投資ポジションが大きすぎて不安で眠れない、頻繁にスマートフォンを確認する場合、それは資金配置が明らかにリスク許容度を超えていることを示しています。
執筆者:SafePal
「暗黒の森」、これは(三体)から派生した宇宙社会学の法則であり、現在のWeb3セキュリティ競技の最も率直な要約でもあります。オンチェーンには十分な想像の余地と革新的な遊び方がある一方で、同時にそれは「暗黒の森」のようでもあり、血腥い残酷なゼロサムゲームに満ちています。そして一般の投資家は、より多く「狩られる者」として情報の非対称性の役割を担っています。
11月16日、複数のコミュニティユーザーがオンチェーン取引端末DEXXが盗まれたと報告しました。事後の分析では、DEXXのプライベートキー管理に明らかな脆弱性が存在し、さらには平文での伝送と保存が行われていたことが明らかになりました。現在までに不完全に統計された総損失は2000万ドル以上に達しています。
このような背景の中で、一般ユーザーがオンチェーンの自己保護メカニズムをどのように改善するかは、非常に注目されている重要な話題です。SafePalの共同創設者でCEOのVeronicaも、137Labsが主催する𝕏 Spaceイベント「DEXX事件による安全への考察:暗号投資の「落とし穴」を避ける方法」に参加し、BlockSecの創設者Andy、上級トレーダーの会所哥、137Labsの研究者OneOneと共にDEXX安全事件を議論し、暗号投資家に実用的な安全アドバイスを提供しました。
この記事は、今回のTwitter Spaceでの各ゲストの素晴らしいシェアの文字要約です。特に整理し、読者に提供します。
先行 Bot ツールの「耐え難い重さ」
暗号投資において、高いリターンと絶対的な安全性は往々にして両立しません。DEXXやUnibotなどのTrading Botツールは、ワンクリックでのフォローや迅速な資金移動などによりユーザーの支持を得ていますが、この利便性は中央集権的なアーキテクチャに基づいており、ユーザーに資金の承認やウォレットアクセス権を求めるため、資産リスクが著しく増加します。
ただし、ユーザーはこれらの取引ツールの安全要件を過小評価しがちで、大取引所を信頼する習慣があり、より小さなツールプラットフォームのリスクを無視しています。そして今回のDEXX事件は、一部の取引ツールのプライベートキー管理における致命的な脆弱性を明らかにしました。真の「非管理型ウォレット」は、プライベートキーがユーザーのデバイスにのみ保存され、中央集権的なサーバーに依存しないことを保証するべきです。たとえプライベートキーが暗号化されても、メモリレベルの安全保護を欠いた技術支援(TEEやenclaveなど)があれば、盗まれる可能性を避けることはできません。
同時に、今回の攻撃手法は複雑で、ハッカーは資金を分散移転して追跡の難度を増しています。これにより、資金を回収する難度が増すだけでなく、今後の類似事件がさらに複雑で防ぎにくくなることを示唆しています。したがって、2つの可能性が生じます:プラットフォームが技術的な脆弱性で攻撃されるか、内部に盗みを監視しているか、または深く侵入されているかです。もし後者の場合、将来的なリスクはさらに深刻になる可能性があります。
Duneデータによると、現在取引量で上位5つのBotは:Trojan、BonkBot、Maestro、Banana Gun、Sol Trading Botであり、7日間の取引量はすべて1億ドル以上、累計ユーザー数は30万人以上です。このため、ユーザーの多くは「大きな利益を得るか、ゼロになるか」という心構えが、潜在的なリスクを無視させています。
画像出典:Dune
Veronicaも、ほとんどすべてのこの種の「先行」取引ツールは類似の安全リスクに直面している可能性があると述べています。この種のBotが超高速にオンチェーン取引を実現できるのは、手動でのサインを毎回行う必要がなくなるからであり、そのために一部の安全性と非管理型の特性を犠牲にしています:
通常、ハードウェアウォレット、APPウォレット、またはブラウザプラグインウォレットを使用する場合、ユーザーは手動でサイン確認を行うのに数秒かかります。しかし、取引速度を向上させ、ユーザー体験を最適化するために、これらのBotは通常、プライベートキーの一部のセキュリティを最低限にまで妥協し、より迅速な取引を実現しています。
この設計は完全に間違っているわけではなく、これらのプロジェクトが不安全であると言うことも簡単ではありませんが、確かに開発チームの安全防護能力に非常に高い要求を課します。スムーズな体験を実現するために、開発チームが強力な安全攻防能力を確保できない場合、攻撃に遭遇した際の結果は非常に深刻であり、ユーザーやプロジェクト側は大きな損失を被る可能性があります。
その上、現在のほとんどの取引Botの設計は、確かに顕著な安全リスクに直面しています。自動取引を実現するために、通常、各ユーザーのためにプライベートキーを生成して管理します。この方法はユーザーにとって自動連動を便利にするものの、非常に高い安全リスクを伴います。攻撃者がプラットフォームを突破した場合、すべての保存されたユーザーのプライベートキーが漏洩する可能性があり、資産の損失を引き起こします。
画像出典:DEXX「ウォレット管理」ページ
しかし実際には、ユーザーのプライベートキーを使用せずに自動取引を実現する、より安全な取引アーキテクチャがあります:
このアーキテクチャはスマートコントラクトに依存しており、ユーザーアカウントに関連付けられた「PDAアカウント」を作成することで、ユーザーのプライベートキーのサインなしで取引を完了できます。プラットフォームは制限された「操作アカウント」を介して取引指示を実行できますが、この操作アカウントの権限は厳しく制御されており、取引操作のみを行うことができ、ユーザーの資産を自由に移転することはできません。
このようなスマートコントラクト駆動の設計は、セキュリティを大幅に向上させることができます。なぜなら、ユーザーのプライベートキーは常に自分の手元にあり、中央集権的なサーバーに保存されることはないからです。この設計はより複雑で、チームのエンジニアリング能力とセキュリティ技術の要求が高くなりますが、実行可能であり、より安全です。
現在、ユーザーはこの2つの設計モデルの違いをほとんど理解しておらず、利便性を追求するあまり安全性を軽視しています。しかし、安全事件が頻繁に発生する中で、ユーザーや開発チームは、より安全なアーキテクチャにますます注目する可能性があります。このような先進的な設計方案は、将来的に徐々に普及し、DEXX事件のような事例の発生を減少させることが期待されます。
取引の承認からプライベートキーの保護までのWeb3セキュリティチェーン
OneOneは、現在のところ、オンチェーンのセキュリティリスクを取引の承認からプライベートキーの保護までを含む2つの大きなカテゴリに分類できると考えています。
一般的な攻撃方法は「Approve詐欺」です。例を挙げると、「ダスト攻撃」を通じて少量の暗号資産やNFTを送信し、ユーザーにクリックして取引の承認をさせるものです。この操作により、攻撃者はユーザーのウォレット権限を取得し、ユーザーの資産(暗号通貨やNFTを含む)を盗む可能性があります。ユーザーは不明な出所のトークンやエアドロップを注意深く扱い、軽々しく承認しないようにすべきです。
プライベートキーが盗まれる方法は一般的にいくつかの方式に分かれます:
第一のタイプは「マルウェア攻撃」であり、いくつかの攻撃者が新しいプロジェクトのテストをユーザーに偽って招待し、ユーザーを騙してトロイの木馬ウイルスを含む実行ファイルをダウンロードさせるものです。一度感染すると、ユーザーのプライベートキーとアカウントパスワードが簡単に盗まれます;
第二のタイプは「クリップボード」であり、攻撃者はフィッシングサイトを通じてユーザーのクリップボードへのアクセス権を取得します。ユーザーがプライベートキーをコピー&ペーストすると、これらの敏感な情報が攻撃者にキャッチされ、利用されてしまうのです;
さらに、「リモートコントロール攻撃」のケースもあります。たとえば、悪意のあるリモートソフトウェアを通じてユーザーのコンピュータを操作し、ユーザーが休んでいる時に直接プライベートキーを盗むことができるのです。Airdropを利用するユーザーがよく使う「指紋ブラウザ」などは、通常クラウドストレージ機能を含んでいるため、侵害された場合、ユーザーの資産が簡単に盗まれることになります。多くのユーザーはこれらのツールを使用する際に二段階認証(2FA)を設定していないため、更なるリスクを助長しています;
最後に「入力法のリスク」があります。多くのユーザーはスマート入力法を好んで使用しますが、これらの入力法はユーザーの入力データを収集し、クラウドに保存する可能性があり、これもプライベートキーの漏洩の可能性を高めます。ユーザーはできるだけシステムに組み込まれた入力法を使用することをお勧めします。機能は少ないですが、安全性が高いです;
全体として、ユーザーはオンチェーン取引時、特にDeFiアプリや取引ツールを使用する際に、追加の安全予防措置を講じる必要があります。その中で、承認管理は非常に重視すべき問題です。イーサリアムのメカニズムにより、ユーザーはスマートコントラクトに対してトークンの承認を与える必要があります。攻撃者はこの承認メカニズムを利用して悪意のある操作を行うことができるため、ユーザーはウォレットの承認リストを定期的に確認し、不要な承認をタイムリーに取り消すべきです。特に、忘れられた初期の承認を見落とさないようにし、リスクを減少させる必要があります。
また、ユーザーがDeFiプラットフォームを選択する際には、プラットフォームのセキュリティ対策を確認すべきです。これには、十分な監査報告があるか、継続的な自動セキュリティ監視が行われているか、プラットフォームが定期的にアップグレードや脆弱性の修正を行っているかが含まれます。また、Trading Botを使用する際には、ユーザーは必ず資産を分散管理し、大きな資金を取引ロボットが管理するアカウントに置かないようにし、利益を得た後はできるだけ早く資金をより安全なウォレットに移すことをお勧めします。
会所哥は、トレーダーとして、取引ツールとプラットフォームのメカニズムを理解することが重要であると述べています。現在の土狗取引の環境では、多くの人が急騰急落の刺激にのみ注目し、取引ツールの安全リスクを無視しています。ユーザーは、プールが空になることや清算警告などの安全警報を設定し、リスクを常に把握する必要があります。
Veronicaは、利益を効率的に追求し全体の安全性との間には常に妥協があることを強調しました。したがって、最も重要なアドバイスは資金の隔離をしっかり行うことです。もし投資ポジションが大きすぎて不安で眠れない、頻繁にスマートフォンを確認するのであれば、それはあなたの資金配置がリスク許容度を超えている可能性が高いです。
実用的なオンチェーンセキュリティ確認ツールはありますか?
Veronicaは、ユーザーにSafePalなどの非管理型ウォレットに内蔵されている安全ツールを使用することを推奨しています。たとえば、定期的に承認を確認する機能を利用することで、ユーザーは複数のチェーン上のすべての承認記録をスキャンし、不必要な承認をワンクリックで取り消すことで、ハッカーによる利用リスクを減少させることができます。
画像出典:SafePal「Approval Manager」機能
さらに、現在詐欺者は往々にして小額の送金でユーザーの送金アドレスを偽装し、資金を騙し取ることがあります。現在、OKX Web3ウォレット、SafePalなどの主要なウォレットは、「首尾攻撃」に対するリスク取引の遮断サービスを追加しています。また、ハードウェアウォレット+パスフレーズ(Passphrase)は、特に複数の取引口座を持つユーザーにとって非常に実用的な機能です。
パスフレーズは第13の単語として、元の12の助記詞と組み合わせて新しいウォレットアドレスを生成します。誰かがあなたの助記詞を取得しても、パスフレーズがなければ資産にアクセスできません。これは、ユーザーがこの方法を使って複数のウォレットアカウントを作成し、安全性を確保できることを意味します。
この方法は、プライベートキーの安全性を高めるだけでなく、ユーザーが複数のアカウント間で資産を柔軟に管理できるようにし、パスフレーズはユーザーの記憶の中にのみ存在できるため、安全性がさらに向上します。
Andyはまた、多くの場合、ユーザーが安全事件に遭遇する原因は、プロジェクト自体のリスクだけでなく、ユーザー自身の安全習慣の不足にも関連している可能性があると強調しました。ユーザーが暗号資産を多く保有していることに気づいていても、投資取引にリスクがあることを知っていても、不良習慣のために資産を危険にさらすことがよくあります。
ユーザーに対して隔離された安全意識と習慣を保つことをお勧めします。たとえば、大額の資産はコールドウォレットに保存し、直接資金を移転できないように交互に使用します。また、暗号資産を管理するために専用のスマートフォン(iPhoneなど)を使用し、暗号通貨取引やプライベートキー管理のみに使用し、このデバイスに取引とは無関係な他のソフトウェアや活動をインストールしないことで、プライベートキー漏洩のリスクを大幅に低減できます。
結論
DEXX 安全事件は、オンチェーン取引ツール分野の核心的なジレンマを明らかにしました:利便性と安全性の間でどのようにバランスを見つけるか?
効率的な取引とユーザー体験を追求する一方で、プラットフォームのセキュリティ設計は犠牲にしてはいけません。プライベートキーの中央集権的な保管や、メモリレベルの保護が欠如する技術的な短所は、ユーザーの資産を高リスクにさらすことになります。
「高いリターンと絶対的な安全性の間には常に妥協がある」。投資家にとって、取引ツールの背後にあるリスクの論理を理解し、良好な安全習慣を育むことが、オンチェーンの「暗黒の森」を生き抜くための基礎です。この分散型で不確実性に満ちたエコシステムの中で、自己のプライベートキーを掌握することが、自分の資産を真に掌握し、全体のオンチェーンエコシステムをより健康に発展させることができるのです。