ブロックチェーン暗い森セルフガードハンドブック

835 0 4

(出典:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)

プロローグ

まず最初に、このハンドブックを見つけていただきありがとうございます。あなたが誰であっても、あなたが暗号通貨保有者である場合、または将来暗号通貨の世界に飛び込みたいと考えている場合、このハンドブックは大いに役立ちます。このハンドブックをよく読み、その教えを実生活に適用してください。

さらに、このハンドブックを完全に理解するには、ある程度の背景知識が必要です。ただし、ご安心ください。初心者の場合、知識の壁を恐れる必要はありません。克服できるものです。理解できない点があり、さらに詳しく調べる必要がある場合は、Google を強くお勧めします。また、セキュリティルールの 1 つを念頭に置くことが重要です。それは、懐疑的になることです。 Web 上でどのような情報を閲覧する場合でも、相互参照のために常に少なくとも 2 つのソースを探す必要があります。

Again, always be skeptical 🙂 including the knowledge mentioned in this handbook.

ブロックチェーンは生産関係に変化をもたらし、信頼の問題をある程度解決する素晴らしい発明です。具体的には、ブロックチェーンは、不変性、合意どおりの実行、否認の防止など、集中管理やサードパーティを必要とせずに多くの「信頼」シナリオを作成します。しかし、現実は残酷です。ブロックチェーンについては多くの誤解があり、悪者はこれらの誤解を利用して抜け穴を悪用し、人々からお金を盗み、多大な経済的損失を引き起こします。今日、暗号通貨の世界はすでに暗い森と化しています。

ブロックチェーンの暗い森を生き抜くために、次の 2 つのセキュリティルールを覚えておいてください。

ゼロトラスト: 簡単に言えば、懐疑的であり続け、常にそうあり続けることです。
継続的なセキュリティ検証: 何かを信頼するには、疑っていることを検証し、検証することを習慣にする必要があります。

注: 上記の 2 つのセキュリティルールは、このハンドブックの中核となる原則であり、このハンドブックで言及されている他のセキュリティ原則はすべてそれらから派生しています。

さて、紹介はこれで終わりです。まずは図を見て、この暗い森を探索して、どのようなリスクに遭遇するのか、そしてそれらにどのように対処すべきかを見てみましょう。

図

ハンドブックの残りの部分を詳しく見る前に、この図にざっと目を通すことができます。これはすべて、この世界の主要なアクティビティ (ブロックチェーン、暗号通貨、または Web3 など、呼びたいものは何でも) に関するものであり、ウォレットの作成、ウォレットのバックアップ、ウォレットの使用という 3 つの主要なプロセスで構成されます。

これら 3 つのプロセスに従い、それぞれを分析してみましょう。

ウォレットを作成する

ウォレットの中核は秘密キー (またはシードフレーズ) です。

秘密キーは次のようになります。

0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584

さらに、シードフレーズは次のようになります。

残酷な週末のスパイクポイント無邪気なめまいエイリアンの使用は小屋を呼び起こす間違った調整

注: ここでは例としてイーサリアムを使用しています。秘密鍵/シードフレーズの詳細については、ご自身でご確認ください。

秘密キーはあなたの識別情報です。秘密キーを紛失または盗難された場合は、身元を失ったことになります。有名なウォレットアプリケーションは数多くありますが、このハンドブックではそのすべてをカバーすることはできません。

ただし、いくつかの具体的なウォレットについて説明します。ここで言及したウォレットはある程度信頼できることに注意してください。ただし、予想されるかどうかにかかわらず、使用中にセキュリティ上の問題やリスクがまったくないことを保証することはできません (これ以上は繰り返しません。プロローグで述べた 2 つの主要なセキュリティルールを常に念頭に置いてください)。

用途別に分類すると、PCウォレット、ブラウザ拡張ウォレット、モバイルウォレット、ハードウェアウォレット、ウェブウォレットがあります。インターネット接続に関しては、主にコールドウォレットとホットウォレットに分類できます。暗号通貨の世界に飛び込む前に、まずウォレットの目的について考える必要があります。目的は、どのウォレットを使用するかだけでなく、ウォレットの使用方法も決定します。

どのような種類の財布を選ぶとしても、一つだけ確かなことは、この世界で十分な経験を積むと、財布は 1 つだけでは不十分だということです。

ここで、もう 1 つのセキュリティ原則を念頭に置く必要があります。分離、つまり、すべての卵を 1 つのカゴに入れないでください。ウォレットは頻繁に使用されるほど、リスクが高くなります。常に覚えておいてください。何か新しいことに挑戦するときは、まず別の財布を用意し、少額のお金でしばらく試してください。私のような仮想通貨のベテランでも、火遊びをすると火傷をしやすくなります。

ダウンロード

これは簡単そうに聞こえますが、実際には簡単ではありません。その理由は次のとおりです。

多くの人は本物の公式 Web サイトや適切なアプリケーションマーケットを見つけることができず、最終的に偽のウォレットをインストールしてしまいます。
ダウンロードしたアプリケーションが改ざんされているかどうかを確認する方法がわからない人も多いでしょう。

したがって、多くの人にとって、ブロックチェーンの世界に入る前に、財布はすでに空になっています。

上記の最初の問題を解決するには、次のような正しい公式 Web サイトを見つけるためのテクニックがいくつかあります。

Googleを使用して
CoinMarketCap などの有名な公式 Web サイトを使用する
信頼できる人や友人に尋ねる

これらのさまざまな情報源から得た情報を相互参照できますが、最終的に真実は 1 つだけです:) おめでとうございます。正しい公式 Web サイトが見つかりました。

次に、アプリケーションをダウンロードしてインストールする必要があります。 PCウォレットなら, 公式サイトからダウンロード後、自分でインストールする必要があります。インストール前に、リンクが改ざんされていないかどうかを確認することを強くお勧めします。この検証により、ソースコードが完全に改ざんされた場合（インサイダー詐欺や内部ハッキング、公式サイトがハッキングされた可能性等）を防ぐことはできませんが、ソースコードの部分的な改ざんなどは防ぐことができますが、中間者攻撃など。

ファイルが改ざんされているかどうかを確認する方法は、ファイルの整合性チェックです。通常、次の 2 つの方法があります。

ハッシュチェック: MD5、SHA256 など。MD5 はほとんどの場合に機能しますが、ハッシュ衝突のリスクがわずかにあるため、通常は十分に安全な SHA256 を選択します。
GPG署名の検証: この方法も非常に人気があります。 GPG ツール、コマンド、メソッドをマスターすることを強くお勧めします。この方法は初心者にとっては少し難しいですが、慣れれば非常に便利です。

しかし、暗号通貨の世界には検証を提供するプロジェクトはそれほど多くありません。したがって、見つけることができれば幸運です。たとえば、ここに Sparrow Wallet というビットコインウォレットがあります。ダウンロードページには「リリースの確認」と書かれていますが、これは非常に印象的です。また、上記の両方の方法について明確なガイドラインがあるため、参照として使用できます。

https://sparrowwallet.com/download/

ダウンロードページには、次の 2 つの GPG ツールが記載されています。

GPG スイート、MacOS 用。
GPG4win、Windows用。

注意してみると、両方の GPG ツールのダウンロードページに、両方の方法の一貫性をチェックする方法に関する手順が記載されていることがわかります。ただし、段階的なガイドはありません。つまり、自分で学び、練習する必要があります:)

ブラウザ拡張機能ウォレットの場合、MetaMask など、Chrome ウェブストアでのダウンロード数と評価のみに注意する必要があります。たとえば、MetaMask は 1,000 万以上のダウンロードと 2,000 件以上の評価を獲得しています (ただし、全体的な評価は高くありません)。ダウンロード数や評価が水増しされているのではないかと考える人もいるかもしれません。実を言うと、これほど多くの数字を偽造するのは非常に困難です。

モバイルウォレット ブラウザ拡張機能ウォレットに似ています。ただし、App Store には地域ごとにバージョンが異なることに注意してください。暗号通貨は中国本土では禁止されているため、中国の App Store アカウントでウォレットをダウンロードした場合、提案は 1 つだけです。それは使用せず、米国などの別の地域の別のアカウントに変更してから再ダウンロードすることです。それ。さらに、正しい公式 Web サイトは、正しいダウンロード方法 (imToken、Trust Wallet など) にもつながります。公式 Web サイトでは、Web サイトの高いセキュリティを維持することが重要です。公式 Web サイトがハッキングされた場合、大きな問題が発生します。）。

ハードウェアウォレットの場合、公式サイトから購入することを強くお勧めします。オンラインストアからは購入しないでください。財布を受け取ったら、財布が壊れていないかどうかにも注意を払う必要があります。もちろん、パッケージには発見するのが難しいいくつかのいたずらがあります。いずれの場合も、ハードウェアウォレットを使用する場合は、シードフレーズとウォレットアドレスを最初から少なくとも3回作成する必要があります。そして、それらが繰り返されないように注意してください。

ウェブウォレットの場合、使用しないことを強くお勧めします。やむを得ない場合を除き、本物であることを確認してから慎重に使用し、決して依存しないでください。

ニーモニックフレーズ

ウォレットを作成した後、私たちが直接扱う重要なことは、覚えやすい秘密キーではなく、ニーモニックフレーズ/シードフレーズです。ニーモニックフレーズには標準的な規約があります (BIP39 など)。一般に英語の単語は 12 個あります。他の数字 (3 の倍数) も可能ですが、24 ワード以内です。そうしないと、複雑すぎて覚えるのが簡単ではありません。単語数が 12 語未満の場合、セキュリティは信頼できません。 12/15/18/21/24 という単語がよく見られます。ブロックチェーンの世界では、12 ワードが人気があり、十分に安全ですが、Ledger のような 24 ワードで始まる本格的なハードウェアウォレットもまだ存在します。英語の単語に加えて、中国語、日本語、韓国語などの他の言語も利用できます。参考までに 2048 語のリストを示します。

https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md

ウォレットを作成するとき、シードフレーズは脆弱です。シードフレーズを盗む可能性のある人やウェブカメラ、その他のものに囲まれていないことに注意してください。

また、シードフレーズがランダムに生成されるかどうかにも注目してください。通常、よく知られているウォレットは、十分な数のランダムなシードフレーズを生成できます。ただし、常に注意する必要があります。財布に問題があるかどうかを知るのは困難です。安全のためにこれらの習慣を身につけておくことは非常に有益であるため、辛抱強く待ちましょう。最後に、特にウォレットをコールドウォレットとして使用する場合は、ウォレットを作成するためにインターネットから切断することも検討できます。インターネットからの切断は常に機能します。

キーレス

キーレスとは、秘密鍵がないことを意味します。ここでは、キーレスを 2 つの主要なシナリオに分けます (説明を容易にするため。このような分け方は業界標準ではありません)。

保管。例としては、集中型取引所やウォレットが挙げられます。これらの場合、ユーザーはアカウントを登録するだけで済み、秘密キーを所有する必要はありません。彼らのセキュリティは、これらの集中プラットフォームに完全に依存しています。
非保管者。ユーザーは、実際の秘密キー (またはシードフレーズ) ではない、秘密キーのような制御権限を持っています。ホスティングと認証/認可はよく知られたクラウドプラットフォームに依存しています。したがって、クラウドプラットフォームのセキュリティは最も脆弱な部分になります。安全なマルチパーティコンピューティング (MPC) を利用して単一リスクを排除し、人気のあるクラウドプラットフォームと提携してユーザーエクスペリエンスを最大化している企業もあります。

私自身、さまざまな種類のキーレスツールを使用してきました。豊富な資金と高い評判を備えた集中型取引所は、最高のエクスペリエンスを提供します。トークンの紛失に対して個人的な責任がない限り（アカウント情報がハッキングされた場合など）、通常は集中型取引所が損失を補償します。 MPC ベースのキーレスプログラムは非常に有望であるため、推進する必要があります。私はZenGo、Fireblocks、Safeheronについて良い経験を持っています。利点は明らかです。

MPC アルゴリズムエンジニアリングは、有名なブロックチェーン上でますます成熟しており、秘密キーに対してのみ実行する必要があります。
1 つのアイデアで、大きく異なるマルチシグネチャスキームを持つさまざまなブロックチェーンの問題を解決し、一貫したユーザーエクスペリエンス (私たちがよく呼ぶところの「ユニバーサルマルチシグネチャ」) を生み出すことができます。
本物の秘密キーが決して出現しないようにし、複数署名の計算を通じて単一点のリスクを解決できます。
クラウド (または Web2.0 テクノロジー) と組み合わせると、MPC は安全になるだけでなく、優れたエクスペリエンスも生み出します。

ただし、まだいくつかの欠点があります。

すべてのオープンソースプロジェクトが業界で受け入れられている標準を満たすことができるわけではありません。さらなる作業が必要です。
多くの人は基本的にイーサリアム（またはEVMベースのブロックチェーン）のみを使用します。したがって、Gnosis Safe のようなスマートコントラクトアプローチに基づくマルチシグネチャソリューションで十分です。

全体として、どのツールを使用しても、安全で制御可能であると感じ、良好な経験を積んでいる限り、それは良いツールです。

ここまでウォレットの作成に関して注意すべき点について説明してきました。その他の一般的なセキュリティ問題については、後のセクションで説明します。

ウォレットをバックアップする

私を含め、多くの善良な人々が罠に陥るのはここです。適切にバックアップをしていなかったので、遅かれ早かれそうなることは分かっていました。幸いなことに、それは多額の資産が入った財布ではなかったので、SlowMistの友人がそれを取り戻すのを手伝ってくれました。それでも、それは誰も経験したくないと思う恐ろしい経験でした。それでは、バックルを締めて、ウォレットを安全にバックアップする方法を学びましょう。

ニーモニックフレーズ / 秘密鍵

ウォレットのバックアップについて話すとき、私たちは基本的にニーモニックフレーズ (または秘密キー。便宜上、以下ではニーモニックフレーズを使用します) のバックアップについて話します。ほとんどのニーモニックフレーズは次のように分類できます。

プレーンテキスト
パスワードあり
マルチシグネチャ
シャミールの秘密共有、略して SSS

それぞれの種類について簡単に説明していきます。

プレーンテキスト, プレーンテキストは理解しやすいです。これら 12 個の英単語を取得したら、ウォレット内の資産を所有したことになります。特別なシャッフルを行ったり、単語の 1 つを別の単語に置き換えたりすることもできます。どちらもハッカーによるウォレットへのハッキングの難易度を高めますが、ルールを忘れると大きな頭痛の種になるでしょう。あなたの記憶は完璧ではありません。信じてください、あなたの記憶は数年後には混乱します。数年前、Ledger ハードウェアウォレットを使用したとき、24 単語のニーモニックフレーズの順序を変更しました。数年経つと順番を忘れてしまい、何か言葉を置き換えたかどうかもわかりませんでした。前述したように、私の問題は、ブルートフォースを使用して正しいシーケンスと単語を推測する特別なコードブレーカープログラムで解決されました。

パスワードあり, 規格によれば、ニーモニックフレーズにはパスワードを付けることができます。同じフレーズですが、パスワードを使用すると、別のシードフレーズが取得されます。シードフレーズは、一連の秘密キー、公開キー、および対応するアドレスを導出するために使用されます。したがって、ニーモニックフレーズだけでなく、パスワードもバックアップする必要があります。ちなみに、秘密鍵にはパスワードを付けることもでき、ビットコインのBIP 38やイーサリアムのキーストアなど、独自の規格があります。

マルチ署名, 名前のとおり、ウォレットにアクセスするには複数人の署名が必要です。独自のルールを設定できるため、非常に柔軟です。たとえば、キー (ニーモニックワードまたは秘密キー) を持っている人が 3 人いる場合、ウォレットにアクセスするには少なくとも 2 人の署名を要求できます。各ブロックチェーンには独自のマルチ署名ソリューションがあります。ほとんどのよく知られたビットコインウォレットはマルチシグネチャをサポートしています。ただし、イーサリアムでは、マルチ署名は主に Gnosis Safe などのスマートコントラクトを通じてサポートされています。さらに、MPC (Secure Multi-Party Computation) の人気が高まっています。これは、従来のマルチシグネチャに似たエクスペリエンスを提供しますが、テクノロジーは異なります。マルチ署名とは異なり、MPC はブロックチェーンに依存せず、すべてのプロトコルで動作します。

SSS、Shamir's Secret Sharing、SSS はシードを複数のシェアに分割します (通常、各シェアには 20 ワードが含まれます)。ウォレットを回復するには、指定された数のシェアを収集して使用する必要があります。詳細については、以下の業界のベストプラクティスを参照してください。

https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup

マルチシグネチャや SSS などのソリューションを使用すると、安心感が得られ、単一点リスクを回避できますが、管理が比較的複雑になる可能性があり、場合によっては複数の関係者が関与することになります。利便性とセキュリティの間には常に妥協が必要です。決めるのは個人ですが、原則として決して怠けてはいけません。

暗号化

暗号化は非常に幅広い概念です。暗号化が対称か非対称か、または他の高度なテクノロジーを使用しているかは関係ありません。暗号化されたメッセージが、何十年も経ってもあなたや緊急対応チームだけではなく誰にも簡単に復号化できない限り、それは優れた暗号化です。

「ゼロトラスト」のセキュリティ原則に基づいて、ウォレットをバックアップするときは、金庫などの物理環境を含むあらゆる段階がハッキングされる可能性があることを想定する必要があります。自分以外に完全に信頼できる人はいないということを心に留めておいてください。実際、記憶が薄れたり、行方不明になったりして、自分自身を信頼できなくなることもあります。ただし、常に悲観的な仮定を立てるつもりはありません。そうしないと、望ましくない結果が生じる可能性があります。

バックアップするときは、災害復旧について特別な考慮を払う必要があります。災害復旧の主な目的は、単一点のリスクを回避することです。あなたがいなくなったり、バックアップを保存する環境がダウンしたりした場合はどうなりますか?したがって、重要なものについては、災害復旧担当者が必要であり、複数のバックアップが必要です。

災害復旧担当者の選び方については、誰を信頼するかによって決まるため、詳しくは説明しません。マルチバックアップの方法に焦点を当てます。バックアップ場所の基本的な形式をいくつか見てみましょう。

雲
紙
デバイス
脳

雲, 多くの人はクラウド上のバックアップを信頼しておらず、クラウドはハッカーの攻撃に対して脆弱であると考えています。結局のところ、攻撃側と防御側のどちらが人材と予算の両方でより多くの労力を費やすかがすべてです。個人的に、私は Google、Apple、Microsoft などのクラウドサービスを信頼しています。なぜなら、Google、Apple、Microsoft などのセキュリティチームがどれほど強力で、セキュリティにどれだけの費用を費やしているかを知っているからです。外部のハッカーと戦うことに加えて、私は内部のセキュリティリスク管理と個人データの保護にも非常に気を配っています。私が信頼している数少ないサービスプロバイダーは、これらの分野で比較的良い仕事をしています。しかし、絶対的なものはありません。重要なデータ (ウォレットなど) をバックアップするためにこれらのクラウドサービスのいずれかを選択する場合は、少なくとももう一度ウォレットを必ず暗号化します。

GPGをマスターすることを強くお勧めします。「署名検証」にも使用でき、その間の暗号化と復号化の強力なセキュリティを提供します。 GPG について詳しくは、以下をご覧ください。

https://www.ruanyifeng.com/blog/2013/07/gpg.html

Okay, you have mastered GPG 🙂 Now that you have encrypted related data in your wallet (mnemonic phrase or private key) with GPG in an offline secured environment, you can now throw the encrypted files directly into these cloud services and save it there. All will be good. But I need to remind you here: never lose the private key to your GPG or forget the password of the private key…

この時点で、この追加のセキュリティレベルが非常に面倒であることがわかるかもしれません。GPG について学習し、GPG 秘密キーとパスワードをバックアップする必要があります。実際には、前述の手順をすべて実行していれば、プロセスにはすでに慣れており、それほど難しくも面倒にも感じないでしょう。練習すれば完璧になるので、これ以上は言いません。

労力を節約したい場合は、別の方法もありますが、セキュリティが犠牲になる可能性があります。正確な割引額を測定することはできませんが、よく知られたツールを使用して支援するのが面倒になることがあります。そのツールが1Passwordです。 1Password の最新バージョンでは、ニーモニックワード、パスワード、ウォレットアドレスなどのウォレット関連データの直接保存がすでにサポートされており、ユーザーにとって便利です。他のツール (Bitwarden など) も同様のことを実現できますが、それほど便利ではありません。

紙, 多くのハードウェアウォレットには、ニーモニックフレーズ (プレーンテキスト、SSS など) を書き留めることができる数枚の高品質の紙カードが付属しています。紙の他に鋼板（耐火性、耐水性、耐食性に優れたもの。もちろん試したことはありません）を使う人もいます。ニーモニックフレーズをコピーしてテストし、問題がなければ、金庫などの安全な場所に保管します。私は個人的に紙を使うことが大好きです。適切に保管すれば、紙は電子機器よりもはるかに寿命が長いからです。

デバイス, あらゆる種類の機器を指します。個人の好みに応じて、コンピュータ、iPad、iPhone、ハードドライブなどの電子機器がバックアップに使用されるのが一般的です。デバイス間の安全な通信についても考慮する必要があります。 AirDrop や USB など、仲介者によるプロセスのハイジャックが難しいピアツーピア方式を使用することに抵抗はありません。電子機器は数年後に故障するのではないかと不安になるので、少なくとも年に一度は機器をチェックする習慣を続けています。いくつかの繰り返しの手順 (暗号化など) があり、「クラウド」セクションを参照してください。

脳, 自分の記憶に頼るのは刺激的です。実は、誰もが自分だけの「記憶の宮殿」を持っているのです。記憶力は神秘的なものではなく、より良く機能するように訓練することができます。確かに、記憶があったほうが安全なものもあります。脳だけに頼るかどうかは個人の選択です。ただし、2 つのリスクに注意してください。1 つは、時間の経過とともに記憶が薄れ、混乱を引き起こす可能性があることです。もう 1 つのリスクは、事故に遭う可能性があることです。ここでやめて、さらに詳しく調べてみましょう。

これで全員がバックアップされました。暗号化しすぎないでください。そうしないと、数年後に自分自身が苦しむことになります。「継続的検証」のセキュリティ原則によれば、暗号化とバックアップの方法は、過剰かどうかにかかわらず、定期的およびランダムの両方で継続的に検証する必要があります。検証の頻度は記憶力に依存しますが、プロセス全体を完了する必要はありません。プロセスが正しい限り、部分的な検証も機能します。最後に、認証プロセスの機密性とセキュリティにも注意を払う必要があります。

Okay, let’s take a deep breath here. Getting started is the hardest part. Now that you are ready, let’s enter this dark forest 🙂

ウォレットの使い方

ウォレットを作成してバックアップしたら、本当の課題が始まります。資産を頻繁に移動しない場合、または最近頻繁に言及される人気のある用語である DeFi、NFT、GameFi、または Web3 のスマートコントラクトをほとんど操作しない場合、資産は比較的安全であるはずです。

AML

ただし、「比較的安全」とは「まったくリスクがない」という意味ではありません。だって「明日が先か、事故が先か、どっちが先か分からない」ですよね？それはなぜです？考えてみてください、暗号通貨をどこで入手しましたか?それはどこからともなく現れたわけではありませんよね？入手したすべての暗号通貨では、いつでも AML (マネーロンダリング対策) に遭遇する可能性があります。これは、あなたが現在保有している暗号通貨が汚れている可能性があり、運が悪いとチェーン上で直接凍結される可能性さえあることを意味します。公開報道によると、テザーは法執行機関からの要請に応じて一部のUSDT資産を凍結したことがある。凍結された資金のリストはここでご覧いただけます。

https://dune.xyz/phabc/usdt—banned-addresses

アドレスが Tether によって凍結されているかどうかは、USDT 契約から確認できます。

https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract

対象のウォレットのアドレスを int isBlackListed の入力として使用して確認します。 USDT を使用する他のチェーンにも同様の検証方法があります。

ただし、BTC と ETH は決して凍結されるべきではありません。いつかこれが実現すれば、地方分権の信念も崩壊するだろう。今日私たちが聞いた暗号通貨資産の凍結事件のほとんどは、実際には集中プラットフォーム（Binance、Coinbaseなど）で発生しましたが、ブロックチェーン上では発生しませんでした。仮想通貨が集中型 Exchange プラットフォームに留まっている場合、実際には仮想通貨を所有しているわけではありません。集中プラットフォームがあなたのアカウントを凍結すると、実際には取引や引き出しの許可が取り消されることになります。凍結という概念は、この分野の初心者にとって誤解を招く可能性があります。その結果、一部の無謀なセルフメディアがビットコインに関するあらゆる種類の陰謀論を広めることになります。

BTC および ETH 資産はブロックチェーン上で凍結されませんが、資産がこれらのプラットフォームに転送され、法執行機関が取り組んでいる未解決の事件に関与すると、中央取引所は AML の要件に従って資産を凍結する可能性があります。

AML の問題をより適切に回避するには、取引相手として常に評判の良いプラットフォームと個人を選択してください。実際、この種の問題にはいくつかの解決策があります。たとえば、イーサリアムでは、ほぼすべての悪者やプライバシーを非常に気にする人々がコイン混合に Tornado Cash を使用します。ここでのほとんどの方法は悪を行うために使用されているため、このトピックについてはこれ以上掘り下げません。

コールドウォレット

コールドウォレットにはさまざまな使用方法があります。ウォレットの観点から見ると、ネットワークに接続されていない限り、コールドウォレットとみなすことができます。しかし、オフラインのときにどうやって使用するのでしょうか?まず、仮想通貨を受け取りたいだけであれば、それは大したことではありません。コールドウォレットは、imToken、Trust Wallet などのウォッチ専用ウォレットと連携することで優れたエクスペリエンスを提供できます。これらのウォレットは、ターゲットウォレットアドレスを追加するだけでウォッチ専用ウォレットに変えることができます。

コールドウォレットを使用して暗号通貨を送信する場合、最も一般的に使用される方法は次のとおりです。

QRコード
USB
ブルートゥース

これらはすべて、コールドウォレットと連携する専用のアプリ（ここではライトアプリと呼ばれます）が必要です。 Light アプリは、前述の Watch 専用ウォレットとともにオンラインになります。根底にある本質的な原理を理解すれば、これらのアプローチを理解できるはずです。重要な原則は、最終的には、署名されたコンテンツをブロックチェーン上にブロードキャストする方法を見つけ出すだけの問題であるということです。詳細なプロセスは次のとおりです。

署名されるコンテンツは、ライトアプリから次のいずれかの方法でコールドウォレットに送信されます。
署名は秘密キーを持つコールドウォレットによって処理され、同じ方法で Light アプリに送信されます。
ライトアプリは、署名されたコンテンツをブロックチェーン上でブロードキャストします。

したがって、QR コード、USB、Bluetooth のいずれの方法を使用する場合でも、上記のプロセスに従う必要があります。もちろん、詳細は方法によって異なる場合があります。例えばQRコードは情報量が限られているため、署名データが大きすぎる場合は分割する必要があります。

少し面倒に思えますが、慣れれば大丈夫です。完全な安心感さえ感じるでしょう。ただし、100% が安全であるとは考えないでください。ここにはまだリスクがあり、これらのリスクのために多額の損失が発生したケースが数多くあります。リスクポイントは次のとおりです。

コインの転送先アドレスの確認が不十分であったため、コインが他人に転送されてしまいました。人々は時々、怠惰で不注意になります。たとえば、ほとんどの場合、アドレス全体を完全にチェックするのではなく、ウォレットアドレスの最初と最後の数ビットのみをチェックします。これにより、悪者へのバックドアが残されます。彼らはプログラムを実行して、目的のターゲットアドレスと同じ最初と最後の数ビットを持つウォレットアドレスを取得し、いくつかのトリックを使用してコイン転送ターゲットアドレスを彼らの管理下にあるアドレスに置き換えます。
コインは未知のアドレスに認可されます。通常、承認はイーサリアムスマートコントラクトトークンのメカニズムである「承認」関数であり、1 つの引数はターゲット承認アドレス、もう 1 つは数量です。多くの人はこのメカニズムを理解していないため、ターゲットアドレスに無制限の数のトークンを承認する可能性があり、その時点でターゲットアドレスはそれらすべてのトークンを転送する権限を持ちます。これは公認コイン盗難と呼ばれ、この手法には他にもバリエーションがありますが、ここでは詳しく説明しません。
一見重要ではないように見えるいくつかの署名には、実は大きな罠が隠されています。ここでは詳しく説明しませんが、後で詳しく説明します。
コールドウォレットから必要な情報が十分に提供されず、不注意や判断ミスを引き起こす可能性があります。

それはすべて次の 2 つの点に要約されます。

「あなたが見たものはあなたが署名したものである」というユーザーインタラクションのセキュリティメカニズムが欠けています。
ユーザーに関する関連する背景知識の欠如。

ホットウォレット

コールドウォレットと比較すると、ホットウォレットには基本的にコールドウォレットが持つリスクがすべてあります。さらに、秘密フレーズ (または秘密鍵) が盗まれるリスクもあります。現時点では、ランタイム環境のセキュリティなど、ホットウォレットに関して考慮すべきセキュリティ上の問題がさらにあります。ランタイム環境にウイルスが関連付けられている場合、盗難される危険性があります。特定の脆弱性を備えたホットウォレットもあり、それによってシークレットフレーズが直接盗まれる可能性があります。

通常のコイン送金機能に加えて、他のDApps（DeFi、NFT、GameFiなど）と対話したい場合は、自分のブラウザで直接アクセスするか、PCブラウザで開いたDAppsと対話する必要があります。 WalletConnect プロトコル。

注: このハンドブックでの DApps の参照は、デフォルトでイーサリアムブロックチェーン上で実行されるスマートコントラクトプロジェクトを指します。

デフォルトでは、ウォレットのセキュリティ設計自体に問題がない限り、このようなやり取りが秘密フレーズの盗難につながることはありません。当社のセキュリティ監査とセキュリティ調査履歴から、ウォレットのシークレットフレーズがターゲットページ上の悪意のある JavaScript によって直接盗まれるリスクがあります。ただし、これはまれなケースであり、実際には、有名なウォレットが犯す可能性の低い非常に低レベルの間違いです。

これらは実際には私が実際に懸念していることではなく、私にとっては（そしてあなたにとっても）対処できるものです。私の最大の懸念/懸念は、よく知られたウォレットの反復ごとに、悪意のあるコードやバックドアが埋め込まれていないことをどのようにして保証するのかということです。この質問の意味するところは明らかです。現在のバージョンのウォレットにはセキュリティ上の問題がないことを確認し、快適に使用していますが、次のバージョンがどれほど安全かはわかりません。結局のところ、私または私のセキュリティチームには、すべての検証を行うのにそれほど多くの時間とエネルギーを置くことはできません。

CoPay、AToken など、ここで説明したような悪意のあるコードやバックドアによって引き起こされるコイン盗難のインシデントがいくつかあります。特定のインシデントを自分で検索することができます。

この場合、悪を行う方法はいくつかあります。

ウォレットが実行されると、悪意のあるコードが関連する秘密のフレーズをパッケージ化し、ハッカーが制御するサーバーに直接アップロードします。
ウォレットが実行され、ユーザーが送金を開始すると、ターゲットのアドレスや金額などの情報がウォレットのバックエンドで密かに置き換えられるため、ユーザーが気づきにくいです。
秘密のフレーズの生成に関連する乱数のエントロピー値を破壊し、比較的簡単に解読できるようにします。

セキュリティは無知と知識の問題であり、簡単に無視されたり見落とされたりする可能性のあるものがたくさんあります。したがって、重要な資産を保持するウォレットに対する私のセキュリティルールもシンプルです。使用するのに十分な場合は簡単に更新しないということです。

DeFiセキュリティとは何ですか

DApp について話すとき、それは DeFi、NFT、GameFi などになる可能性があります。これらのセキュリティの基本はほとんど同じですが、それぞれに特有の特徴があります。まずはDeFiを例に挙げて説明しましょう。 DeFi セキュリティについて話すとき、正確には何を意味するのでしょうか?業界の人々は、ほとんどの場合、スマートコントラクトのみに注目します。スマートコントラクトが良好であれば、すべてがうまくいくようです。まあ、実際には、これは真実とは程遠いです。

DeFi セキュリティには少なくとも次のコンポーネントが含まれます。

スマートコントラクトのセキュリティ
ブロックチェーン基盤のセキュリティ
フロントエンドセキュリティ
通信セキュリティ
人間の安全保障
経済的安全性
コンプライアンスセキュリティ

スマートコントラクトのセキュリティ

スマートコントラクトのセキュリティは確かにセキュリティ監査の最も重要なエントリポイントであり、SlowMist のスマートコントラクトのセキュリティ監査基準は次の場所にあります。

https://www.slowmist.com/service-smart-contract-security-audit.html

上級プレイヤーにとって、スマートコントラクト部分自体のセキュリティが制御可能であれば (自分自身を監査できるか、専門組織が発行するセキュリティ監査レポートを理解できるかどうか)、他の部分が安全かどうかは問題ではありません。制御可能というのは難しい概念であり、その一部はプレイヤー自身の強さに依存します。たとえば、プレイヤーには過剰なスマートコントラクト権限によるリスクに関して特定の要件があります。プロジェクト自体が強力で、その背後にいる人々の評判が良い場合は、完全な一元化は問題になりません。ただし、あまり知られていない、物議を醸している、または新興プロジェクトの場合、そのプロジェクトのスマートコントラクトに過度の許可リスクがあることに気付いた場合、特にそのような許可が元本や収益にも影響を与える可能性がある場合は、確実に消極的になるでしょう。

過剰な許可のリスクは非常に微妙です。多くの場合、プロジェクトの管理者が関連するガバナンスとリスク緊急事態を実施するための体制が整っています。しかし、ユーザーにとって、これは人間性が試されることになります。チームが悪を行うことにした場合はどうなりますか?したがって、業界では、過剰な許可のリスクを軽減するために Timelock を追加するというトレードオフの慣行が存在します。たとえば、次のとおりです。

Compound は確立されたよく知られた DeFi プロジェクトであり、コアのスマートコントラクトモジュールである Comptroller と Governance には、どちらも管理者権限にタイムロックメカニズムが追加されています。
監査官(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
ガバナンス(0xc0da02939e1441f497fd74f78ce7decb17b66529)
管理者はこれら 2 つのモジュールを使用します
タイムロック(0x6d903f6003cca6255d85cca4d3b5e5146dc33925)

タイムロック (遅延変数) が 48 時間 (172,800 秒) であることをチェーン上で直接確認できます。

つまり、Compound の管理者がターゲットのスマートコントラクトのいくつかの主要な変数を変更する必要がある場合、トランザクションはブロックチェーン上で開始された後に記録されますが、トランザクションが完了して実行されるまでには 48 時間待つ必要があります。これは、必要に応じて、管理者からすべての操作を監査でき、少なくとも 48 時間以内に対応できることを意味します。たとえば、確信が持てない場合は、48 時間以内に資金を引き出すことができます。

管理者の過剰な許可のリスクを軽減するもう 1 つの方法は、少なくとも独裁者が存在しないように、マルチシグ管理に Gnosis Safe を使用するなど、マルチシグネチャを追加することです。ここで注目すべきは、マルチシグは「皇帝の新しい服」となり得るということだ。たとえば、1 人が複数のキーを保持している場合があります。したがって、対象プロジェクトのマルチシグ戦略を明確に示す必要があります。誰がキーを保持しているのか、および各キー所有者の身元は信頼できるものでなければなりません。

ここで言及しておく価値があるのは、いかなる安全保障戦略も「皇帝の新しい服」の問題につながる可能性があり、戦略はよくできているように見えても実際はそうではなく、安全保障の幻想をもたらすということである。別の例を考えてみましょう。Timelock は紙の上ではうまく見えます。実際、一部のプロジェクトで導入されているTimelockにバックドアが仕込まれているケースもあります。一般に、ユーザーは Timelock のソースコードを調べませんし、たとえ調べたとしても必ずしも理解できるとは限らないため、管理者がそこにバックドアを設置し、十分な期間の間誰も気付かないでしょう。

過剰な許可のリスクに加えて、スマートコントラクトのセキュリティの他の要素も重要です。ただし、理解の前提条件を考慮して、ここでは詳しく説明しません。これが私のアドバイスです。少なくともセキュリティ監査レポートの読み方を学ぶべきです。練習すれば完璧になります。

ブロックチェーン基盤のセキュリティ

ブロックチェーン基盤のセキュリティとは、コンセンサス台帳のセキュリティ、仮想マシンのセキュリティなど、ブロックチェーン自体のセキュリティを指します。ブロックチェーン自体のセキュリティが懸念される場合、チェーン上で実行されているスマートコントラクトプロジェクトが直接的な影響を受けることになります。十分なセキュリティメカニズムと評判を備え、より長寿命の可能性が高いブロックチェーンを選択することが非常に重要です。

フロントエンドセキュリティ

フロントエンドのセキュリティはまさに悪魔です。ユーザーとの距離が近すぎるため、特にユーザーを騙しやすくなります。おそらく、誰もがウォレットとスマートコントラクトのセキュリティに主に焦点を当てているため、フロントエンドのセキュリティは見落とされがちです。フロントエンドのセキュリティは悪魔だということをもう一度強調したいと思います。さらに深く掘り下げさせてください。

フロントエンドのセキュリティに関する私の最大の懸念は、この特定のフロントエンドページから対話しているコントラクトが、期待しているスマートコントラクトであることをどのようにして確認できるのかということです。

この不安は主に次の 2 つの要因によるものです。

社内の仕事
第三者

内部の仕事を簡単に理解できます。たとえば、開発者は、フロントエンドページのターゲットスマートコントラクトアドレスを、バックドアのあるコントラクトアドレスに秘密裏に置き換えたり、認可フィッシングスクリプトを埋め込んだりします。この不正なフロントエンドページにアクセスすると、ウォレット内の暗号通貨に関係するその後の一連の操作が罠で実行される可能性があります。気が付くとコインがなくなってしまいます。

サードパーティとは主に次の 2 つのタイプを指します。

1 つは、依存関係チェーンが侵入していることです。たとえば、フロントエンドページで使用されるサードパーティの依存関係には、パッケージ化およびリリースとともにターゲットのフロントエンドページに侵入するバックドアがあります。以下は、SushiSwap のパッケージ依存構造です (説明のみを目的としており、スクリーンショットのプロジェクトにそのような問題があるとは限りません)。
もう 1 つの例は、フロントエンドページによってインポートされたサードパーティのリモート JavaScript ファイルです。この JavaScript ファイルがハッキングされた場合、OpenSea などの対象のフロントエンドページも影響を受ける可能性があります (説明のみのため、スクリーンショットのプロジェクトにそのような問題があるとは限りません)。

可能性はあるが確実ではないと述べた理由は、開発者が次の方法でフロントエンドページ上のサードパーティのリモート JavaScript ファイルを参照すると、リスクが軽減される可能性があるためです。

<script src=”https://example.com/example-framework.js” integrity=”sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″crossorigin=”anonymous”>

ここで重要な点は、HTML5 の優れたセキュリティメカニズムである、タグの integrity 属性 (SRI メカニズム) です。整合性は SHA256、SHA384、および SHA512 をサポートします。サードパーティの JavaScript ファイルがハッシュ整合性チェックを満たさない場合、ファイルはロードされません。これは、意図しないコードの実行を防ぐ良い方法となります。ただし、このメカニズムを利用するには、ターゲットリソースが CORS 応答をサポートしている必要があります。詳細については、以下を参照してください。

https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity

通信セキュリティ

このセクションでは、HTTPS セキュリティに焦点を当てましょう。まず、ターゲット Web サイトでは HTTPS を使用する必要があり、HTTP 平文送信は決して許可されるべきではありません。これは、HTTP 平文送信は中間者攻撃によって乗っ取られやすいためです。現在、HTTPS は安全な伝送プロトコルとして非常に一般的です。 HTTPS に対して中間者攻撃があり、攻撃者が Web アプリケーションのフロントエンドに悪意のある JavaScript を挿入した場合、明らかな HTTPS 証明書エラーの警告がユーザーのブラウザに表示されます。

この点を説明するために、MyEtherWallet 事件を例に挙げてみましょう。

MyEtherWallet はかつて非常に人気のある Web アプリケーションウォレットであり、現在でも非常によく知られています。しかし、それはもはや単なるウェブアプリケーションウォレットではありません。前述したように、セキュリティ上の理由から、Web アプリケーションウォレットの使用は強くお勧めしません。フロントエンドのセキュリティにおけるさまざまな問題に加えて、HTTPS ハイジャックも大きな潜在的なリスクです。

2018年4月24日、MyEtherWalletでHTTPSハイジャックという重大なセキュリティインシデントが発生しました。事件の概要は次のとおりです。

https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/

この攻撃では、ハッカーは、多数の MyEtherWallet ユーザーが使用する DNS サービス (Google Public DNS) を、古代のルーティングプロトコルである BGP 経由でハイジャックしました。これにより、すべてのユーザーがアクセスしようとしたときに、すべてのユーザーのブラウザに HTTPS エラーアラートが表示されることになりました。マイイーサウォレットのウェブサイト。実際、このアラートは基本的に対象の Web ページがハイジャックされたことを示しているため、ユーザーはこのアラートを見たときに停止する必要があります。しかし実際には、多くのユーザーは、HTTPS エラーアラートの背後にあるセキュリティリスクをまったく理解していなかったために、アラートをすぐに無視し、ハイジャックされたサイトとのやり取りを続行していました。

ターゲットの Web ページがハイジャックされ、ハッカーがそこに悪意のある JavaScript を挿入していたため、ユーザーの操作により、ハッカーは平文の秘密キーを盗み、資金 (主に ETH) を転送することに成功したでしょう。

これは間違いなく、ハッカーが暗号通貨を盗むために BGP ハイジャック技術を使用した典型的なケースです。それはやりすぎです。その後も同様の事件がいくつかありましたが、ここでは詳しく触れません。ユーザーにとって、本当に注意が必要な点は 1 つだけです。Web アプリケーションウォレットを使用することにした場合、または DApp と対話しようとした場合は、HTTPS 証明書エラーのアラートが表示された場合は必ず停止してページを閉じるようにしてください。そしてあなたの資金は大丈夫です。セキュリティには残酷な現実があります。リスクがある場合、ユーザーに選択肢を与えてはなりません。そうであるかのように、何らかの理由で罠に陥るユーザーが常に存在します。実際には、プロジェクトチームが責任を負う必要があります。今日の時点で、上記の HTTPS ハイジャック問題に対する非常に効果的なセキュリティソリューションがすでに存在します。プロジェクトチームは HSTS を適切に構成する必要があります。 HSTS は HTTP Strict Transport Security の略です。これは、ほとんどの最新ブラウザでサポートされている Web セキュリティポリシーメカニズムです。 HSTS が有効になっている場合、HTTPS 証明書エラーが発生した場合、ブラウザーはユーザーにターゲット Web アプリケーションへのアクセスの停止を強制し、制限を回避することはできません。私の言いたいことは分かりましたか？

人間の自然の安全保障

このセクションは理解しやすいです。たとえば、プロジェクトチームは悪意があり、不正な行為をします。関連する内容については前のセクションでいくつか述べたので、ここではこれ以上詳しく説明しません。詳細については後のセクションで説明します。

経済的安全性

金融安全は深く尊重されるべきです。 DeFiでは、ユーザーはトークンの価格とリターンに最大限の注意を払います。彼らは優れた投資収益率、または少なくとも安定した投資収益率を望んでいます。言い換えれば、ユーザーとして私は勝つためにゲームをプレイし、もし負けたとしても、少なくともそれが公平なゲームであると確信する必要があります。これはまさに人間の性質です。

DeFi における金融セキュリティは、次のような形の攻撃の影響を受けやすくなります。

プレマイニングやプレセールなどの不当なローンチ慣行。
クリプトクジラの攻撃。
ポンプとダンプ。
突然の市場の滝のようなブラックスワンイベント。または、ある DeFi プロトコルが他の DeFi/トークンとネストされているか相互運用されている場合、そのセキュリティ/信頼性は他のプロトコルに大きく依存するとします。
その他の技術的攻撃、またはフロントランニング、サンドイッチ攻撃、フラッシュローン攻撃などの科学的手法と呼ばれるもの

コンプライアンス要件

コンプライアンス要件は非常に大きなトピックであり、前述の AML (Anti Money Laundering) はポイントの 1 つにすぎません。 KYC（Know Your Customer）、制裁、証券リスクなどの側面もあります。実際、私たちユーザーにとって、これらは私たちが管理できるものではありません。当社が特定のプロジェクトに関与する場合、特定の国では関連規制が適用される可能性があるため、当社のプライバシー情報が収集される可能性があります。あなたはそのようなプライバシーの問題を気にしないかもしれませんが、気にする人もいます。

たとえば、2022 年初頭に小さなインシデントが発生しました。一部のウォレットは、Address Ownership Proof Protocol (AOPP) プロトコルをサポートすることを決定しました。

プロトコルの設計を調べたところ、AOPP をサポートするウォレットはユーザーのプライバシーを漏洩する可能性があることが判明しました。規制当局は、規制対象の暗号通貨取引所と未知の外部ウォレットアドレスとの間の相互関係を知る可能性があります。

https://gitlab.com/aopp/address-ownership-proof-protocol

多くのプライバシー指向のウォレットがユーザーからのフィードバックを非常に懸念し、自社の製品から AOPP サポートをすぐに削除したのも不思議ではありません。しかし正直に言うと、プロトコルの設計は非常に興味深いものです。 EdgeWallet など、一部のウォレットでは AOPP のサポートを削除する予定がないことに気付きました。彼らの意見は、AOPP は必ずしもユーザーのプライバシーをより多く暴露するわけではなく、逆に暗号通貨の流通を促進するのに役立つというものです。規制されている多くの仮想通貨取引所では、ユーザーは、そのアドレスの所有権を証明するまで、特定の外部ウォレットアドレスに出金することはできません。

当初、有名なハードウェアウォレット Trezor は AOPP サポートの削除を拒否しました。しかしその後、コミュニティやTwitterユーザーからの圧力により、妥協を余儀なくされ、妥協せざるを得なくなった。

ご覧のとおり、これは非常に小さな事件ですが、一部の人々にとってプライバシーは非常に重要です。これは、規制に違反したり、コンプライアンス要件を完全に無視したりすべきだと言っているわけではありません。実際のところ、コンプライアンス要件に対してはある程度の妥協が必要だと私は考えています。このトピックについてはこれ以上深く掘り下げるつもりはありません。独自の方法で自由に内容を理解してください。

これまでのところ、DeFi セキュリティセクションのコンテンツの大部分をカバーしてきました。

さらに、将来の追加やアップデートによってセキュリティ上の問題も発生します。私たちはよく「セキュリティ体制は静的ではなく動的である」と言います。たとえば、今日ではほとんどのプロジェクトチームがセキュリティ監査を実施し、クリーンなセキュリティ監査レポートを示しています。質の高いレポートを注意深く読むと、これらのレポートが監査対象コンテンツの範囲、期間、一意の識別子 (検証済みのオープンソーススマートコントラクトアドレスや GitHub リポジトリのコミットアドレスなど) を明確に説明していることに気づくでしょう。またはターゲットソースコードファイルのハッシュ)。つまり、レポートは静的ですが、プロジェクト内でレポートに記載されている内容からの逸脱が見つかった場合は、それを指摘することができます。

NFTセキュリティ

DeFi セキュリティに関する前述の内容はすべて NFT セキュリティに適用でき、NFT 自体には、たとえば次のような非常に具体的でユニークなセキュリティトピックがいくつかあります。

メタデータのセキュリティ
署名セキュリティ

メタデータとは、主に埋め込まれた画像や動画などのコンテンツを指します。特定の標準については OpenSea を参照することをお勧めします。

https://docs.opensea.io/docs/metadata-standards

ここでセキュリティに関する主な懸念が 2 つ発生する可能性があります。

1 つは、画像 (または動画) が配置されている URI が信頼できない可能性があることです。それはランダムに選択された集中型サービスである可能性があり、一方では可用性の保証はありませんが、他方ではプロジェクトチームが自由に画像を変更できるため、NFTはもはや不変の「デジタルコレクション」にはなりません。一般に、IPFS、Arweave などの集中ストレージソリューションを使用し、よく知られた URI ゲートウェイサービスを選択することをお勧めします。
もう1つは、プライバシー漏洩の可能性です。ランダムに選択された URI サービスは、ユーザーの基本情報 (IP、ユーザーエージェントなど) を取得する可能性があります。

ここでのセキュリティへの署名はもう 1 つの大きな懸念事項であり、それについては以下で説明します。

署名には注意してください!

署名のセキュリティについては特に言及したいと思います。非常に多くの落とし穴があるため、常に注意する必要があります。特にNFT取引に関しては、いくつかの事件が発生しています。しかし、このようなセキュリティ上の問題にどのように準備し、対処するかを理解している人はあまり多くないことに気づきました。根本的な理由は、この問題を十分に明確にしている人がほとんどいないことです。

署名セキュリティにおける NO.1 かつ最も重要なセキュリティ原則は次のとおりです。 あなたが見ているものはあなたが署名するものです。つまり、受信した署名リクエスト内のメッセージは、署名後に期待されるものです。署名した後は、後悔するような結果ではなく、期待どおりの結果が得られるはずです。

署名のセキュリティの詳細については、「コールドウォレット」セクションで説明されています。思い出せない場合は、そのセクションをもう一度見てみることをお勧めします。このセクションでは、他の側面に焦点を当てます。

2022 年頃に OpenSea でいくつかの有名な NFT ハッキングがありました。2022 年 2 月 20 日に大規模な感染が発生しました。根本的な原因は次のとおりです。

ユーザーは OpenSea で NFT リストリクエストに署名しました。
ハッカーは、ユーザーから関連する署名を取得するためにフィッシングを行いました。

実際、ハッカーにとって関連する署名を取得するのは難しくありません。ハッカーは 1) を行う必要があります。署名されるメッセージを作成します、2)。ハッシュしてください、3)。ターゲットユーザーをだましてリクエストに署名させます (これはブラインド署名となり、ユーザーは実際に何に署名しているのかを知りません)。4)。署名されたコンテンツを取得し、データを構築します。この時点で、ユーザーはハッキングされています。

例として Opensea を使用します (実際には、任意の NFT マーケットプレイスである可能性があります)。ターゲットユーザーがマーケットプレイスでのNFTリスト操作を承認した後、ハッカーは署名されるメッセージを作成します。 Keccak256 でハッシュすると、フィッシングページに署名リクエストがポップアップ表示されます。ユーザーには次のような内容が表示されます。

よく見てください。この MetaMask ポップアップウィンドウからはどのような情報が得られるのでしょうか?アカウント情報とアカウント残高、署名リクエストの送信元 Web サイト、ユーザーが署名しようとしているメッセージ、その他は何もありません。ユーザーはどうして災害がすでに起こりつつあると疑うことができるでしょうか?そして、「署名」ボタンをクリックすると、NFTが盗まれることをどうやって理解できたのでしょうか。

これは実際にはブラインド署名の一例です。ユーザーは NFT マーケットプレイス内で署名する必要はありません。その代わり、ユーザーは署名の実際の意味や結果を十分に理解せずに、フィッシング Web サイトに騙されてメッセージに署名する可能性があります。残念ながら、ハッカーは知っています。ユーザーとして心に留めておいてほしいのは、決してブラインドサインをしないことです。 OpenSea には以前ブラインド署名の問題がありましたが、2022 年 2 月 20 日以降に EIP-712 を採用することでこの問題を修正しました。しかし、ブラインド署名がなければ、ユーザーは依然として不注意で、他の方法でハッキングされる可能性があります。

この問題が発生する最も本質的な理由は、署名がブラウザーの同一生成元ポリシーに従うように制限されていないことです。これは単純に次のように理解できます。同一生成元ポリシーにより、アクションが特定のドメインでのみ発生し、プロジェクトチームが意図的にドメインを越えることを望まない限り、ドメインを越えることはありません。署名が同一生成元ポリシーに従っている場合、ユーザーが非ターゲットドメインによって生成された署名リクエストに署名したとしても、ハッカーはその署名をターゲットドメインでの攻撃に使用できません。詳細に入る前にここで止めておきます。プロトコルレベルでのセキュリティ向上に関する新たな提案に注目しており、この状況ができるだけ早く改善されることを願っています。

メッセージに署名するときに発生する可能性のある主な攻撃形式のほとんどについて説明しましたが、実際にはかなりの数の亜種が存在します。どれだけ違って見えても、似たパターンに従います。これらを理解する最善の方法は、攻撃を最初から最後まで自分で再現するか、独自の攻撃方法を作成することです。たとえば、ここで言及した署名要求攻撃には、実際には、署名されるメッセージの作成方法や、署名後に正確に何が生成されるかなど、多くの詳細が含まれています。「承認」以外の承認方法はありますか (はい、たとえば、increaseAllowance)。さて、ここで展開すると専門的になりすぎます。幸いなことに、メッセージに署名することの重要性はすでに理解されているはずです。

ユーザーは認可・承認を取り消すことで、このような攻撃を発生源から防ぐことができます。以下に、使用できるよく知られたツールをいくつか示します。

トークンの承認

https://etherscan.io/tokenapprovalchecker
イーサリアム公式ブラウザが提供する認可確認・解除ツールです。他のEVM互換ブロックチェーンも、ブロックチェーンブラウザは基本的にEtherscanによって開発されているため、同様のものを備えています。例えば：
https://bscscan.com/tokenapprovalchecker
https://hecoinfo.com/tokenapprovalchecker
https://polygonscan.com/tokenapprovalchecker
https://snowtrace.io/tokenapprovalchecker
https://cronoscan.com/tokenapprovalchecker
キャッシュを取り消す

https://revoke.cash/
名声を誇る超老舗＆マルチチェーンのサポートがますますパワーアップ
ラビー拡張ウォレット

https://rabby.io/
数多くのコラボレーションを行ってきた財布のひとつ。「認可チェックとキャンセル」機能を提供するEVM互換ブロックチェーンの数は、私がこれまでに見た中で最も多いです

⚠️注記: SIGNATURE SECURITY をより包括的かつ深く理解したい場合は、参考として次のリポジトリ追加の拡張機能を確認してください。

https://github.com/evilcos/darkhandbook
It is true that the knowledge of SIGNATURE SECURITY is quite challenging for beginners. The repository compiles relevant content, and carefully reading through it will help you grasp the security knowledge. Thus, you will no longer find it difficult. (If you can read and understand everything, I believe that security knowledge will no longer be tough for you 🙂

直観に反する署名リクエストには注意してください。

特に別のリスクについて言及したいと思います。 直観に反するリスク.

直感に反するとは何ですか?たとえば、あなたはすでにイーサリアムに精通しており、あらゆる種類のDeFiやNFTのOGになっています。初めて Solana エコシステムに入ると、おそらく同様のフィッシング Web サイトに遭遇するでしょう。あなたは十分に準備ができていると感じて、「イーサリアムのエコシステムでこれらのことを何千回も見たのに、どうしてだまされるだろうか？」と考え始めるかもしれません。

それまでの間、あなたはすでにだまされているので、ハッカーたちは喜ぶでしょう。人は直感に従ってしまうため、不注意になります。直観に反する攻撃があると、人々は罠にはまってしまいます。

さて、直感に反する性質を利用した実際のケースを見てみましょう。

まず第一に、警告: Solana での認証フィッシングははるかに残酷です。上記の例は、2022 年 3 月 5 日に発生しました。攻撃者は NFT をバッチでユーザーにエアドロップしました (図 1)。ユーザーは、エアドロップされた NFT の説明にあるリンク (www_officialsolanares_net) から対象の Web サイトにアクセスし、ウォレットに接続しました (図 2)。ページ上の「Mint」ボタンをクリックすると、承認ウィンドウがポップアップ表示されます (図 3)。この時点では、ポップアップウィンドウに特別な通知やメッセージが表示されなかったことに注意してください。彼らが承認すると、ウォレット内のすべての SOL が転送されます。

ユーザーが「承認」ボタンをクリックすると、実際には攻撃者が展開した悪意のあるスマートコントラクトと対話することになります。 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

この悪意のあるスマートコントラクトの最終目標は、ユーザーのほぼすべての SOL を転送する「SOL 転送」を開始することです。オンチェーンデータの分析によると、フィッシング行為は数日間続き、その間被害者の数は増加し続けました。

この例には、注意する必要がある 2 つの落とし穴があります。

ユーザーが承認すると、悪意のあるスマートコントラクトはユーザーのネイティブアセット (この場合は SOL) を転送する可能性があります。これはイーサリアムでは不可能です。 Ethereum での認証フィッシングは他のトークンにのみ影響を及ぼしますが、ETH のネイティブ資産には影響しません。これは、ユーザーの警戒心を弱める直感に反する部分です。
Solana で最もよく知られているウォレットである Phantom には、セキュリティメカニズムに抜け穴があり、「表示されているものが署名する」原則に従っていないため (他のウォレットはまだテストしていません)、ユーザーに十分なリスク警告を提供します。これにより、セキュリティ上の盲点が簡単に生じ、ユーザーのコインが犠牲になる可能性があります。

いくつかの高度な攻撃手法

実際には、高度な攻撃手法が数多く存在しますが、一般の人々の目から見ると、それらはほとんどがフィッシングとみなされます。ただし、一部は通常のフィッシング攻撃ではありません。例えば：

https://twitter.com/Arthur_0x/status/1506167899437686784

ハッカーは次のような添付ファイルを含むフィッシングメールを送信しました。

ステーブルコイン(保護).docxの巨大なリスク

正直言って、魅力的な資料です。ただし、ユーザーのコンピュータを開くと、トロイの木馬が埋め込まれます (通常は Office マクロまたは 0day / 1day エクスプロイトを介して)。これには通常、次の機能が含まれます。

ブラウザ関連や SSH 関連など、あらゆる種類の資格情報を収集します。この方法で、ハッカーはターゲットユーザーの他のサービスへのアクセスを拡張できます。したがって、感染後、ユーザーは通常、ターゲットデバイスだけでなく、関連するアカウントの権限もクリーンアップすることをお勧めします。
キーロガー、特にパスワードなどの一時的に現れる機密情報をターゲットにします。
関連するスクリーンショット、機密ファイルなどを収集します。
それがランサムウェアの場合、ターゲットシステム内のすべてのファイルは強力に暗号化され、被害者が通常はビットコインで身代金を支払うのを待ちます。しかし、この場合、より明白で騒々しい動作と単純な意図を持ったランサムウェアではありませんでした。

さらに、暗号通貨業界をターゲットとするトロイの木馬は、ユーザーの資金を盗むために、有名なウォレットや取引所から機密情報を収集するように特別にカスタマイズされます。専門家の分析によると、上記のトロイの木馬はメタマスクに対して標的型攻撃を実行します。

https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

このトロイの木馬は、ユーザーのメタマスクをバックドアを備えた偽のメタマスクに置き換えます。バックドアのメタマスクは基本的に、内部に保管されている資金がもはやあなたのものではなくなることを意味します。ハードウェアウォレットを使用している場合でも、この偽のメタマスクは宛先アドレスや金額情報を操作して資金を盗み出します。

このアプローチは、既知のウォレットアドレスを持つ既知のターゲット向けに特別に作成されています。私が気づいたのは、そのような人々の多くは傲慢すぎて、自分自身がハッキングされるのを防ぐことができないということです。ハッキングの後、多くの人が教訓から学び、徹底的なレビューを実施し、大幅な改善を行い、信頼できるセキュリティ専門家や機関と長期的な協力と友情を築くでしょう。ただし、この世界には常に例外があります。一部の人々やプロジェクトは何度もハッキングを受け続けています。毎回、誰もこれまでに経験したことのないことに起因するのであれば、私は彼らを大いに尊敬し、先駆者と呼びたいと思います。時間が経つにつれて、彼らは成功する可能性が高くなります。残念なことに、事件の多くは、簡単に回避できた非常に愚かで繰り返された間違いの結果です。こういったプロジェクトには近づかないことをお勧めします。

それに比べて、こうした大規模なフィッシング攻撃はまったく包括的ではありません。攻撃者は、似たようなドメイン名を多数用意し、Twitter やその他のソーシャルプラットフォームでアカウント、フォロワー、リツイートを購入することでペイロードを拡散します。うまく管理すれば、多くの人が罠にはまるでしょう。この種のフィッシング攻撃には実際には特別なことは何もなく、通常、攻撃者はユーザーにトークン (NFT を含む) を転送するために残酷にトークンを承認させるだけです。

他にも、攻撃プロセスを円滑化するために XSS、CSRF、リバースプロキシなどの技術を使用する高度な攻撃もあります。ここでは、リバースプロキシのシナリオの 1 つである非常に特殊なケース (Cloudflare 中間者攻撃) を除いて、そのすべてについては詳しく説明しません。この極めて秘密の手法を利用して、経済的損失を引き起こした実際の攻撃がありました。

ここでの問題は、Cloudflare自体が悪であることやハッキングされることではありません。代わりに、侵害されるのはプロジェクトチームの Cloudflare アカウントです。一般的なプロセスは次のとおりです。 Cloudflare を使用している場合、ダッシュボードにこの「Worker」モジュールがあることに気づくでしょう。その公式説明は次のとおりです。

サーバーレスアプリケーションを構築して世界中に即座に展開し、優れたパフォーマンス、信頼性、スケールを実現します。詳細については、を参照してください。 https://developers.cloudflare.com/workers/

かなり前にテストページを作成しました。

https://xssor.io/s/x.html

ページにアクセスすると、次のようなポップアップウィンドウが表示されます。

xssor.io、Cloudflareによってハイジャックされました。

実際、このポップアップ、さらには x.html のコンテンツ全体でさえ、ドキュメント自体には属しません。それらはすべて Cloudflare によって提供されます。その仕組みを以下に示します。

スクリーンショットのコードスニペットの表示は非常に単純です。私がハッカーで、あなたの Cloudflare アカウントを制御している場合、ワーカーを使用して任意の悪意のあるスクリプトを任意の Web ページに挿入できます。また、エラー警告 (HTTPS 証明書エラーなど) が表示されないため、ユーザーがターゲット Web ページがハイジャックされて改ざんされたことに気づくのは非常に困難です。プロジェクトチームですら、サーバーと人員のセキュリティをチェックするのに膨大な時間を費やすことなく、問題を簡単に特定することはできません。それが Cloudflare ワーカーであることに気付いたときには、すでに大きな損失が発生している可能性があります。

Cloudflareは実際には優れたツールです。多くの Web サイトや Web アプリケーションは、Web アプリケーションファイアウォール、DDoS 対策ソリューション、グローバル CDN、リバースプロキシなどとしてこれを使用します。無料版があるため、大きな顧客ベースを持っています。あるいは、Akaimaiなどのサービスもあります。

ユーザーは、そのようなアカウントのセキュリティに注意を払う必要があります。インターネットの普及に伴い、アカウントのセキュリティの問題が発生します。これは世界中で非常に一般的なトピックなので、どこでもほとんどの人がそれについて話していますが、それでも多くの人がそれが原因でハッキングを受けています。根本的な原因としては、重要なサービスに独自の強力なパスワードを使用していないことが考えられます (1Password のようなパスワードマネージャーはそもそもそれほど人気がありません)。また、2 要素認証 (2FA) をわざわざ有効にしないことも考えられます。彼らはそのことさえ知りません。一部のサービスについては言うまでもなく、パスワードは少なくとも年に一度リセットする必要があります。

はい、これでこのセクションは終わりになります。ここが実際に暗い森であることを理解し、できるだけ多くの攻撃方法を知っておく必要があるだけです。机上で十分な内容を確認した後、少なくとも 1 回か 2 回罠にはまったことがあれば、自分をアマチュアセキュリティの専門家であると考えることができます (いずれにせよ、それは自分自身の利益になります)。

従来のプライバシー保護

おめでとうございます。ここまでは完了しました。従来のプライバシー保護は古いトピックです。これは私が 2014 年に書いた記事です。

プライバシー侵害の時代に身を守るには、いくつかのコツを学ぶ必要があります。
https://evilcos.me/yinsi.html

この記事を読み直してみると、これは 2014 年の入門レベルの記事ですが、そこに含まれているアドバイスのほとんどは古いものではありません。記事をもう一度読んだ後、ここで新しいことを紹介します。実際、プライバシー保護はセキュリティと密接に関連しています。。従来のプライバシーはセキュリティの基礎です。このセクションには、秘密キーがプライバシーの一部であることが含まれます。礎石が安全でなく、礎石のプライバシーが無意味であれば、上部構造は空中の建物と同じように壊れやすくなります。

次の 2 つのリソースを強くお勧めします。

監視自己防衛
より安全なオンラインコミュニケーションのためのヒント、ツール、ハウツー
https://ssd.eff.org/

SURVEILLANCE SELF-DEFENSE は SSD の略称です。有名な電子フロンティア財団 (EFF) が立ち上げたもので、監視インターネットの世界で兄貴に監視されるのを避ける方法を示す関連ガイドラインを特別に発行しています。そのガイドラインには、いくつかの便利なツール (Tor、WhatsApp、Signal、 PGPなど）

プライバシーガイド: 暗号化ツールとプライバシーツールで監視に立ち向かう
https://www.privacytools.io/

上記の Web サイトには、多数のツールが包括的にリストされています。また、いくつかの暗号通貨取引所やウォレットなども推奨しています。ただし、私は独自の方法を持っているため、Web サイトにリストされているツールはあまり使用していないことに注意してください。したがって、継続的に比較し改善しながら、独自の方法を開発する必要もあります。

ここでは、使用することをお勧めするツールのハイライトをいくつか紹介します。

オペレーションシステム

Windows 10 Edition (以降) と macOS はどちらも安全なオプションです。能力がある場合は、Ubuntu などの Linux を選択することも、Tails や Whonix などのセキュリティとプライバシーに重点を置いたものを選択することもできます。

オペレーティングシステムに関して言えば、最も単純なセキュリティ原則は、システムのアップデートに細心の注意を払い、利用可能になったらできるだけ早く適用することです。次に、オペレーティングシステムをマスターする機能が登場します。 Windows や MacOS のようなオペレーティングシステムを使いこなすには一体何を学ぶ必要があるのかと疑問に思う人もいるかもしれません。ただクリックしているだけではないでしょうか？まあ、実際には十分ではありません。初心者ユーザーにとって、Kaspersky や BitDefender などの優れたウイルス対策ソフトウェアは必須であり、どちらも MacOS で利用できます。

そして、前に述べたダウンロードのセキュリティについても忘れないでください。無謀にプログラムをダウンロードしてインストールしなければ、ほとんどのリスクは排除されます。

次に、コンピュータを紛失したり盗まれたりした場合にどうするかを考えてください。起動パスワードを持っているだけでは明らかに十分ではありません。ディスク暗号化がオンになっていない場合、悪意のある者はハードディスクを取り出し、内部のデータを取得することができます。したがって、私のアドバイスは、重要なコンピュータに対してディスク暗号化を有効にすることです。

https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837

VeraCrypt (旧 TrueCrypt) などの強力で伝説的なツールもあります。興味があればお気軽にお試しください。

https://veracrypt.fr/

さらに一歩進んで、BIOS またはファームウェアのパスワードを有効にすることができます。私は自分でそれをやりましたが、それは完全にあなた自身の選択次第です。覚えておいてください。そうする場合は、パスワードをはっきりと覚えておいてください。そうしないと、誰もあなたを助けることができなくなります。幸運なことに、私自身も以前にウサギの穴に落ちたことがあり、ラップトップと仮想通貨、そして 1 週間の時間を費やしました。一方で、それは非常に良い学習経験でもあります。

携帯電話

現在、主流の携帯電話カテゴリは iPhone と Android の 2 つだけです。私はかつて BlackBerry の大ファンでしたが、その栄光は時間とともに消えていきました。以前、私は Android スマートフォンのセキュリティ体制について非常に心配していました。一方ではまだ初期段階にありましたが、他方ではバージョンが非常に断片的であり、各ブランドが独自のフォークされた Android バージョンを持っていました。しかし今では状況は大きく改善されました。

携帯電話では、セキュリティアップデートとダウンロードのセキュリティにも注意を払う必要があります。さらに、次の点にも注意してください。

携帯電話をジェイルブレイク/ルート化しないでください。関連するセキュリティ調査を行っていない限り、必要ありません。海賊版ソフトウェアの場合は、スキルをどれだけ習得できるかに大きく依存します。
非公式アプリストアからアプリをダウンロードしないでください。
自分が何をしているのか理解していない限り、それを行わないでください。言うまでもなく、公式アプリストアには多くの偽アプリさえ存在します。
公式のクラウド同期機能を利用する前提条件は、アカウントが安全であることを確認する必要があることです。そうしないと、クラウドアカウントが侵害された場合、携帯電話も危険にさらされます。

個人的にはiPhoneにもっと依存しています。また、中国と海外の少なくとも 2 つの iCloud アカウントが必要です。さまざまな地域制限のあるアプリをインストールするには、それらが必要になります。（かなり奇妙に聞こえますが、現実へようこそ）

通信網

ネットワークセキュリティの問題はかつては厄介な問題でしたが、近年、特に HTTPS Everywhere ポリシーが大量に採用されて以来、すでに大幅な改善が見られています。

進行中のネットワークハイジャック (中間者攻撃) 攻撃の場合、対応するシステムエラーアラートが発行されます。ただし、例外は常に存在するため、選択肢がある場合は、より安全なオプションを使用してください。たとえば、より一般的で安全な 4G/5G ネットワークが利用できないか安定していない場合を除き、見慣れない Wi-Fi ネットワークに接続しないでください。

ブラウザ

最も人気のあるブラウザは Chrome と Firefox ですが、暗号化分野では Brave を使用するブラウザもあります。これらの有名なブラウザには強力なチームがあり、タイムリーなセキュリティ更新が行われます。ブラウザのセキュリティのトピックは非常に広範囲にわたります。以下に注意すべきヒントをいくつか示します。

チャンスを逃さず、できるだけ早く更新してください。
必要がない場合は拡張機能を使用しないでください。その場合は、ユーザーのレビュー、ユーザー数、管理会社などに基づいて決定し、要求される許可に注意してください。必ずブラウザの公式アプリストアから拡張機能を入手してください。
複数のブラウザを並行して使用できます。重要な操作は 1 つのブラウザで実行し、重要性の低い日常的な操作には別のブラウザを使用することを強くお勧めします。
ここでは、プライバシーに重点を置いたよく知られた拡張機能 (uBlock Origin、HTTPS Everywhere、ClearURLs など) をいくつか紹介しますので、お気軽にお試しください。

特に Firefox では、悪意のある JavaScript ペイロードを防御する実績のある、伝説的な古代の拡張機能 NoScript も使用します。最近では、同一生成元ポリシー、CSP、Cookie セキュリティポリシー、HTTP セキュリティヘッダー、拡張セキュリティポリシーなどのサポートが追加され、ブラウザの安全性がますます高まっています。そのため、NoScript などのツールを使用する必要性は小さくなり、小さめですが、ご興味がございましたらお気軽にご覧ください。

パスワードマネージャー

まだパスワードマネージャーを使用したことがない場合は、パスワードマネージャーを使用する便利さを知らないか、独自の強力な記憶の宮殿を持っているかのどちらかです。脳の記憶のリスクについては以前にも言及しましたが、その 1 つは時間が経つと記憶力が弱くなったり混乱したりすることです。もう一つは、事故に遭う可能性があるということです。どちらの場合でも、脳の記憶に合わせて、1Password、Bitwarden などのよく知られたパスワードマネージャーを使用することをお勧めします。

この部分についてはあまり説明する必要はありません。関連するチュートリアルがオンライン上にたくさんあるので、チュートリアルを必要とせずに簡単に始めることができます。

ここで思い出していただきたいのは次のことです。

マスターパスワードを決して忘れず、アカウント情報を安全に保管してください。そうしないと、すべてが失われます。
メールが安全であることを確認してください。電子メールが侵害された場合、パスワードマネージャー内の機密情報が直接侵害されることはないかもしれませんが、悪意のある者はそれを破壊する能力を持っています。
私は、私が言及したツール (1Password など) のセキュリティを検証し、関連するセキュリティインシデント、ユーザーレビュー、ニュースなどを注意深く監視してきました。しかし、これらのツールが絶対に安全であるとは保証できず、ブラックスワンイベントが発生しないことは保証できません。将来、彼らに何かが起こるだろう。

私が感謝していることの 1 つは、たとえば 1Password のセキュリティページの紹介と説明です。

https://1password.com/security/

このページには、セキュリティ設計の概念、関連するプライバシーとセキュリティの証明書、セキュリティ設計のホワイトペーパー、セキュリティ監査レポートなどが含まれています。このレベルの透明性と公開性により、業界で必要な検証も容易になります。すべてのプロジェクトチームはこれから学ぶ必要があります。

Bitwarden はさらに一歩進んで、サーバー側も含めて完全にオープンソースであるため、誰でも検証、監査、貢献できます。今あなたは見ます？ 1Password と Bitwarden の意図は非常に明確です。

とても安全でプライバシーも気になります。私自身が言うだけではなく、第三者機関もそう言っています。遠慮なく私を監査してください。監査を容易にするために、私は可能な限りオープンであるよう多大な努力を費やしています。私のやっていることが私の言うことと一致しない場合、私に異議を唱えるのは簡単です。そして、これはセキュリティの信頼性と呼ばれます。

二要素認証

インターネット上の ID セキュリティについて言えば、最初の層はパスワードに依存し、2 番目の層は 2 要素認証に依存し、3 番目の層は対象プロジェクト自体のリスク管理能力に依存します。二要素認証は必須とは言えません。たとえば、分散型ウォレットを使用している場合、パスワードの 1 層だけでも十分に煩わしく (現在、ユーザーエクスペリエンスを向上させるために顔認識や指紋などの生体認証を基本的にサポートしています)、誰も 2 番目の要素を使いたくありません。ただし、集中型プラットフォームでは 2FA を使用する必要があります。誰もが集中プラットフォームにアクセスでき、資格情報が盗まれた場合、アカウントが侵害され、資金が失われます。それどころか、分散型ウォレットのパスワードは単なるローカル認証であり、ハッカーがパスワードを取得したとしても、ウォレットが配置されているデバイスにアクセスする必要があります。

違いがわかりましたか?よく知られた 2 要素認証 (2FA) ツールには、Google Authenticator、Microsoft Authenticator などが含まれます。もちろん、パスワードマネージャー (1Password など) を使用する場合は、2FA モジュールも付属しています。、とても便利です。 2FA を失うと面倒な場合があるため、常にバックアップを作成することを忘れないでください。

さらに、2 要素認証はより広い概念である場合もあります。たとえば、ターゲットプラットフォームにログインするためにアカウント ID とパスワードが使用される場合、通常、アカウント ID は電子メールまたは携帯電話番号になります。このとき、メールボックスまたは携帯電話番号を 2FA として使用して確認コードを受信できます。ただし、この方法のセキュリティレベルはそれほど良くありません。たとえば、メールボックスが侵害されたり、SIM カードがハイジャックされたり、電子メールやテキストメッセージの送信に使用されるサードパーティサービスがハッキングされたりした場合、プラットフォームによって送信された確認コードも明らかになります。

科学的なインターネットサーフィン

ポリシー上の理由から、これについてはあまり話さないで、よく知られた解決策の 1 つを選択してください。独自のソリューションを構築できれば、事態はさらに制御できるようになります。結局のところ、私たちの出発点は、科学的かつ安全にインターネットをサーフィンすることです。

独自に構築したソリューションを使用していない場合、中間者攻撃の可能性を完全に排除することはできません。前述したように、インターネットのセキュリティ状況は、特に HTTPS Everywhere ポリシーの大量採用後は以前ほど悪くはありません。しかし、平和の一部は水面にすぎず、水面下には簡単には気づかない底流がすでに存在している可能性があります。正直に言うと、これに対する特効薬はありません。独自のソリューションを構築するのは簡単ではありませんが、それだけの価値は間違いなくあります。それができない場合は、必ず複数の情報源を使用して確認し、長期間にわたって存在する信頼できる情報源を選択してください。

Eメール

電子メールは、Web ベースのアイデンティティの基礎です。私たちは多くのサービスへのサインアップに電子メールを使用します。私たちが使用している電子メールサービスのほとんどは無料です。空気のようで、なくなるとは思えません。ある日、電子メールサービスがなくなったら、それに依存する他のすべてのサービスはかなり厄介な状況に陥るでしょう。戦争や自然災害などがあれば、このような極端な状況は実際には不可能ではありません。もちろん、このような極端な状況が発生した場合、電子メールは生き残ることよりも重要ではなくなります。

電子メールサービスプロバイダーに関しては、Gmail、Outlook、QQ Email などの大手テクノロジー企業から選択する必要があります。たまたま、私の以前のセキュリティ研究がこの分野をカバーしていました。これらのメールボックスのセキュリティ体制は十分に良好です。ただし、電子メールフィッシング攻撃には注意する必要があります。すべての電子メール、特にトロイの木馬が隠されている可能性のある埋め込みリンクや添付ファイルに対処する必要はありません。

電子メールサービスプロバイダーに対する高度な攻撃に遭遇した場合、責任は自分で負う必要があります。

これらのテクノロジー巨人の電子メールサービスに加えて、プライバシーを非常に懸念している場合は、プライバシーに配慮した 2 つのよく知られた電子メールサービス、ProtonMail と Tutanota を検討してください。私の提案は、これらの個人向けのメールボックスを日常の使用から分離し、プライバシーに特別な注意が必要なサービスにのみ使用することです。また、長期間非アクティブなためにアカウントが停止されないように、無料の電子メールサービスを定期的に使用する必要があります。

SIMカード

SIM カードと携帯電話番号も、多くの場合、電子メールと同様に非常に重要な基本 ID です。近年、我が国の大手通信事業者は、携帯電話番号のセキュリティ保護において非常に優れた取り組みを行っています。たとえば、SIM カードのキャンセルと再発行には厳格なセキュリティプロトコルと検証プロセスがあり、それらはすべて現場で行われます。 SIM カード攻撃のトピックについて、例を挙げてみましょう。

2019.5 年に、誰かの Coinbase アカウントが SIM ポート攻撃 (SIM カード転送攻撃) を受け、残念ながら 100,000 米ドル以上の暗号通貨を失いました。攻撃プロセスは大まかに次のとおりです。

攻撃者はソーシャルエンジニアリングなどで対象ユーザーのプライバシー情報を入手し、携帯電話事業者を騙して新しいSIMカードを発行させ、同じ携帯電話番号を使って簡単に対象ユーザーのCoinbaseアカウントを乗っ取った。 SIMの移行があり、非常に面倒です。 SIM カードが攻撃者によって転送された場合、非常に厄介です。現在、オンラインサービスの多くは、直接認証要素または 2FA として携帯電話番号を使用しています。これは非常に集中的な認証メカニズムであり、携帯電話番号が弱点となります。

詳細な分析については、以下を参照してください。

https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

これに対する防御案は実際には単純です。よく知られている 2FA ソリューションを有効にすることです。

SIM カードには別のリスクがあります。つまり、携帯電話が紛失または盗難された場合、悪者が SIM カードを取り出して使用することができて恥ずかしいことになります。 SIM カードのパスワード (PIN コード) を有効にすると、携帯電話の電源を入れたり、新しいデバイスで SIM カードを使用したりするたびに、正しいパスワードを入力する必要があります。詳しい使い方についてはGoogleに問い合わせてください。私からの注意事項です。このパスワードを忘れないでください。忘れると大変なことになります。

GPG

この部分の多くの内容は前のセクションで説明されていますが、ここではさらに基本的な概念を追加したいと思います。: PGP、OpenPGP、GPG など、似たような名前に遭遇することがあります。単純に次のように区別します。

PGP は Pretty Good Privacy の略で、30 年前からある商用暗号化ソフトウェアで、現在はシマンテックの傘下にあります。
OpenPGP は、PGP から派生した暗号化標準です。
GPG (正式名は GnuPG) は、OpenPGP 標準に基づくオープンソースの暗号化ソフトウェアです。

それらのコアは似ており、GPG を使用すると他のコアと互換性があります。ここでもう一度強くお勧めします。セキュリティ暗号化では、車輪の再発明を試みないでください。 GPG を正しく使用すると、セキュリティレベルを大幅に向上させることができます。

分離

分離というセキュリティ原則の背後にある核となる価値は、ゼロトラストの考え方です。私たちがどれほど強くても、それが外部ハッカーによるものであれ、内部関係者によるものであれ、私たち自身によるものであれ、遅かれ早かれハッキングされることになるということを理解する必要があります。ハッキングされた場合、最初のステップはストップロスである必要があります。損切り機能は多くの人に無視されており、それが彼らが何度もハッキングされる理由です。根本的な原因は、セキュリティ設計、特に分離などの単純な方法がないことです。

適切な分離を実践すると、セキュリティインシデントが発生した場合でも、他の資産に影響を与えることなく、侵害されたターゲットに直接関連するものだけを失うことが保証されます。

例えば：

パスワードのセキュリティ対策が適切であれば、アカウントの 1 つがハッキングされても、同じパスワードによって他のアカウントが侵害されることはありません。
暗号通貨が 1 セットのニーモニックシードの下に保存されていない場合は、罠に陥った場合でもすべてを失うことはありません。
コンピュータが感染した場合、幸いなことに、これは単なる日常的な活動に使用されるコンピュータであり、そこには重要なものは何もありません。したがって、コンピュータを再インストールすればほとんどの問題が解決されるため、パニックになる必要はありません。仮想マシンの使用に慣れている場合は、スナップショットを復元するだけで済むため、状況はさらに良くなります。優れた仮想マシンツールは、VMware、Parallels です。
要約すると、少なくとも 2 つのアカウント、2 つのツール、2 つのデバイスなどを持つことができます。慣れれば、独立した仮想アイデンティティを完全に作成することは不可能ではありません。

私は以前、より極端な意見を述べました。プライバシーは私たちが守るものではなく、プライバシーは管理されるべきものです。

このような見方をする理由は、現在のインターネット環境では、実際にプライバシーが深刻に漏洩しているからです。幸いなことに、プライバシー関連の規制は近年ますます広く採用されるようになり、人々の関心もますます高まっています。本当にすべてが正しい方向に進んでいます。しかしその前に、いずれにせよ、私が列挙した知識ポイントをマスターすれば、プライバシーを簡単にコントロールできるようになります。インターネット上では、慣れている人であれば、互いにほぼ独立した複数の仮想アイデンティティを持つことができます。

人間性の安全保障

人間は常に最高かつ永遠のリスクにさらされています。『三体問題』には、「弱さや無知は生存の障害ではないが、傲慢は障害となる」という言葉があります。

傲慢にならないでください。自分はすでに強いと思うなら、自分自身で大丈夫です。世界全体を見下さないでください。特に、自分は世界的なハッカーに挑戦できると考えすぎないでください。学びに終わりはなく、まだまだ多くの障害があります。
貪欲にならないでください。実際、多くの場合、貪欲が前に進む動機になります。しかし考えてみてください。なぜこのような良い機会が自分だけに用意されているのでしょうか。
衝動的にならないでください。衝動性はあなたを罠に導く悪魔です。性急な行動はギャンブルです。

人間の本性には話すべきことが無限にあり、これ以上に注意することはできません。以下の点に特にご注意いただき、さまざまな便利なプラットフォームを利用して、人間の弱みにつけ込む悪者たちの様子をご覧ください。

電報

私は以前、Telegram が最大のダークウェブであると述べました。 Telegram はそのセキュリティ、安定性、オープンなデザイン機能で人々に好まれていると言わざるを得ません。しかし、Telegram のオープンな文化は悪者も引き寄せます。膨大な数のユーザー、高度にカスタマイズ可能な機能、あらゆる種類のボットサービスを簡単に構築できるからです。暗号通貨と組み合わせることで、実際の取引体験は Tor のダークウェブマーケットプレイスをはるかに超えています。そしてその中には魚が多すぎます。

通常、ソーシャルメディアアカウントの一意の識別子はユーザー名やユーザー ID のようなものにすぎませんが、これらは悪意のある者によって完全に複製される可能性があります。一部のソーシャルプラットフォームには、青い V アイコンなどを追加するなどのアカウント検証メカニズムがあります。公開ソーシャルメディアアカウントは、フォロワー数、投稿内容、ファンとの交流など、いくつかの指標を通じて検証できます。非公開ソーシャルメディアアカウントは少し難しくなります。 Telegram が「どのグループに一緒にいるか」機能をリリースしたのは嬉しいですね。

悪用できる抜け穴があり、大きな利益が得られる場所には、必ず悪者がすでに存在しているはずです。それが人間の性質です。

その結果、ソーシャルメディアプラットフォームにはフィッシングの罠がたくさんあります。例: グループチャット中に、正式なカスタマーサービスらしき人が突然現れてプライベートチャットを開始しました (any2any プライベートチャットは Telegram の機能であり、友達リクエストは必要ありません)。スパム、魚が次々とバイトしてきます。

あるいは、攻撃者はさらに一歩進んで、あなたを別のグループに追加する可能性があります。参加者全員があなたを偽物だと思っていますが、あなたにとってはそれがとてもリアルに見えます。私たちはこの手法を地下社会におけるグループクローン作成と呼んでいます。

これらは人間の性質を操作する基本的な方法にすぎません。高度なテクニックは脆弱性と組み合わされるため、防ぐのがより困難になります。

不和

Discord は、過去 2 年間に開発された、新しく人気のあるソーシャルプラットフォーム/IM ソフトウェアです。公式声明にあるように、中核となる機能はコミュニティサーバーです (従来のサーバーの概念ではありません)。

Discord は、無料の音声、ビデオ、テキストチャットアプリで、13 歳以上の何千万人もの人々がコミュニティや友達と話したり、一緒に過ごすために使用しています。

人々は毎日 Discord を使用して、アートプロジェクトや家族旅行から宿題やメンタルヘルスサポートに至るまで、さまざまなことについて話し合います。これはあらゆる規模のコミュニティの拠点ですが、定期的に会話する小規模で活発な人々のグループによって最も広く使用されています。

見た目は素晴らしいですが、非常に強力なセキュリティ設計基準が必要です。 Discord には次のような特定のセキュリティルールとポリシーがあります。

https://discord.com/safety

残念ながら、ほとんどの人はそれを注意深く読むつもりはありません。さらに、Discord は攻撃者の帽子をかぶる必要があるため、特定の中核となるセキュリティ問題を常に明確に説明できるとは限りませんが、これは常に実現可能であるとは限りません。

例えば：

DiscordではNFTの盗難が非常に多いため、主要な攻撃方法は何でしょうか?これを理解するまでは、Discord のセキュリティに関するアドバイスは役に立ちません。

多くのプロジェクト Discordhack の背後にある主な理由は、実際には、HTTP リクエストヘッダーの認証フィールドのコンテンツである Discord トークンです。 Discordには非常に長い間存在していました。ハッカーにとって、この Discord トークンを入手する方法を見つけることができれば、ターゲットとなる Discord サーバーのすべての権限をほぼ制御することができます。つまり、ターゲットが管理者、管理者権限を持つアカウント、または Discord ボットの場合、ハッカーはやりたいことを何でもできます。たとえば、NFTフィッシングサイトを発表することで、人々にそれが公式発表であると思わせ、魚がフックに食いつきます。

Discord アカウントに 2 要素認証 (2FA) を追加したらどうなるのかと疑問に思う人もいるかもしれません。絶対に良い習慣ですよ！ただし、Discord トークンはアカウントの 2FA ステータスとは何の関係もありません。アカウントが侵害されたら、すぐに Discord のパスワードを変更して、元の Discord トークンを無効にする必要があります。

ハッカーがどのようにして Discord トークンを入手できるかという問題については、少なくとも 3 つの主要なテクニックを解明しており、今後詳しく説明していきたいと思います。一般ユーザーの場合、できることはたくさんありますが、重要な点は、急がず、欲張らず、複数のソースから検証することです。

「公式」フィッシング

悪い俳優はロールプレイング、特に公式の役割を利用するのが上手です。たとえば、偽の顧客サービスの手法については以前に説明しました。それに加えて、2022 年 4 月には、有名なハードウェアウォレット Trezor の多くのユーザーが、Trezor の公式ドメイン trezor.io ではない trezor.us からフィッシングメールを受け取りました。ドメイン名のサフィックスには小さな違いがあります。さらに、以下のドメインもフィッシングメールによって拡散されました。

https://suite.trẹzor.com

このドメイン名には「ハイライトスポット」があり、その中の文字 ẹ をよく見ると、それが文字 e ではないことがわかります。紛らわしいですか？これは実際には Punycode であり、標準的な説明は次のとおりです。

アプリケーションにおける国際化ドメイン名用の Unicode のブートストリングエンコーディング (IDNA) は、Unicode と ASCII コードの両方で限られた文字セットを表す国際化されたドメイン名エンコーディングです。

trẹzor をデコードすると、xn-trzor-o51b のようになります。これが実際のドメイン名です。

ハッカーは長年にわたって Punycode をフィッシングに使用しており、2018 年には一部の Binance ユーザーが同じ手口で侵害されました。

この種のフィッシングサイトは、公式メールボックスの制御や SPF 構成の問題によるメール偽造攻撃などのより高度な攻撃は言うまでもなく、すでに多くの人を陥れている可能性があります。その結果、メールのソースは公式のものとまったく同じになります。

それが不正な内部関係者の場合、ユーザーは何もできません。プロジェクトチームは、内部関係者の脅威を防ぐために多大な努力を払う必要があります。インサイダーは最大のトロイの木馬ですが、無視されることが非常に多いです。

Web3 のプライバシー問題

Web3 の人気が高まるにつれて、あらゆる種類の Web3 インフラストラクチャ、ソーシャルプラットフォームなどと同様に、ますます興味深いプロジェクトや退屈なプロジェクトが登場しました。それらの中には、大規模なデータ分析を実行し、ブロックチェーン上だけでなくターゲットのさまざまな行動像を特定したものもあります。側だけでなく、よく知られた Web2 プラットフォームでも使用できます。似顔絵が出てきたら基本的に透明人間がターゲットになります。そして、Web3ソーシャルプラットフォームの登場も、こうしたプライバシー問題を悪化させる可能性がある。

考えてみてください。署名バインディングやチェーンインタラクションなど、Web3 関連のものをすべていじっていると、プライバシーをさらにさらけ出すことになるでしょうか?多くの人は同意しないかもしれませんが、多くの要素が集まるにつれて、どのNFTを収集したいのか、どのコミュニティに参加しているのか、どのホワイトリストに参加しているのか、誰と接続しているのか、どのWeb2アカウントなのかなど、より正確で包括的な全体像が見えてきます。必ずそうする必要がある、アクティブな期間など。ブロックチェーンはプライバシーを悪化させることがあります。プライバシーを重視する場合は、新たに明らかになったものすべてに注意し、自分のアイデンティティを分離するという良い習慣を維持する必要があります。

この時点で、秘密キーが誤って盗まれた場合、損失は金銭だけではなく、注意深く維持されている Web3 の権利と利益すべてが失われることになります。秘密キーは ID であるとよく言いますが、今度は実際の ID の問題が生じます。

決して人間性を試してはいけません。

ブロックチェーンの悪ふざけ

ブロックチェーン技術はまったく新しい産業を生み出しました。 BlockFi、DeFi、暗号通貨、仮想通貨、デジタル通貨、Web3などと呼んでも、すべての中核は依然としてブロックチェーンです。ほとんどの誇大広告は、代替不可能なトークン (または NFT、デジタル収集品) を含む暗号資産などの金融活動に集中していました。

ブロックチェーン業界は非常にダイナミックで魅力的ですが、悪事を働く手段が多すぎます。ブロックチェーンの特殊な特性は、仮想通貨の盗難、クリプトジャッキング、ランサムウェア、ダークウェブ取引、C2 攻撃、マネーロンダリング、ねずみ講、ギャンブルなどを含む、そしてこれらに限定されない、いくつかの独特の悪を引き起こします。私は 2019 年にマインドマップを作成しました。参考のため。

https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png

一方、SlowMist チームは、ブロックチェーン関連のハッキング活動のための成長を続けるデータベースである SlowMist Hacked の保守と更新を行っています。

https://hacked.slowmist.io/

このハンドブックでは多くのセキュリティ対策を紹介していますが、それらを自分のセキュリティに適用できれば、おめでとうございます。ブロックチェーンの悪ふざけについては、あまり詳しく説明しません。興味があれば、独学で学ぶことができます。特に新しい詐欺や不正行為が絶えず進化しているため、これは間違いなく良いことです。学べば学ぶほど、自分を守ることができ、この業界をより良くすることができます。

ハッキングされたときの対処法

最終的にハッキングされるのは時間の問題です。それでどうすればいいでしょうか？簡単に本題に入ります。次の手順は必ずしも順番どおりに行われる必要はありません。行ったり来たりする必要がある場合もありますが、一般的な考え方は次のとおりです。

まずはストップロス

ストップロスとは、損失を制限することです。それは少なくとも 2 つのフェーズに分類できます。

即時アクションフェーズ。すぐに行動してください！ハッカーがあなたの資産を転送しているのを見つけても、もう考える必要はありません。急いで残りの資産を安全な場所に移してください。フロントランニングトレードの経験がある場合は、そのまま掴んで実行してください。資産の種類に応じて、ブロックチェーン上で資産を凍結できる場合は、できるだけ早く凍結してください。オンチェーン分析を実行して、資産が集中取引所に転送されていることが判明した場合は、リスク管理部門に連絡できます。
アクション後のフェーズ。状況が安定したら、二次的または三次的な攻撃が発生しないようにすることに重点を置く必要があります。

現場を守る

何かがおかしいと感じたら、落ち着いて深呼吸してください。シーンを保護することを忘れないでください。以下にいくつかの提案を示します。

インターネットに接続されているパソコンやサーバーなどの機器で事故が発生した場合は、機器の電源を入れたまま、ただちにネットワークを切断してください。それが破壊的なウイルスであれば、ローカルシステムファイルもウイルスによって破壊されるだろうと主張する人もいるかもしれません。彼らは正しいですが、ウイルスよりも早く反応できる場合にのみシャットダウンが役に立ちます…
これを自分で処理できない場合は、セキュリティ専門家の介入を待って分析するのが常に良い選択です。

私たちが分析に踏み込んだ時点でシーンがすでに混乱していたということが何度もあったため、これは非常に重要です。また、重要な証拠 (ログ、ウイルスファイルなど) がクリーンアップされたように見えるケースさえありました。犯罪現場が適切に保存されていないと、その後の分析や追跡に大きな支障をきたす可能性があります。

根本原因分析

原因を分析する目的は、攻撃者を理解し、ハッカーの人物像を出力することです。この時点で、インシデントレポートは非常に重要であり、事後レポートとも呼ばれます。インシデントレポートと事後レポートは同じものを指します。

私たちは、コインが盗まれた後に助けを求めに来た非常に多くの人に会いましたが、彼らの多くは何が起こったのかを明確に伝えるのが非常に困難でした。彼らにとって明確な事件報告書を作成することはさらに困難です。しかし、これは実践可能であり、例を参照することで役立つと思います。以下が良い出発点となります。

要約 1: 誰が関与し、いつ、何が起こり、損失総額はいくらですか?
概要 2: 損失に関連するウォレットアドレス、ハッカーのウォレットアドレス、コインの種類、コインの量。単一のテーブルを使用すると、より明確になる可能性があります。
プロセスの説明: この部分が最も難しいです。インシデントのあらゆる側面を詳細に説明する必要があります。これは、ハッカーに関連するさまざまな種類の痕跡を分析し、最終的にそこからハッカーの人物像 (動機を含む) を取得するのに役立ちます。

特定のケースになると、テンプレートはさらに複雑になります。人間の記憶は信頼できない場合があり、重要な情報が意図的に隠蔽され、時間の無駄やタイミングの遅れにつながる可能性もあります。したがって、実際には膨大な量の消費が発生するため、これまでの経験を活用して作業を適切に進める必要があります。最後に、コインを紛失した人物またはチームとのインシデントレポートを作成し、このインシデントレポートを更新し続けます。

ソーストレース

ロッカの法則によれば、侵略があるところには痕跡が存在します。十分に熱心に調査すれば、必ず何らかの手がかりが見つかります。調査のプロセスは、実際にはフォレンジック分析と情報源追跡です。私たちはフォレンジック分析から得たハッカーのポートレートに従ってソースを追跡し、それを継続的に強化します。これは動的で反復的なプロセスです。

ソーストレースは、次の 2 つの主要な部分で構成されます。

オンチェーンインテリジェンス。当社は、集中取引所やコインミキサーなどへのアクセスなど、ウォレットアドレスの資産アクティビティを分析し、それを監視し、新しい送金のアラートを取得します。
オフチェーンインテリジェンス: この部分では、ハッカーの IP、デバイス情報、電子メールアドレス、およびこれらの関連ポイントの相関関係から得られる、行動情報を含むその他の情報がカバーされます。

この情報に基づく情報源追跡作業は数多く行われており、それには法執行機関の関与も必要となるでしょう。

事件の終結

もちろん、誰もがハッピーエンドを望んでいます。ここでは、私たちが参加し、良い結果をもたらした公開イベントの例をいくつか紹介します。

Lendf.Me、$2500万相当
SILファイナンス、$1215万相当
Poly Network、$6 億 1,000 万相当

私たちは他にも、良い結果、あるいはまあまあの結果に終わった未公開の事例を数多く経験してきました。しかし、それらのほとんどはバッドエンドであり、非常に残念です。この過程で多くの貴重な経験を積むことができたので、今後はグッドエンド率を高めていきたいと考えています。

この部分は上記のように簡単に説明されています。この分野に関連する知識は膨大にありますが、私がよく知らないこともあります。したがって、ここでは詳しい説明はしません。シナリオに応じて、習得する必要がある能力は次のとおりです。

スマートコントラクトのセキュリティ分析とフォレンジック
オンチェーン資金移動の分析とフォレンジック
Web セキュリティ分析とフォレンジック
Linux サーバーのセキュリティ分析とフォレンジック
Windows セキュリティ分析とフォレンジック
macOS のセキュリティ分析とフォレンジック
モバイルセキュリティ分析とフォレンジック
悪意のあるコードの分析とフォレンジック
ネットワークデバイスまたはプラットフォームのセキュリティ分析とフォレンジック
インサイダーのセキュリティ分析とフォレンジック
…

セキュリティのほぼすべての側面をカバーしており、このハンドブックも同様です。ただし、これらのセキュリティポイントは、ここでは入門ガイドとして簡単に説明するだけです。

誤解

このハンドブックは最初から、懐疑的であり続けるように指示しています。これには、ここで説明されているすべてが含まれます。これは非常に活気に満ちた将来性のある業界ですが、あらゆる種類の罠と混乱に満ちています。ここでいくつかの誤解を見てみましょう。これらの誤解は、真実であると当然のことと思われると、簡単に罠にはまり、混乱そのものの一部になってしまう可能性があります。

コードは法律です

コードは法律です。しかし、プロジェクト (特にスマートコントラクト関連のプロジェクト) がハッキングされたり、荒廃したりした場合、「コードは法律です」などと願う被害者は一人もいないでしょうし、現実の世界でも依然として法律に頼る必要があることがわかります。

鍵でもコインでもありません

キーを所有していなければ、コインも所有していません。実際、多くのユーザーは自分の秘密鍵を適切に管理できませんでした。さまざまなセキュリティ上の不正行為により、暗号資産を失うことさえあります。場合によっては、暗号資産を大手で評判の良いプラットフォームに置いたほうが実際にはより安全であることがわかるでしょう。

私たちはブロックチェーンを信頼します

ブロックチェーンであるため、私たちはそれを信頼しています。実際、ブロックチェーン自体は改ざん防止、検閲耐性などがあるため、基本的な信頼の問題の多くを解決する機能を備えています。私の資産とそれに関連するアクティビティがチェーン上にある場合、他の誰も許可なく私の資産を持ち去ったり、私のアクティビティを改ざんしたりすることはできないとデフォルトで信頼できます。しかし、現実は厳しいことが多く、第一に、すべてのブロックチェーンがこれらの基本的な点を達成できるわけではなく、第二に、人間の本性が常に最も弱い部分になります。今日のハッキング技術の多くは、私たちのほとんどの想像を超えています。私たちは攻撃と防御はコストと影響のバランスであると常に言いますが、大きな資産を所有していない場合、ハッカーは時間を無駄にしてあなたを狙うことはありません。しかし、あなたのようなターゲットが複数いる場合、ハッカーが攻撃を開始することは非常に有益です。

私のセキュリティに関するアドバイスは非常にシンプルです。デフォルトで不信感を持ち (つまり、デフォルトですべてを疑う)、継続的な検証を実施します。ここでの重要なセキュリティアクションは検証です。継続的な検証は基本的に、セキュリティが静的な状態にならないことを意味します。現在安全であるとは限り、明日も安全であるとは限りません。適切に検証する能力は私たち全員にとって最大の課題ですが、その過程で多くの知識を習得できるため、非常に興味深いものです。あなたが十分に強ければ、誰も簡単にあなたを傷つけることはできません。

暗号化セキュリティはセキュリティです

暗号化は強力かつ重要です。暗号学者のあらゆる努力、すべての堅固な暗号アルゴリズムとエンジニアリングの実装がなければ、現代の通信技術、インターネット、ブロックチェーン技術は存在しません。ただし、暗号化セキュリティを絶対的なセキュリティと考える人もいます。したがって、一連の奇妙な疑問が生じます。

ブロックチェーンは非常に安全なので、秘密鍵を解読するのに何兆年もかかったのではありませんか?なぜ FBI はダークウェブのビットコインを解読できたのでしょうか?一体なぜジェイ・チョウのNFTが盗まれる可能性があるのでしょうか？

私はこれらの初心者の質問には我慢できます…私が我慢できないのは、多くのいわゆるセキュリティ専門家が暗号セキュリティの概念を使用して一般大衆を騙しているという事実です。彼らは軍事レベルの暗号化、世界最高の暗号化、宇宙レベルの暗号化などの用語に言及しています。 -レベルの暗号化、絶対的なシステムセキュリティ、ハッキング不可能性など。

ハッカー？彼らは気にしません…

ハッキングされるのは屈辱的ですか？

確かに、ハッキングを受けると複雑な気持ちになり、時には恥ずかしい思いをすることもあります。ただし、ハッキングされることはほぼ 100% 保証されているため、何も恥ずかしいことではないことを理解する必要があります。

一度ハッキングされてしまったら、自分だけ責任を負えば問題ありません。ただし、他の多くの責任を負っている場合は、インシデントに対処する際には透明性とオープン性を保つ必要があります。

人々はあなたが自分でハッキングを行ったことを疑問に思ったり、非難したりするかもしれませんが、透明でオープンで更新されたプロセスは常に幸運と理解をもたらします。

このように考えてください。あなたのプロジェクトがあまり知られていない場合、誰もあなたをハッキングすることはありません。恥はハッキングされることではない。恥ずべきはあなたの傲慢さです。

確率の観点から見ると、ハッキングされるのは一般的な現象であり、通常、セキュリティ問題の大部分は単なる小さな問題であり、プロジェクトの成長に役立つ可能性があります。しかし、深刻な大きな問題は可能な限り避けなければなりません。

すぐに更新

このハンドブックでは、更新に注意を払うよう何度も勧められています。利用可能なセキュリティ更新がある場合は、すぐに適用してください。よく考えてください、これは特効薬でしょうか？

実際、ほとんどの場合、「今すぐ更新」するのが正しいことです。ただし、歴史上、アップデートによって 1 つの問題が解決されたとしても、別の問題が発生することが何度もありました。例としては、iPhone と Google Authenticator があります。

新しい iOS 15 アップデートにはリスクがあります。つまり、iPhone のアップグレード後に Google Authenticator の情報が消去または二重化される可能性があります。この場合、重複したエントリが二重になっていることが判明した場合は、重複したエントリを削除しないでください。再度開いた後に Google Authenticator 内のすべての情報が失われる可能性があります。

iOS 15 システムにアップグレードしておらず、Google Authenticator を使用している場合は、アップグレードする前にバックアップすることを強くお勧めします。

その後、Google は Authenticator アプリを更新し、この問題を完全に解決しました。

さらに、メジャーなセキュリティパッチや、避けられない更新につながる非常に重要な機能がない限り、特に資産の多いウォレットの場合、ウォレットを頻繁に更新することはお勧めしません。その場合は、自分でリスク評価を行い、自分で決定を下す必要があります。

結論

Recall that this handbook starts with this diagram 🙂

私が図の中の人物を赤くマークしたことに気づいたでしょうか?これは、人間がすべての基礎であること (宇宙論では「人間原理」と呼ばれます) であることを皆さんにもう一度思い出していただくためです。それが人間性のセキュリティであっても、セキュリティスキルを習得する能力であっても、すべてはあなた次第です。そう、あなたが十分に強ければ、誰も簡単にあなたを傷つけることはできません。

図に基づいて拡張を開始し、ウォレットの作成、ウォレットのバックアップ、ウォレットの使用の 3 つのプロセスにおける多くのセキュリティの重要なポイントを説明しました。次に、従来のプライバシー保護を紹介しました。このような伝統的なものは、ブロックチェーンエコシステムで安全を保つための基礎であり、構成要素であると述べました。人間の本性の安全保障の部分は、いくら飾りすぎてもいけません。悪を行うさまざまな方法についてもっと理解することは良いことです。特に、いくつかの落とし穴に足を踏み入れた場合、紙の上でのセキュリティ意識が、最終的にはセキュリティの経験になる可能性があります。絶対的なセキュリティはありませんので、ハッキングされた場合の対処法について説明しました。不幸な出来事があなたに起こってほしくありませんが、もし起こった場合にこのハンドブックが役立つことを願っています。最後に、いくつかの誤解についてお話します。私の意図は非常に単純です。世界は美しくもあり、恐ろしいものでもあるので、あなた自身の批判的思考を構築してほしいと思います。

こんなにたくさんの言葉を書くのは久しぶりです。最後に書いたのは10年前だったと思います。Web フロントエンド黑客技术揭秘”。かなりほろ苦かったです。 Web セキュリティとサイバーセキュリティに長年携わった後、私はチームを率いてサイバースペース検索エンジンである ZoomEye を作成しました。サイバーセキュリティの分野では、私は多くの分野に手を出してきましたが、そのうちのいくつかだけが私に熟練していると言えます。

現在、ブロックチェーンセキュリティの分野では、SlowMist と私は先駆者とみなされています。ここ数年、私たちは毎日トランス状態にいるのではないかと思えるほど多くの事件に遭遇しています。多くの洞察が記録されず共有されていないのは残念です。その結果、何人かの友人の勧めでこのハンドブックが誕生しました。

このハンドブックを読み終えたら、練習して熟練し、推論を導き出す必要があります。その後、ご自身の発見や体験がありましたら、ぜひ貢献していただければと思います。機密情報があると思われる場合は、それらをマスクするか、情報を匿名化することができます。

最後に、セキュリティとプライバシー関連の法律と執行が世界的に成熟していることのおかげです。これは先駆的な暗号学者、エンジニア、倫理的ハッカー、そしてサトシ・ナカモトを含むより良い世界の創造に関わったすべての人々の努力のおかげです。

付録

セキュリティのルールと原則

このハンドブックで言及されているセキュリティのルールと原則は次のように要約されています。かなりの数のルールが上記のテキストに組み込まれていますが、ここでは特に詳しく説明しません。

2 つの主要なセキュリティルール:

ゼロトラスト。簡単に言えば、懐疑的であり続け、常にそうあり続けることです。
継続的な検証。何かを信頼するには、疑っていることを検証し、検証することを習慣にする必要があります。

セキュリティ原則:

インターネットから得られるすべての知識については、少なくとも 2 つの情報源を参照し、相互に裏付けをとり、常に懐疑的な姿勢を保つようにしてください。
隔離する。すべての卵を 1 つのカゴに入れないでください。
重要な資産が入っているウォレットについては、不必要な更新を行わないでください。
あなたが見ているものはあなたが署名するものです。何に署名しているのか、また署名されたトランザクションが送信された後に予想される結果を認識しておく必要があります。後で後悔するようなことはしないでください。
システムのセキュリティ更新に注意してください。利用可能になったらすぐに適用してください。
無謀にプログラムをダウンロードしてインストールしないことで、ほとんどのリスクを防ぐことができます。

貢献者

寄稿者の皆様のおかげで、このリストは継続的に更新されます。このハンドブックに関するアイデアがあれば、私までご連絡いただければ幸いです。

コス、ツイッター(@evilcos)、即刻(@余弦.jpg)

貢献者

私の妻 SlowMist、Twitter (@SlowMist_Team)、例: Pds、Johan、Kong、Kirk、Thinking、Blue、Lisa、Keywolf... Jike アプリ 匿名の友達... 詳細: https://darkhandbook.io/contributors.html

あなたの貢献がこのハンドブックに掲載されることが承認された場合、あなたは貢献者のリストに追加されます。

例えば: 具体的な安全防御の提案または事例を提供しました。翻訳作業に参加しました。大きな間違いなどを修正しました。

公式サイト

SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Sparrow Wallet https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ Trust Wallet https://sparrowwallet.com/ ://trustwallet.com/ Gnosis Safe https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ Keystone https://keyst.one/ Trezor https://trezor.io/ Rabby https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ Phantom https: //phantom.app/ Tornado Cash https://tornado.cash/ Binance https://www.binance.com/ Coinbase https://coinbase.com Compound https://compound.finance/ SushiSwap https://www .sushi.com/ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ 即刻 https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ 監視自己防衛 https://ssd .eff.org/ プライバシー ガイド https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG スイート https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1Password https://1password.com/ Bitwarden https://bitwarden.com/ Google Authenticator https://support.google.com/accounts/answer/1066447 Microsoft Authenticator https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ Tutanota https://tutanota.com/ VMware Workstation https://www.vmware.com/products/workstation- pro.html パラレルズ https://www.Parallels.com/

# ニュービー用