安全特刊 01|OKX Web3 & 慢雾:百詐を経験した共有

欧易OKX
2024-05-16 14:00:00
コレクション
OKX Web3は特別に『安全特刊』コーナーを企画し、さまざまなタイプのオンチェーンセキュリティ問題に対する特集解答を行います。ユーザーの身近で最も実際に起こった事例を通じて、安全分野の専門家や機関と共同で、異なる視点からの二重の共有と解答を行い、浅いところから深いところまで安全取引ルールを整理し要約することを目的としています。これにより、ユーザーの安全教育を強化しつつ、ユーザー自身がプライベートキーやウォレット資産の安全を守る方法を学ぶ手助けをします。

ある日、突然誰かがあなたに100万ドルの価値があるウォレットアドレスの秘密鍵を送ってきたら、あなたはすぐにお金を移動させたいと思いますか?

もしそう思うなら、この記事はあなたのために特別に作られています。

この記事はOKX Web3『安全特刊』第01号で、暗号業界で数々の詐欺を経験した有名なセキュリティ機関------SlowMistセキュリティチームとOKX Web3セキュリティチームが、ユーザーが直面した最もリアルなケースをもとにシェアし、内容が盛りだくさんです!

SlowMistセキュリティチーム: OKX Web3の招待に感謝します。SlowMistは業界をリードするブロックチェーンセキュリティ会社として、安全監査やマネーロンダリング追跡などのサービスを通じて多くの顧客を支援し、堅実な脅威インテリジェンス協力ネットワークを構築しています。2023年度、SlowMistは顧客、パートナーと公開されたハッキング事件に対して、合計1250万ドル以上の資金を凍結しました。業界と安全に対する敬意を持って、引き続き価値のあるものを提供していきたいと思います。

OKX Web3セキュリティチーム: 皆さんこんにちは、今回のシェアができてとても嬉しいです。OKX Web3セキュリティチームは、OKX Web3ウォレットのセキュリティ能力の構築を主に担当しており、製品の安全性、ユーザーの安全性、取引の安全性などの多重防護サービスを提供し、24時間体制でユーザーのウォレットの安全を守りつつ、ブロックチェーンの安全エコシステムの維持に貢献しています。

Q1:実際の盗難事件をいくつか共有できますか?

SlowMistセキュリティチーム: 第一に、大部分のケースはユーザーが秘密鍵やリカバリーフレーズをオンラインに保存したことによるものです。例えば、ユーザーが頻繁に使用するGoogleドキュメント、Tencentドキュメント、Baiduクラウド、WeChatのコレクション、メモなどのクラウドストレージサービスに秘密鍵やリカバリーフレーズを保存している場合、これらのプラットフォームのアカウントがハッカーに収集されて「クラッキング」されると、秘密鍵が簡単に盗まれます。

第二に、ユーザーが偽のアプリをダウンロードした後、秘密鍵が漏洩することがあります。例えば、多重署名詐欺は最も典型的なケースの一つで、詐欺師がユーザーに偽のウォレットをダウンロードさせ、ウォレットのリカバリーフレーズを盗み、その後すぐにそのユーザーのウォレットのアカウント権限を変更します:ウォレットアカウントの権限をユーザー本人から、ユーザー本人と詐欺師が共同で持つものに変更し、そのウォレットアカウントの制御権を奪います。このような詐欺師は、ユーザーのアカウントに一定の暗号資産が蓄積されるのを待ち、一度に資金を移動させることがよくあります。

OKX Web3セキュリティチーム: SlowMistは秘密鍵が盗まれる2つの主要なケースを概説しましたが、第二のケース、詐欺師が偽のアプリを利用してユーザーの秘密鍵を盗む本質はトロイの木馬プログラムです。このようなトロイの木馬プログラムは、ユーザーの入力方法や写真などへのアクセス権を取得することで、ユーザーの秘密鍵を盗みます。iOSユーザーに比べて、Androidユーザーはトロイの木馬ウイルス攻撃に遭遇することが多いです。ここで2つのケースを簡単に共有します:

ケース1、 ユーザーがウォレットの資産が盗まれたと報告し、私たちのチームがユーザーとコミュニケーションを取り調査した結果、彼が以前にGoogle検索を通じて偽装されたデータプラットフォームのソフトウェアをダウンロードしてインストールしたことが原因であることが判明しました。このソフトウェアはトロイの木馬プログラムでした。しかし、ユーザーがそのプラットフォームのソフトウェアを検索した際、そのリンクがGoogle検索のTOP5に表示されたため、ユーザーは公式のソフトウェアだと誤解してしまいました。実際、多くのユーザーはGoogleが提供するリンクを識別しないため、このような方法でトロイの木馬攻撃に遭遇しやすいです。私たちはユーザーに対して、ファイアウォール、ウイルス対策ソフトウェア、Hosts設定などを通じて日常的な安全防護を行うことをお勧めします。

ケース2、 ユーザーがあるDeFiプロジェクトに投資している際にウォレットの資産が盗まれたと報告しました。しかし、私たちの分析と調査の結果、そのDeFiプロジェクト自体には問題がなく、ユーザーBのウォレット資産が盗まれたのは、彼がTwitterでそのプロジェクトにコメントした際に、偽のDeFiプロジェクトの公式カスタマーサポートに狙われ、偽のカスタマーサポートの誘導に従って、偽のリンクをクリックしてリカバリーフレーズを入力したためです。その結果、ウォレットの資産が盗まれました。

このように、詐欺師の手口は特に巧妙ではありませんが、ユーザーは識別意識を高める必要があります。どんな状況でも、自分の秘密鍵を軽々しく漏らしてはいけません。また、私たちのウォレットはこの悪意のあるドメインに対して安全リスクの警告を行っています。

Q2:最適な秘密鍵の保管方法はありますか?現在、秘密鍵への依存を減らすための代替手段はありますか?

SlowMistセキュリティチーム: 秘密鍵やリカバリーフレーズは実際には単一障害点の問題であり、一度盗まれたり失われたりすると、回復が非常に困難です。現在、安全なマルチパーティ計算(MPC)、ソーシャル認証技術、Seedless/Keyless、事前実行およびゼロ知識証明技術などの新しい技術が、ユーザーの秘密鍵への依存を減らす手助けをしています。

MPCを例に挙げると、第一に、MPC技術は、すべての参加者がタスクを完了するために複雑な共同計算を実行し、彼らのデータはプライベートで安全に保たれ、他の参加者と共有されないことを指します。第二に、MPCウォレットは一般的に、MPC技術を利用して1つの秘密鍵を安全に複数の部分に分割し、複数の当事者が共同で管理します。または、単に複数の当事者が共同で仮想的な鍵を生成することもあります。後者の状況がより一般的であり、この場合、誰も完全な秘密鍵を見たことがありません。要するに、MPCの核心的な考え方は、権限を分散させてリスクを分散させたり、災害対策を強化したりすることです。これにより、単一障害点などのセキュリティ問題を効果的に回避できます。

注意が必要なのは、MPCには「Keyless」という用語が関係しており、「リカバリーフレーズなし」または「秘密鍵なし」と理解できます。しかし、この「なし」は実際の意味での鍵がないということではなく、ユーザーがリカバリーフレーズや秘密鍵をバックアップする必要がなく、それらの存在を認識しないことを指します。したがって、Keylessウォレットについては以下の3点を理解する必要があります:

  1. Keylessウォレットの作成プロセスでは、秘密鍵はいつでもどこでも作成または保存されません。

  2. 取引を署名する際には、秘密鍵は関与せず、秘密鍵はいつでも再構築されません。

  3. Keylessウォレットは、いつでも完全な秘密鍵やシードフレーズを生成または保存しません。

OKX Web3セキュリティチーム: 現在、完璧な秘密鍵の保管方法は存在しません。しかし、私たちのセキュリティチームは、ハードウェアウォレットの使用、手書きでの秘密鍵の保存、マルチシグの設定、リカバリーフレーズの分散保存などの方法を推奨しています。例えば、リカバリーフレーズを分散保存することは、ユーザーがリカバリーフレーズを2つ以上のグループに分けて保存し、リカバリーフレーズが盗まれるリスクを低減することを意味します。また、マルチシグの設定は、ユーザーが信頼できる人を選定し、共同で署名して取引の安全性を決定することを意味します。

もちろん、ユーザーのウォレット秘密鍵の安全を確保するために、OKX Web3ウォレットの全ての基盤はネットワークに接続されておらず、ユーザーのリカバリーフレーズや秘密鍵に関連する情報はすべて暗号化されてユーザーのデバイスのローカルに保存されており、関連するSDKもオープンソースで、技術コミュニティによって広く検証されており、より公開透明です。また、OKX Web3ウォレットはSlowMistなどの有名なセキュリティ機関と協力して、厳格なセキュリティ監査を行っています。

さらに、私たちのユーザーをより良く保護するために、秘密鍵管理に関して、OKX Web3セキュリティチームはより強力なセキュリティ機能を提供し、計画しており、継続的にアップグレードを行っています。ここで簡単に共有します:

  1. 二要素暗号化。現在、大部分のウォレットは通常、パスワードでリカバリーフレーズを暗号化し、暗号化された内容をローカルに保存しますが、ユーザーがトロイの木馬ウイルスに感染した場合、そのトロイの木馬は暗号化された内容をスキャンし、ユーザーが入力したパスワードを監視します。一度詐欺師がパスワードを監視すると、暗号化された内容を解読し、ユーザーのリカバリーフレーズを取得できます。将来的に、OKX Web3ウォレットはリカバリーフレーズを二要素方式で暗号化する予定です。これにより、詐欺師がユーザーのパスワードをトロイの木馬を通じて取得しても、暗号化された内容を解読できなくなります。

  2. 秘密鍵コピーの安全性。大部分のトロイの木馬は、ユーザーが秘密鍵をコピーする際にクリップボードの情報を盗むことで、ユーザーの秘密鍵が漏洩します。私たちは、ユーザーの秘密鍵コピー過程の安全性を高めるために、例えば部分的な秘密鍵のコピーやクリップボード情報の即時削除などの方法や機能を追加する計画を立てています。

Q3:秘密鍵の盗難から見た、現在の一般的なフィッシング手法は何ですか?

SlowMistセキュリティチーム: 私たちの観察によると、フィッシング活動は毎月徐々に増加しています。

第一に、現在のウォレット泥棒(Wallet Drainers)は、フィッシング活動の主要な脅威を構成しており、さまざまな形で一般ユーザーを攻撃し続けています。

ウォレット泥棒(Wallet Drainers)は、暗号通貨に関連する悪意のあるソフトウェアで、これらのソフトウェアはフィッシングサイトに展開され、ユーザーに悪意のある取引に署名させることで、ユーザーのウォレット資産を盗みます。例えば、現在比較的活発なウォレット泥棒(Wallet Drainers)には:

  1. ソーシャルエンジニアリングを通じてDiscordトークンを取得し、フィッシングを行うPink Drainer。ソーシャルエンジニアリングは、一般的にユーザーの秘密情報を引き出すためのコミュニケーション手法です。

  2. Angel Drainerは、ドメインサービスプロバイダーに対してソーシャルエンジニアリング攻撃を行います。ドメインアカウントの関連権限を取得した後、Angel DrainerはDNS解析を変更し、ユーザーを偽のウェブサイトにリダイレクトします。

第二に、現在最も一般的なのは盲目的な署名フィッシングです。盲目的な署名とは、ユーザーがプロジェクトとやり取りをする際に、署名や承認が何であるかを知らずに確認をクリックしてしまい、その結果資金が盗まれることを指します。盲目的な署名フィッシングについて、いくつかの例を挙げます:

ケース1:例えばethsign。ethsignはオープンな署名方法で、任意のハッシュに署名することを許可します。つまり、取引や任意のデータに署名するために使用でき、一般的に技術的な基礎がないユーザーが署名の内容を理解するのは難しいため、一定のフィッシングリスクが存在します。幸いなことに、現在では多くのウォレットがこのような署名に対して安全警告を開始しており、ある程度の資産損失リスクを回避できます。

ケース2:permit署名フィッシング。ERC20トークンの取引では、ユーザーがapprove関数を呼び出して承認できますが、permit関数はユーザーがオフチェーンで署名を生成し、指定されたユーザーに一定量のトークンを使用するために承認することを許可します。攻撃者はpermitメソッドを利用してフィッシングを行い、被害者がフィッシングサイトにアクセスした際に、攻撃者はサイトを通じてユーザーにpermit承認を署名させます。ユーザーが署名した後、攻撃者は署名されたデータを取得し、攻撃者はトークンコントラクトのpermit関数を呼び出し、署名データを渡してブロードキャストし、トークンの承認額を取得し、ユーザーのトークンを盗みます。

ケース3:隠れたcreate2手法。create2は、開発者がコントラクトをEthereumネットワークにデプロイする前にコントラクトのアドレスを予測できるようにします。create2に基づいて、攻撃者は悪意のある署名ごとに一時的な新しいアドレスを生成できます。ユーザーに権限を与える署名を騙し取った後、攻撃者はこのアドレスにコントラクトを作成し、ユーザーの資産を移転します。空白のアドレスであるため、これらのアドレスはフィッシングプラグインやセキュリティ会社の監視警報を回避できるため、隠密性が非常に高く、ユーザーは簡単に引っかかります。

要するに、フィッシングサイトに対して、ユーザーはプロジェクトの公式ウェブサイトを事前に確認し、やり取りの過程で悪意のある署名リクエストがないか注意し、リカバリーフレーズや秘密鍵を提出する行為に警戒し、決してどこでもリカバリーフレーズや秘密鍵を漏らさないようにするべきです。

OKX Web3セキュリティチーム: 私たちは一般的なフィッシング手法を研究し、製品側で多次元の安全防護を提供しています。現在、ユーザーが直面している主要なフィッシング手法を簡単に共有します:

第一のタイプは、偽のエアドロップです。ハッカーは通常、被害者のアドレスに似たアドレスを生成し、ユーザーに小額の送金、0U送金、または偽のトークン送金のエアドロップを行います。このような取引はユーザーの取引履歴に表示され、ユーザーが誤って間違ったアドレスをコピー&ペーストすると、資産損失が発生します。このような攻撃に対して、OKX Web3ウォレットはその履歴取引を識別し、リスクマークを付け、ユーザーがそのアドレスに送金する際に安全リスクの警告を行います。

第二のタイプは、誘導署名です。通常、ハッカーは有名なプロジェクトのTwitter、Discord、TGなどの公共の場でコメントを行い、偽のDeFiプロジェクトのウェブサイトやエアドロップのウェブサイトを投稿し、ユーザーをクリックさせて資産を盗みます。SlowMistが言及したeth_sign、permit、create2などの署名フィッシングに加えて、以下のような手法もあります:

手法1:直接送金してメインチェーンのトークンを盗む。ハッカーは悪意のあるコントラクト関数にClaim、SecurityUpdateなどの誘導的な名前を付けることが多く、実際の関数ロジックは空で、ユーザーのメインチェーンのトークンを移転するだけです。現在、OKX Web3ウォレットは事前実行機能を導入しており、取引がブロックチェーンに上がった後の資産変動や承認変動を表示し、ユーザーに安全リスクの警告を行います。

手法2:オンチェーン承認。ハッカーは通常、ユーザーにapprove / increaseAllowance / decreaseAllowance / setApprovalForAll取引に署名させるように誘導します。この取引はハッカーが指定したアドレスにユーザーのトークン資産を移転することを許可し、ユーザーが署名した後、リアルタイムでユーザーのアカウントを監視し、対応する資産が入金されるとすぐに移転します。フィッシング者に対する安全防護プロセスは対抗手段であり、継続的なアップグレードプロセスでもあります。

ほとんどのウォレットはハッカーの承認アドレスに対して安全リスク検出を行いますが、攻撃者の攻撃手法も進化しています。例えば、create2の特性を利用して、攻撃者は新しいアドレスを事前に計算し、新しいアドレスは安全なブラックリストに存在しないため、簡単に安全検出を回避できます。攻撃者は魚がかかるのを待ってから、そのアドレスにコントラクトをデプロイし、ユーザーの資金を移転します。最近では、多くの攻撃者がユーザーにuniswap.multicallコントラクトへの承認を与えさせることがあり、このコントラクトは正規のプロジェクトのコントラクトであるため、安全製品の検出を回避できます。

手法3:権限変更。トロンの権限変更やソラナの権限変更などが含まれます。一つは、トロンの権限変更において、マルチシグはトロンチェーンの特性であり、多くのフィッシングサイトでは、フィッシング者がアカウントの権限を変更する取引を、送金の取引として偽装します。ユーザーが誤ってこの取引に署名すると、ユーザーのアカウントはマルチシグアカウントになり、ユーザーはそのアカウントの制御権を失います。もう一つは、ソラナの権限変更において、フィッシング者がSetAuthorityを通じてユーザーのトークンのATAアカウントのオーナーを変更します。ユーザーがこの取引に署名すると、そのATAアカウントのオーナーはフィッシング者になり、フィッシング者はユーザーの資産を取得します。

他の手法:また、プロトコル自体の設計メカニズムなどの問題により、フィッシング者に利用されやすいです。EthereumのミドルウェアプロトコルEigenLayerのqueueWithdrawal呼び出しは、他のアドレスをwithdrawerとして指定することを許可し、ユーザーがフィッシングに署名した取引です。7日後、指定されたアドレスがcompleteQueuedWithdrawalを通じてユーザーのステーキング資産を取得します。

第三のタイプは、リカバリーフレーズのアップロードです。攻撃者は通常、偽装されたエアドロッププロジェクトや偽の新規ツールを提供し、ユーザーに秘密鍵やリカバリーフレーズをアップロードさせるよう誘導します。具体的なケースは上記の通りです。また、時にはプラグインウォレットのポップアップとして偽装し、ユーザーにリカバリーフレーズをアップロードさせることもあります。

Q4:ホットウォレットとコールドウォレットの攻撃手法の違い

OKX Web3セキュリティチーム: ホットウォレットとコールドウォレットの違いは、秘密鍵の保存方法が異なることです。コールドウォレットの秘密鍵は通常オフラインで保存され、ホットウォレットは通常ネットワーク環境に保存されます。したがって、コールドウォレットとホットウォレットの安全リスクは異なります。ホットウォレットの安全リスクについては非常に包括的にカバーされているため、ここでは詳しく説明しません。

コールドウォレットの安全リスクは主に以下の通りです:

第一に、社会工学および物理的攻撃リスク、取引プロセスリスクです。社会工学および物理的攻撃リスクは、コールドウォレットが通常オフラインで保存されているため、攻撃者が社会工学的手法を用いて親族や友人を装い、コールドウォレットへのアクセス権を得る可能性があることを指します。

第二に、物理デバイスとして、損傷や紛失の可能性があります。取引プロセスリスクは、取引中にコールドウォレットが前述のさまざまなエアドロップや誘導署名などの攻撃手法に遭遇する可能性があることを指します。

Q5:冒頭で述べた「高価値のウォレット秘密鍵の贈与」以外に、どのような代替フィッシング罠がありますか?

SlowMistセキュリティチーム: はい、「高価値のウォレット秘密鍵を意図的に贈与する」というのは非常に古典的なケースであり、数年前から存在していますが、今でも人々は騙されることがあります。この詐欺は、詐欺師が意図的に秘密鍵やリカバリーフレーズを漏らし、あなたがそれをウォレットに導入した後、攻撃者があなたのウォレットを常に監視し、あなたがETHを移入するとすぐにそれを移転させるというものです。この手法は、ユーザーの小さな利益を得ようとする心理を利用しています。導入する人が多ければ多いほど、手数料が高くなり、損失が増えます。

次に、一部のユーザーは「私は攻撃されるほどの価値がない」と考えることがあります。このような防御が低い心態は、ユーザーを攻撃に対して脆弱にします。誰の情報(電子メール、パスワード、銀行情報など)も攻撃者にとっては価値があります。中には、ゴミメールのリンクをクリックしなければ脅威にさらされないと考えるユーザーもいますが、フィッシングメールの中には画像や添付ファイルを通じて悪意のあるソフトウェアを埋め込むものもあります。

最後に、「安全」については客観的な認識が必要です。それは、絶対的な安全は存在しないということです。ましてや、ネットフィッシング攻撃の手法は多様化しており、進化も非常に速いです。皆さんは常に学び続け、自分の安全意識を高めることが最も信頼できる方法です。

OKX Web3セキュリティチーム: 第三者のフィッシング罠を防ぐことは確かに複雑な問題です。フィッシング者はしばしば人々の心理的弱点や一般的な安全の不注意を利用します。多くの人は普段は非常に慎重ですが、突然の「大きな利益」に出会ったとき、警戒心を緩め、自分の貪欲さを拡大してしまい、結果的に騙されることになります。このプロセスでは、人間の弱点が技術よりも大きくなり、どんなに多くの安全手段があっても、ユーザーは短期的にそれを無視し、後になって振り返ると、自分がすでに騙されていたことに気づくでしょう。「世の中に無料の昼食はない」ということを常に意識し、警戒心を高め、安全リスクに注意を払うことが特に重要です。特にブロックチェーンという暗い森の中では。

Q6:ユーザーに対する秘密鍵の安全性向上の提案

SlowMistセキュリティチーム: この質問に答える前に、一般的な攻撃がどのようにユーザーの資産を盗むかを整理しましょう。攻撃者は通常、以下の2つの方法でユーザーの資産を盗みます:

方法1:ユーザーに対して悪意のある取引データに署名させることを騙す。例えば、ユーザーに資産を攻撃者に承認または移転させるように騙す。

方法2:悪意のあるウェブサイトやアプリでユーザーにウォレットのリカバリーフレーズを入力させることを騙す。例えば、ユーザーを偽のウォレットページに誘導し、リカバリーフレーズを入力させることです。

攻撃者がどのようにウォレット資産を盗むかを理解したら、私たちは可能なリスクに対して防御を行う必要があります:

防御1:見たものに署名することをできるだけ実現する。ウォレットはWeb3の世界への鍵であり、ユーザーのやり取りで最も重要なのは盲目的な署名を拒否することです。署名の前に署名データを識別し、自分が署名する取引が何であるかを理解しなければなりません。そうでなければ、署名を放棄してください。

防御2:卵を一つのバスケットに入れない。異なる資産や使用頻度に基づいてウォレットを階層的に管理し、資産のリスクを制御可能にします。エアドロップなどの活動に参加するウォレットは使用頻度が高いため、小額の資産を保管することをお勧めします。大額の資産は一般的に頻繁に使用されないため、コールドウォレットに保管し、使用する際にはネットワーク環境と物理環境が安全であることを確認してください。可能であれば、ハードウェアウォレットを使用することをお勧めします。ハードウェアウォレットは通常、リカバリーフレーズや秘密鍵を直接エクスポートできないため、リカバリーフレーズや秘密鍵が盗まれるハードルを高めることができます。

防御3:さまざまなフィッシング手法や事件が次々と発生しています。ユーザーはさまざまなフィッシング手法を自ら識別し、安全意識を高め、自己教育を行い、騙されないようにし、自己救済能力を身につける必要があります。

防御4:急がず、貪らず、多方面で確認することです。また、ユーザーがより包括的な資産管理ソリューションを理解したい場合は、SlowMistが提供する『暗号資産安全ソリューション』を参考にし、より多くの安全意識や自己教育を理解するためには『ブロックチェーン暗黒森林自己救済マニュアル』を参考にしてください。

OKX Web3セキュリティチーム: 秘密鍵はウォレットの暗号資産にアクセスし、制御するための唯一の証明書であるため、ウォレット秘密鍵の安全を保護することは非常に重要です。

防御1:あなたのDAppを理解する。オンチェーンDeFi投資を行う際には、使用するDAppを全方位で理解し、偽のDAppにアクセスして資産損失を防ぐ必要があります。私たちOKX Web3ウォレットはDAppに対してさまざまな戦略のリスク検出と警告を行っていますが、攻撃者は攻撃手法を継続的に更新し、安全リスク検出を回避します。ユーザーは投資する際には目を光らせる必要があります。

防御2:あなたの署名を理解する。ユーザーがオンチェーン取引に署名する際には、取引を確認し、取引の詳細を理解する必要があります。理解できない取引には慎重になり、盲目的に署名しないでください。OKX Web3ウォレットはオンチェーン取引およびオフライン署名を解析し、シミュレーション実行を行い、資産変動や承認変動の結果を表示します。ユーザーは取引前にこの結果に重点を置き、期待に合致しているかどうかを確認できます。

防御3:ダウンロードするソフトウェアを理解する。取引や投資を補助するソフトウェアをダウンロードする際には、公式プラットフォームからダウンロードしたことを確認し、ダウンロード後にはすぐにウイルス対策ソフトウェアでスキャンする必要があります。悪意のあるソフトウェアをダウンロードすると、トロイの木馬はスクリーンショットを撮ったり、クリップボードを監視したり、メモリをスキャンしたり、キャッシュファイルをアップロードしたりして、ユーザーのリカバリーフレーズや秘密鍵を取得します。

防御4:安全意識を高め、秘密鍵を適切に保管する。リカバリーフレーズや秘密鍵などの重要な情報をコピーしないようにし、スクリーンショットを撮らず、これらの情報を第三者のクラウドプラットフォームに保存しないようにします。

防御5:強力なパスワードとマルチシグ。パスワードを使用する際、ユーザーは可能な限りパスワードの複雑さを高め、ハッカーが秘密鍵の暗号化ファイルを入手した場合にそれを破るのを防ぐ必要があります。取引の際にマルチシグメカニズムがある場合は、必ずマルチシグを使用してください。これにより、一方のリカバリーフレーズや秘密鍵が漏洩しても、全体の取引に影響を与えません。

ChainCatcherは、広大な読者の皆様に対し、ブロックチェーンを理性的に見るよう呼びかけ、リスク意識を向上させ、各種仮想トークンの発行や投機に注意することを提唱します。当サイト内の全てのコンテンツは市場情報や関係者の見解であり、何らかの投資助言として扱われるものではありません。万が一不適切な内容が含まれていた場合は「通報」することができます。私たちは迅速に対処いたします。
banner
チェーンキャッチャー イノベーターとともにWeb3の世界を構築する