筆者:SafePal
「暗黒の森」、これは(三体)から派生した宇宙社会学の法則であり、現在のWeb3セキュリティレースの最も生々しい要約でもあります。オンチェーンには十分な想像力と革新の余地がありますが、一方で「暗黒の森」のように、血生臭く残酷なゼロサムゲームが広がっています。普通の投資家は「狩られる者」としての情報の非対称性の役割を果たしています。
11月16日、複数のコミュニティユーザーがオンチェーントランザクション端末DEXXが盗まれたと報告しました。その後の分析で、DEXXのプライベートキー管理に明らかな脆弱性が存在し、平文形式での伝送や保存が行われていたことが明らかになりました。現在までの不完全な統計での総損失は2000万ドル以上に上ります。
この背景の中で、普通のユーザーがどのようにオンチェーンの自己保護メカニズムを強化するかが重要な話題として注目されています。SafePalの共同創設者兼CEOのVeronicaも、137Labsが主催する𝕏 Spaceイベント「DEXX事件が引き起こした安全思考:暗号投資における「落とし穴」を避ける方法」に参加し、BlockSecの創設者Andy、ベテラントレーダーの会所哥、137Labsの研究者OneOneなどと共にDEXXのセキュリティ事件を議論し、暗号投資家に実用的な安全アドバイスを提供しました。
この記事は、今回のTwitter Spaceでのゲストによる素晴らしい共有の要約です。読者のために整理しました。
先行取引ボットツールの「耐え難い重荷」
暗号投資において、高リターンと絶対的な安全を両立することは難しいです。DEXX、Unibotなどのトレーディングボットツールは、一括フォローや迅速な資金移動などでユーザーの支持を得ていますが、この便利さは中央集権的な構造に基づいており、ユーザーに資金の承認やウォレットアクセス権を要求し、資産リスクを大幅に増加させています。
ただし、ユーザーはこれらの取引ツールの安全要件を過小評価しており、大手取引所を信頼することに慣れている一方で、小規模なツールプラットフォームのリスクを無視しています。また、今回のDEXX事件は、取引ツールのプライベートキー管理における致命的な脆弱性を暴露しました。真の「非管理型ウォレット」は、プライベートキーがユーザーのデバイスにのみ保存されていることを保証すべきであり、中央集権的なサーバーに依存すべきではありません。たとえプライベートキーが暗号化されていても、メモリーレベルのセキュリティ防護(TEEやエンクレーブなど)が不足している技術支援は、盗難の可能性を回避することができません。
同時に、今回の攻撃手法は複雑で、ハッカーは資金を分散して移動させ、追跡の難易度を高めています。これにより、資金回収が難しくなるだけでなく、将来の類似事件がより複雑で防ぎにくくなることを示唆しています。そのため、二つの可能性が生まれます:プラットフォームが技術的な脆弱性により攻撃されるか、内部に監視役の盗難や深い浸透が存在するか、後者の場合、将来のリスクはさらに深刻になる可能性があります。
Duneのデータによると、現在取引量が最も多い5つのボットは、Trojan、BonkBot、Maestro、Banana Gun、Sol Trading Botで、7日間の取引量はすべて1億ドル以上、累計ユーザー数は30万人以上です。このため、「暴利を得るか、ゼロになるか」という心態が、多くのユーザーに潜在的なリスクを無視させています。
画像出典:Dune
Veronicaは、このような「先行取引」ツールはほぼすべて、類似のセキュリティリスクに直面する可能性があると考えています。この種のボットが超高速のオンチェーントランザクションを実現し、毎回手動で署名する必要がないのは、一部のセキュリティと非管理特性を犠牲にしているためです:
通常、ハードウェアウォレット、アプリウォレット、またはブラウザプラグインウォレットを使用する場合、ユーザーは手動で数秒の署名確認を行う必要があります。しかし、取引速度を向上させ、ユーザー体験を最適化するために、これらのボットは通常、一部のプライベートキーの安全性を最低限に下げる妥協を行い、より迅速な取引を実現します。
この設計は完全に間違っているものではなく、これらのプロジェクトがすべて安全でないとも言えませんが、しかしこれは確かに開発チームのセキュリティ防護能力に非常に高い要求を課しています。スムーズな体験を実現するために、開発チームが強力なセキュリティ攻防能力を確保できない場合、一度攻撃を受けると、その結果は非常に深刻になるでしょう。ユーザーとプロジェクト側は大きな損失に直面する可能性があります。
さらに、現在のほとんどの取引ボットの設計は、確かに顕著なセキュリティリスクに直面しています。自動化された取引を実現するために、通常、各ユーザーのためにプライベートキーを生成し管理します。この方法はユーザーにとって自動化されたフォローを行うのに便利ですが、非常に高いセキュリティリスクをもたらします。攻撃者がプラットフォームを突破すれば、すべての保存されたユーザープライベートキーが漏洩し、資産が失われる可能性があります。
画像出典:DEXX「ウォレット管理」ページ
しかし実際には、ユーザーのプライベートキーを使用せずに自動化取引を実現できるより安全な取引アーキテクチャが存在します:
このアーキテクチャはスマートコントラクトに依存し、ユーザーアカウントに関連付けられた「PDAアカウント」を作成することで、ユーザーのプライベートキーの署名なしに取引を完了させます。プラットフォームは制限された「操作アカウント」を通じて取引指示を実行できますが、この操作アカウントの権限は厳格に制御されており、取引操作しか行えず、ユーザー資産を自由に移転することはできません。
このスマートコントラクト駆動の設計はセキュリティを大幅に向上させることができ、ユーザーのプライベートキーは常に自分の手の中にあり、中央集権的なサーバーに保存されることがありません。この設計はより複雑で、チームの技術力とセキュリティ技術の要求が高くなるものの、完全に実行可能であり、より安全です。
現在、多くのユーザーはこれら二つの設計モデルの違いを理解していないか、便利さを追求するあまり安全性を無視しています。しかし、安全事件の頻繁な発生に伴い、ユーザーと開発チームはより安全なアーキテクチャにますます重視する可能性が高く、将来的にはこの先進的な設計が徐々に普及し、類似のDEXX事件の発生を減少させることが期待されます。
取引の承認からプライベートキーの保護までのWeb3セキュリティチェーン
OneOneは、現在オンチェーンセキュリティリスクを二大カテゴリに分けることができ、取引承認からプライベートキー保護までのさまざまな側面をカバーしています。
最も一般的な攻撃手法の一つは「承認詐欺」です。例えば、「ダスト攻撃」に似た少量の暗号資産やNFTを送信し、ユーザーを誘導して取引を承認させることがあります。この操作により、攻撃者はユーザーのウォレット権限を取得し、ユーザーの資産(暗号通貨やNFTを含む)を盗む可能性があります。ユーザーは不明な出所のトークンやエアドロップを慎重に扱い、簡単に承認を行わないようにする必要があります。
プライベートキーの盗難は一般的にいくつかの方法に分かれます:
一つ目は「悪意のあるソフトウェア攻撃」で、攻撃者が新しいプロジェクトをテストするようにユーザーを偽装し、トロイの木馬ウイルスを含む実行ファイルをダウンロードさせるように誘導します。一度感染すると、ユーザーのプライベートキーやアカウントパスワードが簡単に盗まれます。
二つ目は「クリップボード」で、攻撃者がフィッシングサイトを通じてユーザーのクリップボードアクセス権を取得します。ユーザーがプライベートキーをコピーして貼り付けると、これらの敏感情報が攻撃者に截取されて利用されます。
また、「リモートコントロール攻撃」のケースもあります。たとえば、悪意のあるリモートソフトウェアを通じてユーザーのコンピュータを操ることや、ユーザーが休んでいる間に直接プライベートキーを盗むことです。例えば、エアドロップを受け取るユーザーがよく使用する「指紋ブラウザ」などは通常、クラウドストレージ機能を含んでいます。もしこれらが突破されれば、ユーザーの資産は容易に盗まれてしまいます。多くのユーザーがこれらのツールを使用する際に二段階認証(2FA)を設定していないため、リスクがさらに高まります。
最後に「入力法の危険性」もあります。多くのユーザーがスマート入力法を使用することを好みますが、これらの入力法はユーザーの入力データを収集し、クラウドに保存する可能性があります。これにより、プライベートキー漏洩のリスクが増加します。ユーザーは、機能が少ないもののセキュリティが高いため、システム標準の入力法を使用することをお勧めします。
全体として、ユーザーがオンチェーントランザクションを行う際、特にDeFiアプリケーションや取引ツールを使用する際には、追加のセキュリティ予防措置を講じる必要があります。その中で承認管理は特に重要な問題です。イーサリアムのメカニズムは、ユーザーがスマートコントラクトにトークンの承認を与えることを要求するため、攻撃者はこの承認メカニズムを利用して悪意のある操作を行うことができます。したがって、ユーザーは頻繁にウォレットの承認リストを確認し、不要な承認をタイムリーに取り消すべきです。特に忘れられた初期の承認は、リスクを低減するために重要です。
また、ユーザーはDeFiプラットフォームを選択する際、プラットフォームのセキュリティ対策を確認すべきです。たとえば、完全な監査報告があるか、継続的な自動化されたセキュリティモニタリングが行われているか、プラットフォームが定期的にアップグレードや脆弱性の修正を行っているかどうかを確認する必要があります。さらに、トレーディングボットを使用する際には、ユーザーは必ず資産を分散管理し、大きな資金を取引ロボットが制御するアカウントに保管しないようにし、利益を得た後はできるだけ早くより安全なウォレットに資金を移動させるべきです。
会所哥は、トレーダーとして取引ツールやプラットフォームのメカニズムを理解することが非常に重要であると述べています。現在の土狗取引環境では、多くの人々が価格の急上昇や急落の刺激にのみ注目し、取引ツールのセキュリティリスクを無視しています。ユーザーは安全警報を設けるべきで、たとえばプールが空になったり清算されたりすると警告を受け取り、リスクを把握することができます。
Veronicaは、効率的に利益を追求することと全体的な安全性の間には常に妥協があるというシンプルで重要な原則を強調しました。したがって、最も重要なアドバイスは資金隔離を行うことです。もしあなたが投資のポジションが大きすぎて不安で眠れず、頻繁に携帯電話をチェックしているなら、それはあなたの資金配置がリスク許容能力を超えていることを示している可能性があります。
実用的なオンチェーンセキュリティチェックツールにはどのようなものがありますか?
VeronicaはユーザーにSafePalなどの非管理型ウォレットに内蔵された安全ツールを利用することを推奨しています。例えば、定期的に承認をチェックする機能です。ユーザーは複数のチェーン上のすべての承認記録をスキャンし、不必要な承認を一括で取り消すことができ、ハッカーによる利用のリスクを減らせます。
画像出典:SafePal「承認管理」機能
また、現在、詐欺師は小額の送金を通じてユーザーの送金アドレスに偽装し、資金を騙し取ることがよくあります。現在、OKX Web3ウォレット、SafePalなどの主流ウォレットは、「首尾攻撃」に対するリスク取引の遮断サービスを追加しています。同時に、ハードウェアウォレットとパスフレーズ(Passphrase)もあまり知られていませんが非常に実用的な機能であり、特に複数の暗号通貨アカウントを持つユーザーに非常に適しています。
パスフレーズは13番目の単語として、元々の12個のニーモニックと組み合わせて新しいウォレットアドレスを生成します。誰かがあなたのニーモニックにアクセスしても、パスフレーズがなければ資産にアクセスできません。これは、ユーザーがこの方法で複数のウォレットアカウントを作成し、安全性を確保できることを意味します。
この方法はプライベートキーのセキュリティを高めるだけでなく、ユーザーが複数のアカウント間で資産を柔軟に管理できるようにし、パスフレーズはユーザーの記憶の中だけに存在することができ、さらに安全保障を高めます。
Andyも強調しましたが、多くの場合、ユーザーがセキュリティ事件に遭遇するのは、プロジェクト自体にリスクがあるだけでなく、ユーザー自身のセキュリティ習慣の不足によるものであり、たとえユーザーが手元に多くの暗号資産を持っていることに気づいていても、または投資取引にリスクがあることを知っていても、不良習慣により資産が危険にさらされることがあります。
ユーザーは分離された安全意識と習慣を維持することをお勧めします。たとえば、大口資産をコールドウォレットに保管し、直接資金を移動せずにインタラクションするためだけに使用し、暗号資産を管理するために専用の携帯電話(iPhoneなど)を使用し、暗号通貨の取引やプライベートキー管理のみに使用し、このデバイスに取引に関係ない他のソフトウェアや活動をインストールしないようにします。これにより、プライベートキー漏洩のリスクを大幅に低下させることができます。
結論
DEXXのセキュリティ事件は、オンチェーントランザクションツール分野の核心的なジレンマを明らかにしました:便利さと安全性の間でどのようにバランスを取るか?
効率的な取引とユーザー体験を追求する中で、プラットフォームのセキュリティ設計が犠牲になってはいけません。プライベートキーの中央集権的な保存や、メモリーレベルの保護が不足している技術的欠陥は、ユーザーの資産を高リスクにさらします。
「高リターンと絶対的な安全の間には常に妥協がある」と言います。投資家にとって、取引ツールの背後にあるリスクロジックを理解し、良好な安全習慣を育むことが、オンチェーンの「暗黒の森」を越える基本です。この分散化され、不確実性に満ちたエコシステムの中で、自分のプライベートキーを掌握することで、初めて自分の資産を真に管理し、オンチェーンエコシステム全体の健全な発展を促進できます。