旧正月の資産セキュリティハンドブック:親戚や友人を訪問する際にトークンを保護するには?

imToken
imToken
  • 春節期間,資金の流動と注意力の分散により、ブロックチェーンのセキュリティリスクが高まります。ウォレットのセキュリティチェックを行うことが推奨されます。
  • AI深層偽造や音声シミュレーション詐欺に警戒し、オフライン検証メカニズムを確立し、ソーシャルプラットフォームでの不審なリンクをクリックしないようにしましょう。
  • 定期的にウォレットの不要な認可を確認し、取り消し、最小限の権限原則を守り、ホットウォレットとコールドウォレットを分離管理します。
  • 旅行やソーシャルシーンでの秘密鍵管理に注意し、アドレスを完全に確認してフィッシング攻撃を防ぎ、公式チャネルからウォレットをダウンロードしましょう。
要約

著者: imToken

旧正月が近づくと、古い年に別れを告げ、新しい年を迎える時期であり、また、振り返る時期でもあります。

過去1年間、ラグプル・プロジェクトに資金を奪われ、罠にかかったことはありませんか?KOLの誇大宣伝に惑わされて投資し、損失を被ったことはありませんか?あるいは、リンクを誤ってクリックしたり契約書に署名したりしたことで、ますます蔓延するフィッシング攻撃によって損失を被ったことはありませんか?

客観的に見ると、春節はリスクを生み出すものではありませんが、リスクを増幅させる可能性はあります。資金移動の頻度が増加し、休日の手配によって注意が散漫になり、取引のペースが加速すると、小さなミスが損失へと拡大する可能性が高くなります。

したがって、休暇前にポジション調整や資金管理を計画している場合は、ウォレットの「休暇前セキュリティチェック」を実施することをお勧めします。この記事では、いくつかの現実的かつ高頻度のリスクシナリオを取り上げ、一般ユーザーが実行できる具体的な操作を体系的に整理します。

1. 「AI 顔交換」や音声シミュレーションを伴う詐欺に注意してください。

最近インターネットを席巻したSeeDance 2.0は、AGIの普及が加速する時代において、「百聞は一見に如かず」という考え方はもはや通用しないということを、改めて人々に認識させた。

2025年以降、音声複製、ビデオ顔スワッピング、リアルタイム表情模倣、声色シミュレーションなど、AIベースのビデオおよび音声詐欺技術は大幅に成熟し、「敷居が低く、拡張可能で複製可能な産業化段階」に入ったと言えます。

実際、AI を基盤にすれば、人の声、話す速度、間、表情までも正確に再現できるようになり、春節期間中はこのリスクが特に増幅されやすくなるという。

例えば、帰宅途中や親戚や友人との集まりの最中に、スマートフォンにメッセージがポップアップ表示されます。それは、TelegramやWeChatの連絡先に登録されている「友達」からの音声メッセージまたはビデオメッセージです。メッセージの内容は緊急で、アカウントが制限されていること、紅包を送金する必要があること、そして少量のトークンを一時的に前払いする必要があることなど、すぐに送金するよう求められます。

声は完全に自然で、動画には「実在の人物」まで登場しています。休暇の計画で気が散っていたら、どう評価するでしょうか?

以前は、ビデオ認証が本人確認の最も信頼できる方法でしたが、今日では、相手がカメラをオンにして会話しているとしても、100%信頼できるものではなくなりました。

このような状況では、単に動画を視聴したり音声メッセージを聞いたりするだけでは、もはや検証には不十分です。より確実な方法は、オンラインコミュニケーションに依存しない、中心となるサークル(家族、パートナー、長年の協力者)との検証メカニズムを構築することです。これには、互いにのみ知っているオフラインコードや、公開情報から推測できない詳細な質問などが含まれる可能性があります。

さらに、知人から転送されたリンクという共通のパスリスクを再検討する必要があります。春節の恒例行事である「オンチェーン紅包」や「エアドロップ特典」は、Web3コミュニティにおけるバイラル拡散の入り口となりやすいからです。多くの人は、見知らぬ人に騙されるのではなく、転送してきた知人を信頼しているため、巧妙に偽装された認証ページをクリックするのです。

したがって、誰もがシンプルでありながら非常に重要な原則を心に留めておく必要があります。それは、ソーシャル メディア プラットフォームを通じて直接、不明なソースからのリンクをクリックしないこと、そして、たとえ「知り合い」からのものであっても、そのリンクを承認しないことです。

理想的には、すべてのオンチェーン操作は、チャット ウィンドウではなく、公式チャネル、ブックマークされた URL、または信頼できるポータルを通じて実行する必要があります。

次に、財布の「年末大掃除」をしましょう。

最初のタイプのリスクがテクノロジーによって築かれる信頼から生じるのであれば、2 番目のタイプのリスクは私たち自身の長期にわたる蓄積された隠れたリスク露出から生じます。

ご存知の通り、委任はDeFiの世界で最も基本的なメカニズムでありながら、見落とされがちです。DAppsで運用する場合、基本的にはコントラクトにトークンを管理する権利を付与することになります。これは一度限りの付与の場合もあれば、無制限の付与の場合もあります。短期的に有効な場合もあれば、その存在を長い間忘れた後でも有効な場合もあります。

結局のところ、すぐに効果を発揮するリスクではないかもしれませんが、リスクへの継続的な露出です。多くのユーザーは、資産が契約に保管されていない限りセキュリティ上の問題はないと誤解しています。しかし、強気相場のサイクルでは、人々は様々な新しいプロトコルを頻繁に試し、エアドロップ、ステーキング、マイニング、オンチェーンでのやり取りに参加し、承認記録を蓄積していきます。熱狂が収まると、多くのプロトコルは使用されなくなりますが、権限は保持されたままです。

時間の経過とともに、これらの過剰な歴史的ライセンスは、放置された鍵の山のようになります。契約書に抜け穴があったことを忘れていた場合、簡単に損失につながる可能性があります。

春節は、整理整頓と見直しに最適な時期です。休暇前の比較的安定した期間を利用して、承認記録を体系的に確認することは、非常に価値があります。

具体的には、使用されなくなった承認、特に無制限の承認を取り消すことができます。また、全残高へのアクセスを無期限に許可するのではなく、毎日保持される大規模な資産に対して制限付きの承認を使用することもできます。さらに、長期保管資産を日常運用資産とは別に管理し、ホットウォレットとコールドウォレットの階層構造を形成することもできます。

以前は、多くのユーザーはこうしたチェックを行うために外部ツール(revoke.cashなどのウェブサイトなど)を使用する必要がありました。現在では、imTokenのような主流のWeb3ウォレットには、承認の検出と取り消し機能が組み込まれており、ユーザーはウォレット内で直接承認履歴を確認・管理できます。

結局のところ、ウォレットのセキュリティとは、権限を一切付与しないことではなく、最小権限の原則、つまり現時点で必要な権限のみを付与し、不要になったらすぐに取り消すことです。

3 番目に、旅行、社会的な交流、日常業務を怠らないようにしてください。

最初の 2 つのタイプのリスクがそれぞれ技術の向上と許可の蓄積から生じるのであれば、3 番目のタイプのリスクは環境の変化から生じます。

春節期間中の旅行(帰省、旅行、親戚や友人への訪問など)は、デバイスの頻繁な切り替え、複雑なネットワーク環境、そして密集した社交シーンを伴うことが多く、このような環境では、秘密鍵管理や日常業務における脆弱性が著しく増大します。

ニーモニックフレーズの管理は好例です。ニーモニックフレーズのスクリーンショットを携帯電話のアルバムやクラウドストレージに保存したり、インスタントメッセージツールで自分に転送したりするのは、多くの場合利便性を理由としますが、モバイル環境では、この利便性自体が最大の隠れた危険性となります。

したがって、ニーモニックフレーズは物理的に隔離され、いかなる方法でもオンラインで保存する必要があることを覚えておいてください。秘密鍵のセキュリティの根本は、オフラインであることです。

社会的な交流においても、境界線を意識することは重要です。休日の集まりで、多くの場合意図せずとも、大規模な資産ページを公開したり、特定のポートフォリオ規模について話し合ったりすることは、将来のリスクの種を蒔くことになりかねません。さらに憂慮すべきなのは、「経験の交換」や「指導」を装い、偽のウォレットアプリやプラグインのダウンロードに誘導する行為です。

すべてのウォレットのダウンロードと更新は、ソーシャル チャット ウィンドウを介したリダイレクトではなく、公式チャネルを通じて完了する必要があります。

さらに、送金前に必ず3つの点を確認してください。ネットワーク、アドレス、そして金額です。アドレスの最初と最後の桁が似ているフィッシング攻撃によって、大金持ちが多額の資金を失う事例が多発しており、このようなフィッシング攻撃はここ半年で巧妙化しています。

ハッカーは、シードプールとして、最初と最後の桁が異なるオンチェーンアドレスを大量に生成することがよくあります。あるアドレスが外部との送金を行うと、彼らはすぐにシードプール内で最初と最後の桁が同じアドレスを見つけ出し、関連する送金を行うコントラクトを呼び出します。このようにして、広範囲に網を張り巡らせ、収穫を待ちます。

一部のユーザーは、トランザクション記録からターゲットアドレスを直接コピーし、最初と最後の数桁のみをチェックして攻撃の被害に遭うことがあるため、最初と最後の数桁を狙ったフィッシング攻撃について、SlowMistの創設者であるYu Xian氏は、「ハッカーは、餌に食いつく意思のある人を求めて、広範囲に網を投げるゲームをしている。これは確率のゲームだ」と述べている。

ガスコストが非常に低いため、攻撃者は数百、あるいは数千ものアドレスを一括でポイズニングし、数人のユーザーがコピー&ペーストする際にミスを犯すのを待つことができます。一度の攻撃が成功すれば、コストをはるかに上回る利益が得られます。

これらの問題は、テクノロジーの複雑さから生じるのではなく、人々の日常的な操作習慣から生じます。

  • 先頭と末尾だけでなく、アドレスの文字全体を確認します。
  • 確認せずに履歴から転送アドレスを直接コピーしないでください。
  • 新しいアドレスに初めて送金する場合は、まず少額でテストしてください。
  • アドレスホワイトリスト機能を使用して、頻繁に使用するアドレスを固定的に管理し、優先的に使用します。

EOA アカウントが支配する現在の分散型システムでは、ユーザーが常に主要な責任者であり、自分自身に対する最後の防衛線となります (さらに読む: 「 33 億 5000 万ドルの「アカウント税」: EOA がシステムコストになったとき、AA は Web3 に何をもたらすことができるのか? 」)。

結論は

多くの人は、オンチェーンの世界は一般ユーザーにとって危険すぎてユーザーフレンドリーではないと感じています。

正直に言うと、Web3 はリスクゼロの世界を提供することは難しいですが、リスクを管理できる環境になることはできます。

例えば、春節は仕事のペースが緩やかで、リスク管理体制を整備する絶好の機会です。休暇中に慌てて行動するのではなく、事前にセキュリティチェックを完了しておくことが重要です。また、後から修正しようとするのではなく、事前に権限や習慣を最適化しておくことが重要です。

皆様の旧正月が安全で実り豊かなものとなりますようお祈り申し上げます。また、皆様のオンチェーン資産が新年も安定し、安心してお過ごしいただけますようお祈り申し上げます。

共有先:

著者:imToken

本記事はPANews入駐コラムニストの見解であり、PANewsの立場を代表するものではなく、法的責任を負いません。

記事及び見解は投資助言を構成しません

画像出典:imToken。権利侵害がある場合は著者へ削除をご連絡ください。

PANews公式アカウントをフォローして、強気・弱気相場を一緒に乗り越えましょう
Telegram交流グループ
Telegram情報チャンネル
@PANews
おすすめ記事
PA一线

PA一线

Google が警告: ​​北朝鮮のハッカーが AI 技術と偽の Zoom 会議を利用して暗号通貨業界に悪意のある攻撃を仕掛けている。
ExVul Security

ExVul Security

ExVul 联合 Pharos 设立 125 万美元安全审计 Grant,支持孵化器早期创业团队
博闻札记

博闻札记計1名の著者

IOSG: イーサリアムの価格再設定、ロールアップ中心から「セキュリティ決済レイヤー」へ
PA一线

PA一线

レポート: 1 月の Web3 セキュリティ インシデントにより、約 4 億 1,400 万ドルの経済的損失が発生しました。
PA一线

PA一线

イーサリアム財団は、エコシステムのセキュリティ状況をリアルタイムで監視するための「1兆ドル規模のセキュリティダッシュボード」を立ち上げました。
Jae

Jae

EF はスリム化して温かくなり、L2 は再配置され、Vitalik の Ethereum「再生スクリプト」が実行されます。

人気記事

業界ニュース
市場ホットスポット
厳選読み物
購読をクリック