はじめに: OKX Web3 ウォレットは、さまざまな種類のオンチェーン セキュリティ問題に対する特別な回答を提供するために、「セキュリティ特別問題」コラムを特別に企画しました。ユーザーの身近で起こっている最も現実的な事例を通じて、セキュリティ分野の専門家や機関と連携し、さまざまな視点からの疑問を共有・回答することで、安全な取引ルールを浅いところから深いところまで整理・まとめ、ユーザーの安全性の強化を目指します。教育とユーザーの支援 秘密鍵とウォレット資産のセキュリティを保護する方法を学ぶことから始めます。
チェーン上のセキュリティ攻撃と防御は、終わりのない「かくれんぼ」のようなものです
ユーザーは常に自分の資産を隠し、安全対策を講じる必要があります
「ハッカーに捕まった」場合でも、パニックにならずにすぐに対処できるようになる必要があります。
前回までの号では、実際のユーザー ケースから始めて、リスクの特定とセキュリティ保護を紹介するために多くの紙面を費やし、秘密鍵セキュリティ、MEME トランザクション セキュリティ、オンチェーンの危険なセキュリティ、機器セキュリティ、DeFi インタラクション セキュリティなどを取り上げました。 、など非常に包括的です。
ことわざにあるように、問題を解決するのに遅すぎるということはありません。今号はセキュリティ特集号の第06回目で、最先端のブロックチェーンセキュリティ問題を扱うGoPlusセキュリティチームを特別に招聘し、実践的なガイダンスの観点からオンチェーンのセキュリティ監視や緊急時の応急処置に関する内容を共有します。全員の学習とコミュニケーションのみ。
GoPlus セキュリティ チーム:ご招待いただきありがとうございます。私たちは、許可のない安全なデータとエンドユーザー サービス環境の提供に重点を置き、Web3 ユーザー セキュリティ ネットワークの構築に取り組んでいます。技術アーキテクチャの点では、GoPlus は高度な人工知能モジュールを統合しており、現在 10,000 を超えるパートナーにサービスを提供し、ユーザー セキュリティ データを 1 日あたり 2,100 万回以上呼び出し、20 を超えるパブリック チェーンをサポートしています。
OKX Web3 ウォレット セキュリティ チーム:皆さん、こんにちは。このことを共有できることをとても嬉しく思います。 OKX Web3 セキュリティ チームは、スマート コントラクト セキュリティ監査、ウォレット セキュリティ機能構築、オンチェーン プロジェクト セキュリティ監視など、Web3 分野における OKX のさまざまなセキュリティ機能の構築を主に担当し、ユーザーに複数の側面を提供します。製品セキュリティ、資金セキュリティ、トランザクションセキュリティなどの保護サービスは、ブロックチェーン全体のセキュリティエコロジーの維持に貢献します。
一部のユーザーが実際に成功したオンチェーン セキュリティ保護またはレスキュー ケースを共有する
GoPlus セキュリティ チーム: このようなケースはたくさんありますが、2 つ共有します。
ケース 1: GoPlus コミュニティのユーザーは、EVM アドレスがハッカー ポイズニング技術によって攻撃されたと報告しました。ハッカーはターゲットユーザーのウォレットに少量のトークンを送信し、最初の5文字と最後の3文字が同じアドレスを偽造し、これが一般的に使用される転送アドレスであるとユーザーを騙します。しかし、オンチェーン保護と監視セキュリティ サービスの使用により、20,000 米ドルを超える損失は回避されました。
主な出来事は、ユーザーがイーサリアム転送を行う際、セキュリティ監視とオンチェーン傍受サービスが重要な役割を果たすということです。監視サービスは、ユーザーのウォレットに少量のトークンを送信する不審なポイズニング アドレスを検出し、そのアドレスをブラックリストに登録しました。しかし現時点では、ユーザーはこれに気づいておらず、すでにこの偽のアドレスに資金を送金しようとしていますが、幸いなことに、ユーザーはトランザクションが送信された後、すぐに傍受サービスが介入して成功しました。取引をブロックしました。システムは自動的にアラートを発行し、取引アドレスが一般的に使用されるアドレスと一致せず、危険である可能性があることをユーザーに通知します。
通知を受け取った後、ユーザーは転送トランザクションを一時停止し、関連するチェック ツールを使用して、アドレスが既知のポイズニング アドレスであることを確認しました。システムは、このアドレスが過去数日間に複数の不正行為に関連していることを示しています。ユーザーは、ハッカーが管理するアドレスへの資金の送金を避けるために、時間内に送金をキャンセルしました。その後、ユーザーは同様の事件が再発するのを防ぐために、共通の転送アドレスのリストを整理し、不明なソースからのアドレスをすべて削除しました。
ケース 2: フロントランニングを使用してオンチェーンのフロントランニングを実現し、資産の転送を成功させる
別のユーザーは、自分の EVM 秘密キーが盗まれたことを発見しました。ハッカーはすべての ETH を他のウォレットに転送しており、ユーザーが盗まれたアドレスに ETH を Gas として転送するたびに、Gas が転送されるように監視と自動化手順を設定しました。ハッカーによって直ちに自動的に転送されます。しかし最終的には、フロントランニングサービスをタイムリーに使用することで、残りのNFTと残りのトークン資産がうまく奪われ、すべて安全な新しいアドレスに転送されました。
私たちの支援により、ユーザーは先制技術を使用して救助活動を実行します。フロントランニング サービスを通じて、一連の優先度の高いトランザクションが準備され、ハッカーの監視プログラムが監視して注文する前に、これらのトランザクションがマイナーによって確実にパッケージ化されるように、ガス料金の監視と増加によってトランザクション速度が向上します。ユーザーはまず、アカウント内のNFTと残りのトークン資産を複数の中間アドレスにバッチで迅速に転送し、最終的に残りの資産を救出することに成功しました。 10,000 ドルを超える資産の損失を防ぎました。
これら 2 つのケースから、ツールとセキュリティ サービスを合理的に使用することで、インシデント中またはインシデント発生後にタイムリーに経済的損失を軽減し、リスクに対抗できることがわかります。
OKX Web3 ウォレット セキュリティ チーム:ユーザーがフィッシングや秘密キーの漏洩などのインシデントに遭遇したため、私たちはユーザーが損失を正常に回復できるよう多くの支援を提供してきました。
ケース 1: ユーザー A が誤ってフィッシング Web サイトに秘密キーを入力し、その結果、イーサリアム (ETH) が盗難されました。幸いなことに、USDC などのユーザーの他の ERC 20 トークンはまだ盗まれていません。ユーザー A から助けを求められた後、私たちは綿密なコミュニケーションを行い、彼を支援するためのチームを組織しました。トランザクションのバンドルに Flashbot を使用することで、ガス支払いトランザクションとバリュー トークン転送トランザクションを一緒に送信し、同じブロックで処理し、ユーザーの残りの資産を節約することに成功しました。
ケース 2: ユーザー B がエアドロップ情報を照会する際に、誤ってフィッシング Web サイトにアクセスしました。この Web サイトでは、ユーザーが既知の危険なアドレスを認証する必要がありました。 OKX Web3 Wallet は、アドレスがブラックリストに属していることを特定し、認証リクエストを正常に傍受し、潜在的な資産リスクを防止しました。
ケース 3: 特定のプロトコル C が攻撃され、そのプロトコルに許可されているすべてのアドレスが資産リスクにさらされます。 OKX Web3 ウォレットのセキュリティ チームはこのインシデントに迅速に対応し、プロトコルに含まれる脆弱なコントラクトをリスク アドレスとしてリストし、承認時にユーザーに通知することで、より大きな損失を効果的に回避しました。
上記の事例は、ユーザーがフィッシングやプロトコル攻撃に対処するために緊急対策を更新するだけでなく、セキュリティ ツールを使用し、専門のセキュリティ チームの助けを求める必要があることを示しています。しかし、最も重要なことは、ユーザーが自分自身から始めて、自分の財布と資産を保護する方法を学ぶ必要があるということです。
ユーザーが自分のウォレットのセキュリティ状況をよりよく理解し、ウォレットのセキュリティ状況を管理するにはどうすればよいでしょうか?
GoPlus セキュリティ チーム:ウォレットのセキュリティ ステータスをよりよく理解し、管理するために、ユーザーは次の詳細な手順を実行できます。
1. 認可の定期検査
1. 認可管理ツールを使用する
• 認可管理ツールの利用: いくつかの一般的な認可管理ツールを使用して、ユーザーは認可されたスマート コントラクトを定期的に確認できます。これらのツールは、ユーザーが承認された契約をすべてリストし、使用頻度が低い契約や危険性のある契約にフラグを立てるのに役立ちます。
• 契約のリスク評価: これらのツールを使用して、契約のリスク評価を実施し、契約コードのセキュリティと履歴を表示し、潜在的なリスクを特定します。
2. 不要な権限をキャンセルします。
• 承認の簡単なキャンセル: ユーザーは、承認管理ツールを使用して、不要になった契約承認を簡単にキャンセルできます。これにより、潜在的なセキュリティ リスクが軽減されるだけでなく、悪意のあるコントラクトが許可されたアクセス許可で動作することも防止されます。
• 定期的なメンテナンス: 権限のメンテナンスを定期的に実行して、権限リストを簡潔かつ安全に保ち、必要な契約のみに権限が与えられるようにします。
2. ウォレットの監視
1. 監視ツールを使用する
• リアルタイム監視: Etherscan のアドレス監視サービスや GoPlus のセキュリティ監視ツールなどのいくつかのウォレット監視ツールを使用して、ウォレットのアクティビティをリアルタイムで監視します。このようにして、ユーザーは、承認の変更、異常なトランザクション、アドレスポイズニング、またはその他のセキュリティインシデントが発生したときに、タイムリーなリマインダーを受け取ることができます。
• 詳細なレポート: これらの監視ツールは通常、ウォレットのすべてのアクティビティを記録する詳細なレポートとログを提供し、ユーザーが簡単に確認して分析できるようにします。
2. カスタムアラーム
• アラーム パラメータの設定: 取引金額や頻度などのパラメータに基づいてカスタム アラームを設定します。ユーザーは、大規模なトランザクション アラート、頻繁なトランザクション アラート、承認変更アラートなど、さまざまな種類のアラートを定義できます。
• タイムリーな対応: アラームが作動したら、ユーザーは直ちに確認し、さらなる損失を防ぐために必要な措置を講じる必要があります。これらのアラートは、電子メール、テキスト メッセージ、またはアプリ内通知を介してユーザーに送信できます。
3. その他の安全対策
1. 定期的なバックアップとリカバリ
• 秘密キーとニーモニック フレーズをバックアップする: ウォレットの秘密キーとニーモニック フレーズを定期的にバックアップし、オフライン ストレージ デバイス、暗号化された USB ドライブ、紙のバックアップなどの複数の場所に安全に保管します。権限のない者がバックアップにアクセスしないようにしてください。
• 回復プロセスをテストする: ウォレットの回復プロセスを定期的にテストして、必要なときにウォレットが迅速かつ効率的に復元できることを確認します。これには、秘密キーまたはニーモニックフレーズのインポート、ウォレットの全機能の復元、復元されたウォレットが適切に機能していることの確認が含まれます。
2.ハードウェアウォレットを使用する
• ハードウェア ウォレットのセキュリティ: ハードウェア ウォレットを使用して大量の資産を保存すると、秘密キーがデバイスから離れることがなく、ハッカーによる盗難を防ぐため、より高いセキュリティを提供できます。
• ファームウェアを定期的に更新する: ハードウェア ウォレットのファームウェアが最新に保たれていることを確認し、メーカーは最新のセキュリティの脅威に対処するためにセキュリティ アップデートとパッチを定期的にリリースします。
OKX Web3 ウォレット セキュリティ チーム:一般に、ユーザーは次の側面を使用してウォレットのセキュリティ管理を強化できます。
1. ウォレットセキュリティツールを使用する
多くのウォレットとセキュリティ ツールは、ユーザーが承認を管理し、セキュリティを向上させるのに役立ちます
1) ユーザーが DApp 権限を管理できるようにする、一般的に使用されるブラウザー ウォレット プラグイン。認可された DApp を表示および取り消したり、認可された DApp Web サイトを定期的に確認したり、不要な Web サイトの認可を解除したりできます。
2) ウェブサイトを使用してウォレットの承認を確認し、取り消します。ユーザーはウォレットに接続することで、承認されたすべてのスマート コントラクトを表示し、不要になった権限を取り消すことができます。
2. ウォレットの承認を定期的に確認する
ウォレットの認証ステータスを定期的にチェックして、重複した認証や疑わしい認証がないことを確認してください。
1) Revoke.cash または同様のツールに接続します。
2) 承認されたすべてのスマート コントラクトのリストを表示します。
3) 使用されなくなった DApp または疑わしい認証を取り消します。
4) 最新のセキュリティアップデートとバグ修正を入手するには、ウォレットソフトウェアが常に最新であることを確認してください。
3. 個人の安全意識を向上させる
1) フィッシング攻撃に注意してください。不明なソースからのリンクをクリックしたり、不明なファイルをダウンロードしたりしないでください。
2) 強力なパスワードと 2 要素認証を使用する: ウォレット アカウントに強力なパスワードを設定し、セキュリティを強化するために 2 要素認証 (2FA) を有効にします。
ユーザーがチェーン上のセキュリティ イベントを認識し、タイムリーに資産を保護する方法
GoPlus セキュリティ チーム:ユーザーは、可能な限りリアルタイムで監視し、悪意のあるオンチェーン トランザクションをタイムリーにブロックする方法を学ぶ必要があります。
なぜリアルタイム監視が必要なのでしょうか?オンチェーントランザクションのリアルタイム監視は、ユーザー資産を保護するために重要です。オンチェーン詐欺に関与するハッカーや詐欺集団が増えるにつれ、取引に隠れたリスクを特定することが非常に困難になっています。多くのユーザーは、これらの脅威を完全に理解し、防御するために必要なセキュリティの知識や技術的能力が不足しています。リアルタイムの監視により、ユーザーは不正な取引、多額の送金、頻繁な取引操作などの異常なアクティビティを迅速に特定し、損失を防ぐための措置を迅速に講じることができます。さらに、リアルタイム監視により、フィッシング、ハッキング、スマート コントラクトの脆弱性などの悪意のある操作を検出してブロックし、ユーザーの資産のセキュリティを保護できます。セキュリティインシデントが発生すると、リアルタイム監視によりユーザーに即座に通知が届くため、ユーザーはアカウントの凍結、認証解除、インシデントの報告などの迅速な措置を講じることができるため、損失を最小限に抑えることができます。透明な環境を提供することで、リアルタイム監視によりウォレットとプラットフォームに対するユーザーの信頼も強化され、ユーザーがいつでも取引と承認のステータスを確認できるようになり、ユーザーエクスペリエンスが向上します。
オンチェーントランザクションのリアルタイム監視を実現し、悪意のあるトランザクションをブロックするために、ユーザーは次の措置を講じることができます。
まず、監視および対応システムを導入します。ユーザーは、取引金額や頻度などのパラメータに基づいてカスタム取引アラートを設定し、電子メール、SMS、またはアプリ内通知を介してタイムリーなアラート情報を受け取ることができます。これにより、ユーザーはウォレットのアクティビティを正確に監視できるだけでなく、異常な取引が発見されるとすぐにアラートを発行し、さらなる損失を防ぐために迅速な措置を講じることができます。
ブロックチェーン解析ツールの利用も重要な手段です。パブリックチェーンWebブラウザなどのブロックチェーン分析プラットフォームを使用することで、ユーザーはウォレットの取引履歴とアクティビティを監視し、取引パターンと取引相手の詳細な分析を行うことができます。これらのプラットフォームが提供する詳細なデータと分析機能は、ユーザーが潜在的にリスクのある取引を特定し、タイムリーな措置を講じるのに役立ちます。さらに、ブロックチェーン分析ツールは、ユーザーが資金の流れを追跡し、詐欺の可能性を検出して防止するのにも役立ちます。
さらに、機密性の低いリスク制御保護を使用すると、ユーザーのセキュリティ エクスペリエンスが大幅に向上します。セキュア RPC またはセキュア ウォレット製品は、ユーザーが目に見えないリスク管理保護を実現し、ユーザーのトランザクション動作と環境をバックグラウンドでリアルタイムに分析し、潜在的なセキュリティ脅威を自動的に特定して評価するのに役立ちます。この保護メカニズムは、ユーザーが複雑な操作を実行する必要がなく、自動的に実行されて保護を提供するため、ユーザーの操作の難しさを軽減します。たとえば、一部の高度なセキュリティ RPC サービスは、ユーザーが各トランザクションのセキュリティ リスクを分析し、危険なトランザクションをインテリジェントに阻止するのに役立ちます。ユーザーはウォレットを対応する監視サービスとブロックサービスにバインドするだけで、システムがユーザーの資産セキュリティを自動的に保護します。
これらの対策を組み合わせることで、ユーザーはオンチェーントランザクションの包括的なリアルタイム監視を実現し、悪意のあるトランザクションを効果的にブロックし、資産のセキュリティを確保することができます。非機密リスク制御保護、リアルタイム監視、インテリジェントなブロッキング技術を通じて、ユーザーはより便利で安全な環境でオンチェーントランザクションを実行できます。一般ユーザーであろうとプロの投資家であろうと、これらのテクノロジーは強力なセキュリティ保証を提供し、より安心してブロックチェーンエコシステムに参加できるようにします。
リアルタイム監視は、ユーザーが現在のセキュリティ脅威に対処できるだけでなく、将来の潜在的なリスクを防ぐ能力を向上させることもできます。ブロックチェーン技術が発展し続け、適用シナリオが拡大するにつれて、セキュリティ問題はますます複雑かつ多様になります。最新のセキュリティ技術とツールを継続的に学習して適用することで、ユーザーは新たな脅威に対して常に警戒し、セキュリティ戦略を迅速に調整し、最適化することができます。最終的には、リアルタイム監視、インテリジェントなブロッキング、無意味なリスク制御が、オンチェーン取引のユーザーにとって不可欠なセキュリティ ツールとなり、デジタル資産を保護することになります。
OKX Web3 ウォレット セキュリティ チーム:セキュリティ インシデントはチェーン上で頻繁に発生するため、ユーザーはこれらのイベントをタイムリーに認識して資産を保護する方法を知る必要があります。以下は、ユーザーがオンチェーンのセキュリティ意識を向上させ、適切な資産保護措置を講じるのに役立つことを期待する、いくつかの具体的な方法とツールです。
1. セキュリティベンダーのセキュリティインシデントに関するツイートをフォローする
• セキュリティ ベンダーの Twitter: ブロックチェーン セキュリティ ベンダーの Twitter アカウントをフォローして、最新のオンチェーン セキュリティのトレンドと攻撃手法について学びます。
• 最新の攻撃手法に注意する: 特に、ハッカーが共通の脆弱性を利用して他のプロトコルを攻撃し、ユーザーの資金を損失することを防ぐために、同じ種類のプロトコルの最新の攻撃手法に注意してください。したがって、必要に応じて、同じ種類のセキュリティの脆弱性によって引き起こされる経済的損失を回避するために、関連する種類のプロトコルへの投資を撤退してください。
2. オンチェーン監視ツールを使用する
• リアルタイム監視ツール:OKLink のアドレス バランス監視などのオンチェーン監視ツールを使用して、プロトコルの TVL (Total Locked Volume) の変化にリアルタイムで注意を払うか、一部のセキュリティ ベンダーが提供するプロトコル監視ツールを使用して、主流プロトコルのセキュリティをリアルタイムで監視し、問題が発見された場合はすぐにユーザーに通知します。
3. プロジェクト当事者の報酬動向に注意を払う
• 補償計画: 発生した攻撃について、ユーザーはプロジェクト関係者の補償動向に注意を払うことができます。
• 発表の追跡: 一部のプロジェクト関係者は、公式 Web サイト、ソーシャルメディア、および発表チャネルで報酬計画の情報を公開します。
• 損失の申告: 負傷したユーザーは、適時に損失を報告し、プロジェクト当事者のガイドラインに従って補償計画に参加する必要があります。
4. 脆弱な契約の承認を取り消す
• Revoke.cash: 関連ツールを使用して、脆弱な契約の承認を確認して取り消し、資金の二次盗難を防ぎます。
オンチェーントランザクションを実行するときにフィッシング詐欺師の簡単な標的にならないようにするにはどうすればよいですか?
GoPlus セキュリティ チーム:チェーン上で取引する場合、ユーザーはフィッシング詐欺師の標的にならないように努める必要があります。以下の観点から保護を強化できます。
チェーン上で取引する際にフィッシング詐欺師の標的にならないようにするための主なポイントは次のとおりです。
1. ソースを確認する
• 公式チャネル: 不明なソースからのリンク、特に電子メール、Twitter、Discord で受信したプライベート メッセージ内のリンクは絶対にクリックしないでください。すべての取引とログイン操作が公式ウェブサイトまたは公式 dapp を通じて行われていることを確認してください。よく使用する Web サイトやアプリケーションをブックマークしたり、偽の Web サイトに誤って入力されないようにすることができます。 Twitterのフォロワーに有名ユーザーがフォローしているかどうかで公式かどうか判断することもできます。
• URL を確認する: Web サイトの URL を再確認して、綴りが正しいこと、およびセキュリティ証明書 (HTTPS) が含まれていることを確認します。フィッシング Web サイトでは、実際の Web サイトと似たドメイン名が使用されることがよくありますが、若干の違いがあります。
2. 安全なブラウザ拡張機能
• ブラウザ拡張機能をインストールする: トランザクション シミュレーションおよびフィッシング Web サイト識別機能を備えた安全なブラウザ拡張機能をインストールします。これらの拡張機能は、フィッシング Web サイトをリアルタイムで監視およびブロックできます。この拡張機能は通常、訪問した Web サイトが既知のフィッシング Web サイトのデータベースに含まれているかどうかを確認し、リスクが見つかった場合は警告を発します。同時に、トランザクションのシミュレーションを実行し、アクションの結果を通知し、早期に警告を発することができます。
• 定期的なアップデート: ブラウザ拡張機能やその他のセキュリティ ソフトウェアが常に最新の状態であることを確認し、最新のフィッシング攻撃手法を特定してブロックできるようにします。
3. 注意力と識別スキルを向上させる
• 電子メールとメッセージ: 個人情報、パスワード、ニーモニック フレーズ、秘密キーを要求する電子メールやメッセージには注意してください。正規のサービスは、電子メールやメッセージを通じてこの情報を要求しません。
• 送信者を確認する: メッセージが見覚えのある送信元から送信されているように見える場合でも、送信者の電子メール アドレスを再確認してください。場合によっては、フィッシング詐欺師は、微妙なスペルミスや偽のドメイン名を使用して、正規の送信者を装うことがあります。
4. 資金管理
• マルチウォレット管理: 資産を 1 つのウォレットに集中させるのではなく、複数のウォレットに保管します。このようにして、1つのウォレットが攻撃された場合でも、他のウォレットの資産を保護することができます。
• ホット ウォレットとコールド ウォレットの組み合わせ: ほとんどの資産をオフラインのコールド ウォレットに保存し、毎日の取引用に少量の資産のみをオンライン ホット ウォレットに保存します。コールドウォレットはインターネットに接続されていないため、より安全です。
• 定期検査:各ウォレットのセキュリティ状況や取引記録を定期的に確認し、不要な重複した認可を解除し、異常事態を適時に検知して対処します。
OKX Web3 ウォレット セキュリティ チーム:オンチェーン エコロジーの発展に伴い、ユーザーのオンチェーン インタラクションはますます活発になり、セキュリティ意識を向上させる必要性がさらに高まっています。フィッシング攻撃の標的になるリスクを軽減し、ウォレットと資産のセキュリティを保護するために、できる限り多くの対策を講じるようにしてください。
1. Web サイトとアドレスを確認する:秘密キーを入力する前、または取引を行う前に、特に電子メールやソーシャル メディアのリンクをクリックして直接アクセスする場合は、アクセスしている Web サイトの URL が正しいことを必ず確認してください。ブロックチェーン アドレスの場合は、OKLink Browser などの既知のセキュリティ サービスを使用して、アドレスの正当性を検証します。
2. ハードウェア ウォレットを使用する:ハードウェア ウォレットは、暗号資産に追加のセキュリティ層を提供できます。ユーザーのコンピューターが感染したり、誤ってフィッシング Web サイトにアクセスしたりした場合でも、ハードウェア ウォレットによって秘密キーがデバイスから流出することはありません。
3. 安易に認可しない:スマートコントラクトの操作を認可する際は、必ず契約内容と出所を確認してください。信頼できる契約、またはコミュニティによる十分なレビューを受けた契約のみを承認します。
4. セキュリティ ツールとサービスを利用する:既知の悪意のある Web サイトを特定してアクセスをブロックするのに役立つ、Web ブラウザ拡張機能などのフィッシング対策ツールやマルウェア保護ツールをインストールして使用します。
5. 警戒してください:秘密鍵の緊急リクエストや送金要求に注意してください。攻撃者は多くの場合、ユーザーの緊張や焦りを利用して意思決定を誘導します。
6. 自己セキュリティ意識を向上させる:セキュリティ知識を定期的に更新し、最新のフィッシング攻撃手法とブロックチェーン セキュリティのトレンドに注意を払います。関連するオンライン コースを受講したり、ブロックチェーン セキュリティ ガイドを読んだりできます。
チェーン上で取引する場合、ユーザーはどうすれば詐欺プロジェクトへの参加を避けることができるでしょうか?
GoPlus セキュリティ チーム:まず、詐欺トークンとは何かを理解する必要があります。詐欺トークンは、悪意のある攻撃者によって作成された暗号通貨トークンです。もともとラグプルを実行するために作成されたこれらのトークンは、多くの場合、トークン自体に実際の価値や用途がなく、投資家からお金をだまし取るように設計されています。投資家がこれらのトークンを購入すると、さまざまな理由で売却できなかったり、取引中に多額の損失を被ったりすることがよくあります。一般的な詐欺トークンには、販売機能の制限、取引クールダウン、取引手数料の隠蔽、その他の方法でユーザーを欺くトークンが含まれます。ユーザーは以下の対策を講じることで、不正なトークンの購入を回避できます。
1. 契約住所を確認します。
• 情報の確認: トークンを購入する前に、トークンのスマート コントラクト アドレスが正しいかどうかを確認します。契約アドレスがプロジェクトによって公式に提供されたものと一致していることを確認し、公式 Web サイト、ホワイト ペーパー、公式ソーシャル メディアなどの公式チャネルを通じてこの情報を入手してください。
• コントラクト コードを確認する: 技術的な知識がある場合は、トークンのスマート コントラクト コードを確認して、異常や悪意のあるコードがないかどうかを確認できます。知識がない場合は、信頼できる契約レビュー ツールまたはサービスを利用できます。
• ブロックチェーン ブラウザを使用する: ブロックチェーン ブラウザを通じてトークン所有者の分布、取引履歴などのトークン契約の詳細情報を表示し、契約に明らかなリスク特性がないことを確認します。
2. 信頼できるツールを使用します。
• トークン リスク識別ツール: いくつかの一般的なトークン リスク識別ツールを使用して、トークン コントラクトをスキャンして悪意のあるコードがないか確認します。これらのツールは、販売できない、隠れた手数料など、契約によくある詐欺の特徴があるかどうかをチェックできます。
• 契約分析プラットフォーム: ブロックチェーン契約分析プラットフォームを使用して、トークンの取引履歴と契約コードを表示します。トークン所有者の分布に注意し、少数のアドレスにトークンが集中していることに注意してください。
• 自動監視ツール: 新しいトークンとそのリスク特性を自動的に監視するツールを使用して、不正な可能性のあるトークンをタイムリーに検出して回避します。
3. コミュニティと口コミ:
• ソーシャルメディアとコミュニティのフィードバック: トークンのコミュニティの評判と、Twitter、Reddit などのソーシャルメディア上の他のユーザーからのフィードバックを表示します。プロジェクトがコミュニティによってサポートされ信頼されているかどうかを確認し、詐欺として何度も報告または議論されているトークンの購入を避けてください。
• プロジェクト情報の透明性: チーム メンバーの背景、プロジェクトの技術白書、開発ロードマップなど、プロジェクト チームの情報の透明性を調査します。正式なプロジェクトでは、詳細なチーム情報や技術情報が公開されることがよくあります。
• コミュニティのディスカッションに参加する: トークン プロジェクトに関するコミュニティのディスカッションに積極的に参加し、プロジェクトの最新の進捗状況やユーザーの実際の体験を理解し、プロジェクトの信頼性を判断します。
4. 少量テスト:
• テスト取引: 大量の購入を行う前に、小規模なテスト取引を実行します。少額テストを通じて、トークンの売買機能が正常に動作するかどうかを検証し、販売できない貔貅コインを購入しないようにします。
• 取引手数料を監視する: 少額取引の場合は取引手数料とスリッページに注意し、異常に高い手数料や隠れた取引条件がないか確認します。
• 市場の反応を観察する: 少額テストを実施した後、トークンに対する市場の反応と取引活動を観察し、トークンが正常な市場パフォーマンスを持っているかどうかを評価します。
5. 高利回りの約束には注意してください。
• 非現実的な約束: 高利回りと迅速な収益を約束するトークン プロジェクトには注意してください。詐欺トークンは通常、投資家の貪欲さを利用し、資金を呼び込むために非現実的な高いリターンを約束します。
• リスクシグナルを特定する: 多くの場合、高いリターンには高いリスクが伴います。「損失を出さずに利益が保証される」と主張するプロジェクトの場合は、十分に警戒し、短期的な高いリターンに誘惑されないようにしてください。
• 専門家のアドバイスを求める: 投資する前に、専門家のアドバイスを求め、プロジェクトのリスク評価に耳を傾けることができます。
6. 合理的な投資:
• 合理的かつ慎重であること: 短期的な高い利益に誘惑されず、常に適切な調査とリスク評価を行ってください。投資の決定は、感情に流されるのではなく、詳細な分析と合理的な判断に基づいて行われるべきです。
• 投資の多様化: 単一のコインやプロジェクトに全資金を投資するのではなく、投資を多様化することで全体的なリスクを軽減し、一部の投資が失敗したとしても大きな損失を被らないようにすることができます。
OKX Web3 ウォレット セキュリティ チーム:オンチェーン プロジェクト パーティによるラグプル事件は一般的であり、ユーザーはより警戒する必要があります。例えば:
1. プロジェクトの背景を調査する: トークンを購入する前に、必ずプロジェクトを詳しく調査してください。プロジェクトのビジョン、チームメンバー、ホワイトペーパー、ロードマップなどについて学びます。プロジェクトのコミュニティ ディスカッションを見つけて、そのプロジェクトについて他の人がどう思っているかを確認してください。
2. 警告サインに注意する: 警告サインの中には、コインが詐欺であるか、信頼できないことを示すものもあります。たとえば、匿名のチーム、過剰な約束、透明性の欠如などです。警告の兆候を見つけた場合は、警戒を怠らず、そのようなコインを安易に購入しないことが最善です。
3. トークンスキャンツールの利用:OKX Web3ウォレット等が提供するトークンスキャン機能を利用することができます。トークンスキャンツールは、コントラクトコード、オンチェーン動作、コミュニティフィードバック等の多層レベルから総合的に分析を行い、トークンが不正なものかどうかをある程度検出します。
4. コントラクトを確認する: Ethereum またはその他のスマート コントラクト プラットフォームでは、トークン コントラクトのコードを確認できます。コントラクトを確認すると、トークンが信頼できるかどうかを判断できます。契約コードに不審なロジックが含まれている場合、またはオープンソースではない場合は、さらに注意する必要があります。
5. 警戒を怠らない: 見知らぬ人からの推奨事項や、コミュニティに投稿された宣伝コピーを簡単に信用しないでください。プロジェクトについてあまりにも良い約束を聞いた場合は、より懐疑的になり、理性を保ってください。
ユーザーがチェーン上の MEV による攻撃を防ぎ、資金の損失を回避する方法
GoPlus セキュリティ チーム: MEV (Miner Extractable Value) 攻撃による資金の損失を防ぐために、ユーザーは次の詳細な手順を実行できます。
1. 特別なツールを使用する
• アンチ MEV 機能: ユーザーはウォレットでアンチ MEV 機能をオンにし、特別に設計された取引ツールやプラグインを利用できます。これらのツールは、潜在的な MEV 攻撃を特定して回避し、ユーザーのトランザクションをマイナーや他の攻撃者による悪用から保護します。
• トランザクション保護サービス: 一部のプラットフォームは、ユーザーのトランザクションをバッチで送信したり、MEV 攻撃のリスクを軽減するためにトランザクションを難読化したりできるトランザクション保護サービスを提供します。これらのサービスは、ユーザーが大規模なトランザクションをより安全に実行するのに役立ちます。
2. スプレッド取引時間:
• ピーク期間を避ける: 取引のピーク期間中は MEV 攻撃がより活発になるため、大規模な取引を避けてください。ピーク期間は通常、市場のボラティリティが大きくなる時期、または重大なニュースが発表される時期です。取引量が少ない期間を選択して取引すると、攻撃を受ける可能性を効果的に減らすことができます。
• スケジュールされたトランザクション: スケジュールされたトランザクション機能を使用して、大量のトランザクションを複数の時点に分散し、単一のトランザクションが MEV 攻撃にさらされるリスクを軽減します。
3. プライバシー技術を使用します。
• プライバシー ノード: ユーザーはトランザクションを一部のプライバシー ノード (Flashbot など) に送信して、トランザクションが正常に実行されることを確認できます。 Flashbot はトランザクションをマイナーに直接送信し、パブリック トランザクション プールをバイパスして MEV 攻撃を回避できます。ただし、このアプローチでは、トランザクションのステータスが確認される前に、ブロックがチェーンにアップロードされるまで待機する必要があるため、トランザクションの確認が若干遅くなる可能性があります。
• 難読化されたトランザクション: トランザクション難読化テクノロジを使用して、トランザクションを複数の小さなトランザクションに分割し、それらを混合して送信することで、トランザクションの隠蔽性を高め、攻撃されるリスクを軽減します。
4. 多角化戦略:
• 取引を多様化する: リスクを分散し、標的にされる可能性を減らすために、すべての取引を同時にまたは同じプラットフォームに集中させないでください。トランザクションを分散化することで、攻撃者がすべてのトランザクションを予測して傍受することが困難になり、全体的なリスクを軽減できます。
• 複数の取引プラットフォームを使用する: 複数の取引プラットフォームとツールを利用して、単一のプラットフォームですべての取引を実行することを回避し、集中型攻撃の可能性を減らします。
5. 十分な LP を持つ取引プールを選択します。
• 高流動性プール: 不十分な流動性によって引き起こされるスリッページ損失や MEV 攻撃を避けるために、高い流動性と十分な LP (流動性プロバイダー) を備えた取引トークン プールを選択するようにしてください。流動性の高いプールは、より大きな取引量を吸収し、取引操作のリスクを軽減できます。
• 取引の深さを確認する: 取引を行う前に、取引プールの深さと取引ペアの流動性をチェックして、取引がスムーズに進行し、大きな価格変動を引き起こさないことを確認します。
6. 適切な滑り許容値を設定します。
• スリッページ保護: 取引価格が予想から逸脱することを防ぐために、取引プラットフォームに合理的なスリッページ許容値を設定します。スリッページ設定が高すぎると、MEV による攻撃を受けるリスクが高まりますが、スリッページ設定が低すぎると、トランザクションの失敗につながる可能性があります。最適な保護を実現するために、市場の状況に基づいて滑り許容値を調整します。
7. 戦略を継続的に監視および調整します。
• トランザクション監視: 自身のトランザクション アクティビティを継続的に監視し、潜在的な MEV 攻撃を適時に検出して対応します。分析ツールと監視サービスを使用して、取引執行と市場の反応を追跡します。
• 戦略の調整: 取引監視の結果と市場の変化に基づいて、取引戦略と保護措置を迅速に調整し、取引が常に安全な状態にあることを保証します。
OKX Web3 ウォレット セキュリティ チーム:次のようないくつかの核心点を抽出しました。
1. トランザクションの深さに注意してスリッページを設定する: トランザクションの深さに注意し、大きなトランザクションを小さなトランザクションに分割して複数回実行し、スリッページ保護を設定して攻撃を受ける可能性を減らします。
2. プライバシー保護ノードを使用する: Flashbot プライバシー RPC ノードなど、トランザクションの公開を防ぐプライバシー保護機能を備えた rbc ノードを選択します。
3. 信頼できるウォレットとアプリケーションを選択する: mev 保護を提供する信頼できるウォレットとアプリケーション (OKX ウォレット ネイティブ DAPP など) を使用し、未知または未検証のサービスの使用を避けます。
ユーザーのウォレット資産が盗まれた場合、どうやって修復するのでしょうか?
GoPlus セキュリティ チーム: 多くのユーザーが自分のウォレット資産が突然消えたことに気づきましたが、適切な取り扱い経験や方法がなかったため、回復または救出できたはずの資産が失われることがよくあります。ユーザーが資産が盗まれた後に迅速に是正措置を講じられるように、いくつかの重要な修復策を以下に示します。
ステップ 1: ウォレット内の残りのトークンを転送する
• 新しいウォレットの作成: 新しいウォレット アドレスをすぐに作成し、新しいウォレット アドレスと秘密鍵が安全で漏洩していないことを確認します。
• 資産の転送: ウォレット内の残りのトークンを新しく作成したウォレットに素早く転送し、残りの資産が盗まれるのを防ぎます。
• 承認のキャンセル: 承認管理ツールを使用して、古いウォレット内の不要なスマート コントラクト承認をすべてキャンセルし、残りの資産をさらに保護します。
• レスキュー ツールを使用する: 必要に応じて、いくつかのレスキュー ツールと先制サービスを使用して、損失を迅速に回復します。これらのサービスは、資産の転送に優先順位を付け、資産の転送に必要なガスを自動的に転送するハッカーの監視プログラムに知られるのを回避するのに役立ちます。
ステップ 2: 盗難問題の根本原因を見つける
1. 機器とアカウントの確認
• デバイスのセキュリティ チェック: ウォレットへのアクセスに使用されるデバイスをチェックして、マルウェア、ウイルス、またはスパイウェアが含まれていないことを確認します。信頼できるウイルス対策ソフトウェアを使用して包括的なスキャンを実行します。
• アカウントのセキュリティチェック: 取引プラットフォーム、電子メールアドレスなど、ウォレットに関連するアカウントをチェックして、これらのアカウントがハッキングされていないことを確認します。
2. 盗難の理由を特定する
• 秘密キーの盗難: 秘密キーが盗まれた場合、ハッカーはウォレットを完全に制御し、すべての資産を転送することができます。 EVM ウォレットの秘密キーが漏洩すると、ハッカーは複数の EVM 互換チェーンのすべての資産を転送する可能性があります。フィッシング Web サイト経由で秘密キーやニーモニック フレーズを入力するなど、秘密キーやニーモニック フレーズが漏洩する兆候がないか確認します。
• 承認のスプーフィング: 悪意のあるスマート コントラクトが知らないうちに承認されているかどうかを確認します。 Etherscan またはその他のブロックチェーン ブラウザを使用して、承認履歴を表示し、異常な承認を特定します。
• 悪意のある署名: 悪意のあるトランザクションまたはメッセージが署名されたかどうかを確認します。特に、DApps またはその他のサービスを通じて署名された操作の場合、未知の署名または疑わしい署名が特定されます。
3. 取引記録を確認します。
• 取引履歴の分析: ブロックチェーン ブラウザ (Etherscan、BscScan など) を使用してウォレットの取引記録を表示し、不審な取引や未知の資金の流れを特定します。
• 証拠の収集: 取引 ID、取引時間、取引相手の住所などを含む疑わしい取引の詳細情報を記録し、その後の警報や調査の証拠を提供します。
ステップ 3: 警察に電話して訴訟を起こす
1. 警察に通報する
• 地元の警察に連絡する: できるだけ早く地元の法執行機関に連絡し、ウォレット資産の盗難を報告してください。警察が事件を理解するのに役立つ詳細な取引記録と証拠を提供してください。
• 捜査のための立件の確立: 警察の要求に従って、正式に立件されることを保証するために必要なフォームと書類に記入します。警察の捜査に役立つように、できるだけ多くの手がかりと証拠を提供してください。
2. コミュニケーションを維持する
• 定期的なフォローアップ: 定期的に警察に連絡して、事件の進行状況を把握し、新しい手がかりや情報を提供します。
• 捜査の支援: 警察の捜査に積極的に協力し、必要な情報や支援を提供します。
ステップ 4: 専門のセキュリティ機関に助けを求め、資金リンクに基づいて盗まれた資金を凍結するために関連する取引所を探します。
1. 専門のセキュリティ機関に連絡する
• 専門家の支援: ブロックチェーンセキュリティ会社または専門のセキュリティ機関に連絡し、支援を求めてください。専門機関は、盗まれた資金の流れを追跡および分析するための技術サポートを提供できます。
• 資金追跡: 専門的なブロックチェーン分析ツールを使用して、盗まれた資金の流れの経路を追跡し、資金が流れる取引所と最終的な受け取りアドレスを特定します。
2. 取引所に資金の凍結をリクエストする
• 取引所に連絡する: 盗まれた資金が流出した関連取引所に連絡し、詳細な取引記録と証拠を提供し、盗まれた資金を凍結するための協力を要請します。
• 証拠の提供: 警察の立件証明書、取引記録、分析報告書を取引所に提出して、資金が盗まれた資産であることを証明し、取引所に資金凍結への協力を要求します。
• 継続的なフォローアップ: 盗難された資産をできるだけ早く取り戻すために、取引所とのコミュニケーションを維持し、凍結資金の進行状況を定期的にフォローアップします。
OKX Web3 ウォレット セキュリティ チーム:ブロックチェーン ユーザーのウォレット資産が盗まれた場合、ブロックチェーンの分散型で不変の性質により、一度確認されたトランザクションを元に戻すことは通常不可能であるため、修復が制限される可能性があります。考えられる解決策は次のとおりです。
1. すぐに行動を起こす
1) 盗難の原因を分析する
• ハッカーアドレスに認証されている場合は、認証プラットフォームで直ちに認証を取り消す必要があります。
• 秘密キーが漏洩した場合は、包括的なセキュリティ検査を実施して秘密キー漏洩の原因を特定し、システムを再インストールしてからウォレットを変更する必要があります。
2) 資産救出
• ウォレット内にまだ転送されていない資産がある場合、または defi プロジェクト内にある資産がある場合は、資産レスキューを実行して損失を軽減できます。
3) 資金の流れを追跡する
• ホワイトハットまたはセキュリティコミュニティのメンバーを見つけて資金の流れを監視し、資金が取引所に流れていることが判明した場合は、そのアカウントの凍結を申請できます。
2. 関係部署への報告
1) 問題をウォレットカスタマーサービスにフィードバックします
2) 警察に電話し、すべての関連情報を提供して盗難を警察に報告します。この情報は、ユーザーが資金が取引所に流れていることを発見したときに取引所アカウントを凍結するのに役立ちます。
3. ブロックチェーンコミュニティに助けを求める
1) Twitter などの関連するブロックチェーン ソーシャル メディアでアナウンスを公開する場合、コミュニティが盗まれた資金の流れを追跡し、阻止するのに役立ちます。
2) 報奨金を提供して、ホワイト ハットやコミュニティ メンバーに資産の回収を促す動機を与えます。
4. 予防
1) 将来の攻撃から身を守る方法について教育を受け、さらに学びましょう。
2) コールドウォレットを使用して、ほとんどの資産をオフラインウォレットに保存します。
3) 鍵の安全なバックアップ
要約すると、ブロックチェーン テクノロジーの性質上、盗難された資産の回復は困難ですが、迅速に行動し、複数の是正措置を講じることで、損失を最小限に抑え、将来のリスクから保護することができます。
最後に、OKX Web3 Walletのコラム「セキュリティ特集」第06回をご覧いただきありがとうございました。最終回として、実際の事例だけではなく「セキュリティ特集」シリーズの内容をまとめます。とリスクの特定、および安全な操作に関するヒントをご紹介しますので、ご期待ください。
免責事項:
この記事は情報提供のみを目的としており、(i) 投資アドバイスまたは投資推奨、(ii) デジタル資産の購入、売却、または保有の提案または勧誘、または (iii) 財務、会計、法律または税務に関するアドバイスを提供することを目的としたものではありません。 。 ステーブルコインやNFTを含むデジタル資産の保有には高レベルのリスクが伴い、大幅に変動したり無価値になる可能性があります。自分の財務状況に基づいて、デジタル資産の取引または保有が自分に適しているかどうかを慎重に検討する必要があります。適用される現地の法律および規制を理解し、遵守することはお客様の責任です。
