットフォームが疑わしい場合は、避けるのが最善です。
2. 予期しないエアドロップを信頼しない:特にかなりの報酬を約束する未請求のオファーには注意してください。
3. DAppのURLを確認する:分散型アプリケーションとやり取りする前に、URLが正当であることを常に確認してください。詐欺師は、実際のものに似たURLを作成することがよくあります。
4. セキュアなウォレットを使用する:悪意のあるメッセージに対するセキュリティ対策を提供する信頼できるウォレットを使用してください。たとえば、Binance Web3ウォレットはeth_sign機能を禁止しており、このような攻撃を防いでいます。
5. 情報を得続ける:ブロックチェーン空間での最新の詐欺戦術やセキュリティのベストプラクティスを把握しておいてください。
結論
Web3サービスやアプリケーションの分散型空間を探索することは、素晴らしい冒険となる可能性があります。しかし、この環境には独自のリスクがあり、ユーザーは警戒し、情報を得ておく必要があります。詐欺師はメッセージ署名や偽装などのツールを悪用して無許可の取引を行い、重大な経済的損失をもたらします。これらのリスクを認識し、いくつかの簡単なセキュリティ対策や習慣を採用することで、自分を守ることができます。常に注意を払い、警戒を怠らず、Web3エコシステム内の資産のセキュリティを確保してください。
さらなる情報
あなたの暗号を守る:進行中のグローバルなマルウェア攻撃を理解し、それを防ぐために私たちが行っていること
偽サービス詐欺を避けて報告する方法
Binanceは2024年までにユーザーの潜在的な損失を24億ドル防ぐ
リスク免責事項:暗号通貨は高い市場リスクと価格変動の影響を受けます。あなたは、慣れている製品や関連するリスクを理解している製品にのみ投資するべきです。投資経験、財務状況、投資目標、リスク許容度を慎重に考慮し、投資を行う前に独立した金融アドバイザーに相談することをお勧めします。この資料は金融アドバイスとして解釈されるべきではありません。過去の実績は将来の実績の信頼できる指標ではありません。あなたの投資の価値は上下する可能性があり、あなたが投資した金額を取り戻せない可能性もあります。あなたは自分の投資決定に対して唯一の責任を負います。Binanceは、あなたが被る可能性のある損失に対して責任を負いません。詳細については、利用規約およびリスク警告を参照してください。これは一般的な発表です。ここで言及されている製品やサービスは、あなたの地域で利用できない場合があります。
