
セキュリティ特別号 03|OKX Web3 & WTF Academy:一瞬前までエアドロを懸命に獲得していたのに、次の瞬間にはハッカーに「家を盗まれる」?
TechFlow厳選深潮セレクト

セキュリティ特別号 03|OKX Web3 & WTF Academy:一瞬前までエアドロを懸命に獲得していたのに、次の瞬間にはハッカーに「家を盗まれる」?
著名なセキュリティ専門家0xAA氏とOKX Web3ウォレットのセキュリティチームを特別に招き、実践ガイドの視点から「エアドロップ参加者」がよく直面するセキュリティリスクとその対策について解説します。
はじめに
OKX Web3ウォレットは特別企画として「セキュリティ特集」を立ち上げ、さまざまなタイプのブロックチェーン上でのセキュリティ問題について専門的に解説しています。ユーザーの身近で実際に起こったケースを取り上げ、セキュリティ分野の専門家や機関と共同で、複数の視点からダブル解説を行い、取引における安全ルールを体系立てて整理・要約します。目的は、ユーザーに対するセキュリティ教育を強化するとともに、自身の秘密鍵やウォレット資産の保護方法を学び、自ら守る力を身につけてもらうことにあります。
エアドロ参加がうまい手先のように見えるけど、実際のセキュリティレベルはマイナス5?
ブロックチェーン上で頻繁に操作を行うユーザーにとって、エアドロ参加者(通称:エアドロハンター)には常にセキュリティが最優先事項です。
本日は、ブロックチェーン上の「落とし穴回避の王者」二人が、安全対策のノウハウを伝授します。
今号はセキュリティ特集第03号。業界有数のセキュリティ専門家0xAA氏とOKX Web3ウォレットセキュリティチームを特別に招き、実践的なガイドラインの観点から、「エアドロハンター」がよく遭遇するリスクとその防止策について解説します。

WTF Academy:OKX Web3からのご招待に感謝します。私はWeb3オープンソース大学であるWTF Academyの0xAAです。WTF Academyは、開発者がWeb3開発を学ぶための支援を行っています。今年からは、Web3救出プロジェクトRescuETH(チェーン上レスキュー隊)も孵化させました。これは、盗難されたウォレット内の残存資産の回収に特化しており、現在までにEthereum、Solana、Cosmos上で300万人民元以上の資産を成功裏に救出しています。
OKX Web3ウォレットセキュリティチーム:こんにちは、今回の共有をとても嬉しく思います。OKX Web3ウォレットセキュリティチームは、OKXがWeb3領域において各種セキュリティ能力を構築することを担っており、ウォレットのセキュリティ機能、スマートコントラクトのセキュリティ監査、チェーン上プロジェクトのセキュリティモニタリングなどを含み、ユーザーに対して製品、資金、取引など多面的な保護サービスを提供し、ブロックチェーン全体のセキュリティエコシステムの維持に貢献しています。
Q1:エアドロ参加者が実際に遭ったリスク事例をいくつか教えてください
WTF Academy:秘密鍵の漏洩は、エアドロユーザーが直面する重大なセキュリティリスクの一つです。本質的に、秘密鍵とは暗号資産を制御するための一連の文字列であり、これを誰かが知れば、その人物は完全に当該資産を管理できるようになります。秘密鍵が漏洩すれば、攻撃者は無断でユーザーの資産にアクセス・移動・管理でき、経済的損失につながります。そこで、ここでは特に秘密鍵が盗まれた事例を中心に紹介します。
あるA氏(仮名)は、SNS上でハッカーに誘導され悪意あるソフトウェアをダウンロードした結果、その実行後に秘密鍵が盗まれました。この種のマルウェアは多様な形態をとり、マイニングスクリプト、ゲーム、会議ソフト、新興トークン購入スクリプト、スニペングボットなどがあります。ユーザーはセキュリティ意識を高める必要があります。
B氏(仮名)は、うっかり秘密鍵をGitHubにアップロードしてしまい、第三者に取得され、すぐに資産を盗まれました。
C氏(仮名)は、プロジェクト公式のTelegramグループで問い合わせた際に、自分にコンタクトしてきた偽カスタマーサポートを信用し、自分のリカバリーフレーズを漏らしてしまい、その後ウォレット資産がすべて盗まれました。
OKX Web3ウォレットセキュリティチーム:このようなリスク事例は多く存在します。ここでは、エアドロ参加中にユーザーがよく遭遇する古典的なケースをいくつかご紹介します。
第一に、なりすましアカウントによる偽エアドロ。ユーザーAが人気プロジェクトのTwitterを閲覧中に、最新ツイートの下部にエアドロ案内があるのを見つけ、リンクをクリックして参加しました。しかし、これはフィッシングでした。多くの攻撃者は、公式アカウントに似せた偽アカウントを作成し、公式ツイートの返信欄に偽の公告を投稿することでユーザーを誘導します。ユーザーは慎重に識別し、油断しないことが重要です。
第二に、公式アカウントの乗っ取り。あるプロジェクトの公式TwitterおよびDiscordアカウントがハッキングされ、攻撃者が公式チャネルを通じて偽エアドロリンクを発信しました。このリンクは公式ルートから来たものだったため、ユーザーBは真偽を疑わずクリックしてしまい、フィッシング被害に遭いました。
第三に、悪意あるプロジェクト運営者。ユーザーCはあるプロジェクトのマイニング活動に参加し、より高い報酬を得るために、保有するすべてのUSDTをステーキングコントラクトに投入しました。しかし、そのスマートコントラクトは厳密な監査を受けておらず、コードも公開されていませんでした。結果として、運営者はコントラクト内に仕込んだバックドアを利用して、C氏が預けた資産をすべて盗み出しました。
エアドロユーザーにとっては、数十から数百ものウォレットを管理することもあり、いかにそれらのウォレットと資産を守るかは非常に重要な課題です。常に警戒心を持ち、セキュリティ意識を高める必要があります。
Q2:頻繁なチェーン上操作を行うエアドロハンターにとって、よくあるセキュリティリスクとその対策は?
WTF Academy:エアドロ参加者だけでなく、すべてのWeb3ユーザーにとって、現在よく見られる二大セキュリティリスクは「フィッシング攻撃」と「秘密鍵の漏洩」です。
第一にフィッシング攻撃:ハッカーは公式サイトやアプリを装い、SNSや検索エンジン上でユーザーを誘導し、フィッシングサイトで取引や署名を促してトークンの許可権を獲得し、資産を盗みます。
対策としては、第一に、公式チャネル(公式ツイートのプロフィール記載のリンクなど)からのみ公式サイトやアプリにアクセスすることを推奨します。第二に、セキュリティプラグインを使用して、自動的にフィッシングサイトをブロックできます。第三に、怪しいサイトにアクセスする際は、専門家の意見を求めて判断してもらうことも有効です。
第二に秘密鍵の漏洩:前述の通り、ここでは繰り返しません。
対策としては、第一に、PCやスマホにウォレットを入れている場合は、非公式なルートからの怪しいソフトのダウンロードは避けましょう。第二に、公式カスタマーサポートがユーザーに直接DMすることはまずなく、ましてや秘密鍵やリカバリーフレーズの送信を求めることはありません。第三に、公開プロジェクトで秘密鍵を使う必要がある場合、.gitignoreファイルを正しく設定し、GitHubへのアップロードを防いでください。
OKX Web3ウォレットセキュリティチーム:我々は、チェーン上でのやり取りにおける5つの典型的なセキュリティリスクを整理し、それぞれに対策を提示します。
1. エアドロ詐欺
リスク概要:ユーザーはしばしば自分のウォレットアドレスに大量の不明なトークンを受け取ることがあります。これらのトークンは一般的なDEXでは取引できないことが多く、ページが「公式サイトで交換してください」と促します。そして、ユーザーが許可取引を行うと、スマートコントラクトに自分の資産を移転する権限を与えてしまい、最終的に資産を盗まれます。例えばZapeエアドロ詐欺では、多くのユーザーが突然大量のZapeトークンを受け取り、価値が数十万ドルあるように見えました。これにより、多くの人が一攫千金を夢見たのですが、実は巧妙な罠でした。これらのトークンは正規のプラットフォームで確認できないため、換金を急ぐユーザーが名称から「公式サイト」を探し、指示に従ってウォレットを接続します。売却できると思い込んでいますが、一度許可すると、ウォレット内の全資産が即座に盗まれます。
対策:エアドロ詐欺を避けるには、常に警戒心を持ち、情報源を確認し、公式チャネル(プロジェクト公式サイト、公式SNSアカウント、公式アナウンスなど)からのみ情報を得るようにしてください。秘密鍵とリカバリーフレーズを守り、いかなる手数料も支払わず、コミュニティやツールを使って潜在的な詐欺を見抜いてください。
2. 悪意あるスマートコントラクト
リスク概要:監査されていない、またはコードが公開されていないスマートコントラクトには、バグやバックドアが含まれている可能性があり、ユーザーの資金安全が保証されません。
対策:可能な限り、正式な監査会社による厳格な監査を受けたスマートコントラクトとのみやり取りするようにし、プロジェクトのセキュリティ監査報告書を確認してください。また、通常、バグバウンティ制度のあるプロジェクトは安全性が高い傾向にあります。
3. 許可管理
リスク概要:やり取りするコントラクトに過剰な許可を与えると、資金が盗まれる可能性があります。例を挙げます:1)アップグレード可能なコントラクトの場合、特権アカウントの秘密鍵が漏洩すれば、攻撃者はそれを用いてコントラクトを悪意あるバージョンにアップグレードし、許可されたユーザーの資産を盗むことができます。2)まだ発見されていないバグを持つコントラクトに過剰な許可を与えると、将来そのバグを悪用されて資金を盗まれるリスクがあります。
対策:原則として、やり取りするコントラクトに対して必要な最小限の額だけを許可し、定期的に不要な許可を確認して解除してください。オフチェーンpermit署名を行う際は、必ず許可対象のコントラクト・資産タイプ・許可額を明確に理解し、三思してから行動してください。
4. フィッシングによる許可
リスク概要:悪意あるリンクをクリックし、悪意あるコントラクトやアカウントに許可を与えてしまうこと。
対策:1)ブラインド署名を避ける:いかなる取引にも署名する前には、内容を必ず確認し、すべての操作が明確かつ必要であることを確かめてください。2)許可先に注意:許可先がEOAアドレス(外部所有アカウント)または未検証のコントラクトであれば、警戒が必要です。未検証のコントラクトには悪意あるコードが含まれている可能性があります。3)フィッシング防止機能付きウォレットの使用:OKX Web3ウォレットのようなフィッシング保護機能を持つウォレットを利用すると、悪意あるリンクを識別・ブロックできます。4)リカバリーフレーズと秘密鍵の保護:リカバリーフレーズや秘密鍵の入力を求めるサイトはすべてフィッシングサイトです。いかなるサイトやアプリにもこれらを入力してはいけません。
5. 悪意あるエアドロスクリプト
リスク概要:悪意あるエアドロスクリプトを実行すると、PCにマルウェアが仕込まれ、秘密鍵が盗まれる恐れがあります。
対策:未知のエアドロスクリプトやソフトウェアの実行には十分注意してください。
要するに、チェーン上でのやり取りを行う際は、細心の注意を払い、自分のウォレットと資産を守ってください。
Q3:代表的なフィッシングの手口とその識別・回避方法を教えてください
WTF Academy:この質問に対して別の視点から回答したいと思います。つまり、ユーザーが資産を盗まれたと気づいたとき、それがフィッシング攻撃なのか秘密鍵漏洩なのかをどう見分けるか、という点です。以下の2つの特徴から判別できます。
一、フィッシング攻撃の特徴:ハッカーは通常、フィッシングサイトを通じて、ユーザーの単一ウォレット内の一つまたは複数の資産の許可を得て資産を盗みます。一般に、盗まれる資産の種類は、ユーザーがフィッシングサイトで行った許可の回数と一致します。
二、秘密鍵/リカバリーフレーズ漏洩の特徴:ハッカーは、ユーザーの一つまたは複数のウォレット内の、すべてのブロックチェーン上にあるすべての資産の完全な支配権を取得します。したがって、以下のような特徴のうち一つでも複数当てはまる場合、ほぼ確実に秘密鍵漏洩です。
1)ネイティブトークンが盗まれた(例:ETHチェーンのETH)。なぜなら、ネイティブトークンは許可によって盗まれることはないからです。
2)複数チェーンの資産が盗まれた。
3)複数のウォレットの資産が盗まれた。
4)単一ウォレット内で複数の資産が盗まれたが、それらの資産に許可を与えた記憶がない。
5)トークンが盗まれる前、または同一のトランザクション内で許可(Approvalイベント)が行われていない。
6)入金されたガス代がすぐにハッカーに転送される。
上記の特徴に当てはまらない場合、おそらくフィッシング攻撃です。
OKX Web3ウォレットセキュリティチーム:フィッシング被害にあわないために、まず以下の2点を覚えておいてください。1)いかなるウェブページにもリカバリーフレーズ/秘密鍵を入力しないこと。2)
アクセスするリンクが公式のものであることを確認し、ウォレット画面の確認ボタンを押すときは慎重になることです。
次に、いくつかの典型的なフィッシングシナリオの手口を紹介し、ユーザーがより直感的に理解できるようにします。
1. 偽サイトによるフィッシング:公式DAppサイトを模倣し、ユーザーに秘密鍵やリカバリーフレーズの入力を誘導します。したがって、ユーザーがまず守るべき原則は、誰にも、いかなるサイトにも自分のウォレットの秘密鍵やリカバリーフレーズを教えないことです。さらに、URLが正しいか確認し、公式ブックマークを使ってよく使うDAppにアクセスし、OKX Web3ウォレットのような主要な公式ウォレットを使うことで、フィッシングサイトを検出して警告してくれます。
2. メインチェーンのトークン窃取:悪意あるコントラクト関数にClaim、SecurityUpdate、AirDropなど誘導的な名前をつけ、実際の関数の中身は空で、ユーザーのメインチェーンのトークンだけを転送するものです。

3. 類似アドレス送金:詐欺師がアドレスクラッシュ攻撃により、ユーザーの関連アドレスと先頭・末尾が何桁か一致するアドレスを生成し、transferFromを使って0金額の送金でウォレットを汚染したり、偽USDTで一定額を送金したりして、ユーザーの取引履歴を混濁させ、次回の送金時に履歴から間違ったアドレスをコピーしてしまうことを狙います。
4. 偽カスタマーサポート:ハッカーがカスタマーサポートを装い、SNSやメールでユーザーに連絡し、秘密鍵やリカバリーフレーズの提供を要求します。公式カスタマーサポートは決して秘密鍵の提供を求めません。このような要請は無視してください。
Q4:高度な技術を持つエアドロ参加者がツールを使う際の注意点は?
WTF Academy:エアドロユーザーは多種多様なツールを使うため、各ツールの利用時にはセキュリティ対策を強化すべきです。例えば、
1、ウォレットのセキュリティ:秘密鍵やリカバリーフレーズが漏れないようにし、不安な場所に保存せず、信頼できないサイトに入力しないこと。秘密鍵やリカバリーフレーズはオフラインデバイスや暗号化されたクラウドストレージなど安全な場所にバックアップ保管してください。また、高価値資産を保有するユーザーは、マルチシグウォレットの使用でセキュリティを高められます。
2、フィッシング攻撃の防止:関連サイトにアクセスする際は、URLを正確に確認し、出所不明のリンクをクリックしないでください。可能であれば、プロジェクトの公式サイトや公式SNSからダウンロードリンクや情報を取得し、サードパーティのソースは避けましょう。
3、ソフトウェアのセキュリティ:デバイスにウイルス対策ソフトをインストール・更新し、マルウェアやウイルス攻撃から守ってください。また、ウォレットや他のブロックチェーン関連ツールも定期的に更新し、最新のセキュリティパッチを適用しましょう。以前、多くの指紋ブラウザーやリモートデスクトップにセキュリティ脆弱性が見つかっているため、使用はおすすめしません。
これらの対策により、ユーザーはツール使用時のセキュリティリスクをさらに低減できます。
OKX Web3ウォレットセキュリティチーム:まず、業界で公開されている事例を挙げます。
例えば、BitBrowser(ビット指紋ブラウザー)は複数アカウントログイン、ウィンドウ関連防止、独立PC情報の擬似などの機能を提供し、一部のユーザーに人気がありました。しかし、2023年8月の相次ぐセキュリティ事件がその潜在的リスクを露呈しました。具体的には、「プラグインデータ同期」機能により、ユーザーはプラグインデータをクラウドサーバーにアップロードでき、新しい端末でパスワードを入力することで簡単に移行できました。この機能の設計意図はユーザー利便性でしたが、同時にセキュリティ上の脆弱性も抱えていました。ハッカーがサーバーを侵入し、ユーザーのウォレットデータを取得。ブルートフォース攻撃によりデータ内のウォレットパスワードを解読し、権限を奪いました。サーバーログによると、拡張機能のキャッシュを保存していたサーバーは8月初旬(ログ記録は8月2日まで)に不正ダウンロードされていました。この事件は、利便性を享受する一方で、潜在的なセキュリティリスクにも警戒する必要があることを示しています。
したがって、使用するツールが安全で信頼できるかどうかを確認することは、ハッキングやデータ漏洩を防ぐ上で極めて重要です。一般的に、以下の観点からセキュリティを高められます。
一、ハードウェアウォレットの使用:1)ファームウェアを定期的に公式ルートから更新し、公式販路で購入すること。2)安全なコンピュータで使用し、公共の場での接続は避けること。
二、ブラウザプラグインの使用:1)サードパーティのプラグインやツールの使用は慎重にし、評判のよい製品(例:OKX Web3ウォレットなど)を選ぶこと。2)信頼できないサイトではウォレットプラグインを使わないこと。
三、取引分析ツールの使用:1)信頼できるプラットフォームで取引やコントラクト操作を行うこと。2)コントラクトアドレスや呼び出しメソッドを慎重に確認し、誤操作を避けること。
四、コンピュータ機器の使用:1)コンピュータのOSやソフトウェアを定期的に更新し、セキュリティ脆弱性を修復すること。2)ウイルス対策ソフトを導入し、定期的にウイルススキャンを行うこと。
Q5:単一のウォレットと比べ、エアドロ参加者は複数のウォレットやアカウントをどのように安全に管理すればよいですか?
WTF Academy:エアドロユーザーはチェーン上での操作頻度が高く、同時に複数のウォレットやアカウントを管理しているため、資産の安全性に特に注意が必要です。
一、ハードウェアウォレットの活用:ハードウェアウォレットを使えば、一つのデバイスで複数のウォレットアカウントを管理でき、各アカウントの秘密鍵はハードウェア内に保存されるため、比較的安全です。
二、セキュリティ戦略の分離&操作環境の分離:まずセキュリティ戦略の分離ですが、用途の異なるウォレットを分け、リスク分散を図れます。例えば、エアドロ専用、取引専用、貯蓄専用などです。また、ホットウォレットを日常取引やエアドロ操作に使い、コールドウォレットを高価値資産の長期保管に使うことで、片方が被害にあっても他には影響が出ません。
次に操作環境の分離ですが、異なるデバイス(スマホ、タブレット、PCなど)で異なるウォレットを管理することで、一つのデバイスのセキュリティ問題がすべてのウォレットに及ばないようにできます。
三、パスワード管理:各ウォレットアカウントには強固なパスワードを設定し、同じまたは類似のパスワードを使わないようにしてください。あるいはパスワードマネージャーを使って、各アカウントのパスワードを管理し、それぞれが独立で安全であるようにしてください。
OKX Web3ウォレットセキュリティチーム:エアドロユーザーにとって、複数のウォレットやアカウントを安全に管理するのは簡単ではありません。以下のような観点からセキュリティを高められます。
1、リスク分散:1)すべての資産を一つのウォレットに集中させず、分散保管してリスクを低下させます。資産の種類や用途に応じて、ハードウェアウォレット、ソフトウェアウォレット、コールドウォレット、ホットウォレットなどタイプの異なるウォレットを使い分けます。2)大口資産はマルチシグウォレットで管理し、セキュリティを高めます。
2、バックアップと復旧:1)リカバリーフレーズや秘密鍵を定期的にバックアップし、複数の安全な場所に保管します。2)ハードウェアウォレットでコールドストレージを行い、秘密鍵の漏洩を防ぎます。
3、パスワードの重複禁止:各ウォレット・アカウントにそれぞれ強固なパスワードを設定し、同じパスワードを使わないことで、一つのアカウントが破られた場合に他のアカウントも危険にさらされるリスクを減らせます。
4、二段階認証の有効化:可能な限り、すべてのアカウントで二段階認証(2FA)を有効にし、セキュリティを高めます。
5、自動化ツールの抑制:特に情報をクラウドやサードパーティサーバーに保存する可能性のあるサービスの使用を減らし、データ漏洩リスクを低減します。
6、アクセス権限の制限:信頼できる人だけにウォレットやアカウントへのアクセスを許可し、操作権限も制限します。
7、ウォレットのセキュリティ状態の定期チェック:ツールを使ってウォレットの取引を監視し、異常取引がないか確認します。もし秘密鍵漏洩が判明した場合は、すべてのウォレットを直ちに変更するなど対応します。
上記以外にも多くの対策がありますが、とにかくユーザーは単一の対策に頼らず、複数の観点からウォレットと資産の安全を確保すべきです。
Q6:エアドロ参加者に関係する取引スリッページやMEV攻撃について、どのような防御策がありますか?
WTF Academy:取引スリッページやMEV攻撃を理解し、対策を講じることは極めて重要です。これらは取引コストや資産安全に直接影響します。
MEV攻撃の代表例として、1)フロントランニング:鉱山採掘者や取引ロボットが、ユーザーの取引前に同じ取引を先行実行し、利益を得ること。2)サンドイッチアタック:鉱山採掘者がユーザーの取引前後に買い注文と売り注文を挟み込み、価格変動から利益を得ること。3)裁定取引:ブロックチェーン上での市場間価格差を利用して利益を得ること、などがあります。
ユーザーはMEV保護ツールを使って、取引を鉱山採掘者の専用チャンネルに提出し、ブロックチェーン上で公開放送されるのを避けられます。また、取引の公開時間を短縮し、メモリープールでの滞在時間を減らし、高いガス代で取引の確定を早める、特定のDEXで大口取引を集中させないなどの対策で、攻撃リスクを下げられます。
OKX Web3ウォレットセキュリティチーム:取引スリッページとは、予想された取引価格と実際の執行価格の差を指し、通常、市場の変動が激しい時や流動性が低い時に発生します。MEV攻撃とは、情報の非対称性や取引特権を利用して超過利潤を得る行為です。以下は、これらの状況に対する一般的な防御策です。
1、スリッページ許容値の設定:取引がチェーン上に反映されるまでの遅延やMEV攻撃の可能性があるため、取引時に適切なスリッページ許容値を事前に設定し、市場変動やMEV攻撃による取引失敗や資金損失を防いでください。
2、分割取引:一度に大口取引せず、小分けにして行うことで、市場価格への影響を減らし、スリッページリスクを低減できます。
3、流動性の高い取引ペアの使用:取引時は、流動性が豊富な取引ペアを選ぶことで、スリッページの発生を減らせます。
4、フロントラン防止ツールの使用:重要な取引はメモリープールを経由せず、専用のフロントラン防止ツールを使うことで、MEVロボットに取引を捕獲されるのを防げます。
Q7:ユーザーは監視ツールや専門的手法を使って、定期的にウォレットアカウントの異常を監視・検出できますか?
WTF Academy:ユーザーは、さまざまな監視ツールや専門的手法を使って、ウォレットアカウントの異常活動を定期的に監視・検出できます。これらの方法は、アカウントのセキュリティ向上に役立ち、不正アクセスや潜在的な詐欺行為を防ぐのに有効です。以下に効果的な監視・検出方法をいくつか紹介します。
1)サードパーティの監視サービス:多くのプラットフォームが、ウォレット活動の詳細レポートやリアルタイムアラートを提供しています。
2)セキュリティプラグインの使用:一部のセキュリティツールは、自動的に一部のフィッシングサイトをブロックできます。
3)ウォレット内蔵機能:OKX Web3などのウォレットは、一部のフィッシングサイトや怪しいコントラクトを自動検出し、警告を出すことができます。
OKX Web3ウォレットセキュリティチーム:現在、多くの企業や組織がウォレットアドレスの監視・検出に使えるツールを提供しています。業界の公開情報をもとに、以下を整理しました。
1、ブロックチェーン監視ツール:ブロックチェーン分析ツールを使って、ウォレットアドレスの異常取引や資金の動きを監視し、アドレスの取引通知を設定できます。
2、セキュリティウォレット:OKX Web3ウォレットなどの専門ウォレットを使えば、取引の事前実行チェックができ、怪しい取引を早期に発見できます。また、悪意あるサイトやコントラクトとのやり取りを検知・阻止できます。
3、アラートシステム:ユーザーが設定した条件に基づき、取引や残高変動の通知をSMS、メール、アプリ通知などで送信できます。
4、OKLinkのトークン許可照会:DAppsに対するウォレットの許可を確認し、不要な許可は速やかに解除することで、悪意あるコントラクトによる乱用を防げます。

Q8:チェーン上のプライバシー保護はどうすればよいですか?
WTF Academy:ブロックチェーンの公開性・透明性は多くの利点をもたらしますが、同時にユーザーの取引活動や資産情報が悪用される可能性もあるため、チェーン上のプライバシー保護がますます重要になっています。ユーザーは複数のアドレスを作成・使用することで、個人のアイデンティティを守れます。指紋ブラウザの使用はおすすめしません。過去に多数のセキュリティ脆弱性が報告されています。
OKX Web3ウォレットセキュリティチーム:最近、プライバシー保護に注目するユーザーが増えています。主な方法は以下の通りです。
1、複数ウォレット管理:資産を分散させ、単一ウォレットが追跡されたり攻撃されたりするリスクを減らします。
2、マルチシグウォレットの使用:複数人の署名が必要なウォレットで、セキュリティとプライバシー保護を高めます。
3、コールドウォレット:長期保有資産をハードウェアウォレットやオフライン保管に置き、オンライン攻撃から守ります。
4、アドレスの公開禁止:SNSや公開プラットフォームでウォレットアドレスを共有しないようにし、追跡を防ぎます。
5、一時的なメールアドレスの使用:エアドロやその他の活動に参加する際、一時的なメールアドレスを使って個人情報を漏らさないようにします。
Q9:ウォレットアカウントが盗まれた場合、ユーザーはどう対応すべきですか?資産の回収支援やユーザー保護のために何か取り組みや仕組みがありますか?
WTF Academy:フィッシング攻撃と秘密鍵/リカバリーフレーズ漏洩に分けて説明します。
まず、フィッシング攻撃が発生した場合、ユーザーがハッカーに与えた資産の許可はハッカーのウォレットに転送され、これはほとんど回収できません。しかし、ユーザーのウォレットに残っている資産は比較的安全です。RescuETHチームは以下の対応を提案します。
1)ハッカーへの資産許可を撤回する
2)セキュリティ企業に連絡し、盗難資産やハッカーのアドレスを追跡してもらう
次に、秘密鍵/リカバリーフレーズ漏洩が発生した場合、ユーザーのウォレットにあるすべての価値ある資産がハッカーのウォレットに転送され、これもほとんど回収できません。しかし、現時点で転送できない資産(ロック中のステーキング資産や未配布のエアドロなど)は救出可能です。これが私たちの主な救出対象です。RescuETHチームは以下の対応を提案します。
1)すぐにウォレット内にハッカーに移されていない資産がないか確認し、あれば直ちに安全なウォレットに移動してください。ハッカーがマイナーなチェーンの資産を逃すこともあります。
2)ロック中のステーキング資産や未配布のエアドロがあれば、専門チームに連絡して救出を依頼してください。
3)悪意あるソフトをインストールした疑いがある場合、PCをすぐにスキャンし、マルウェアを削除してください。必要に応じてOSを再インストールすることも検討してください。
現在、私たちは盗難されたユーザーの資産回収に多くの試みを行っています。
第一に、私たちは盗難ウォレットの資産を大規模に救出する最初のチームです。2023年3月のArbitrumエアドロ活動中、ファン20人近くから40以上の漏洩ウォレットの秘密鍵を集め、$ARBエアドロをハッカーに先んじて救出しました。最終的に40,000ドル以上のARBトークンを成功裏に救出し、成功率は80%でした。
第二に、ユーザーのウォレットが盗まれても、経済的価値のある資産はハッカーに持ち去られますが、経済的価値はないものの思い出深いNFTやENSはウォレットに残っています。しかし、ウォレットはハッカーに監視されているため、入金されたガス代もすぐに転送され、ユーザーはそれらの資産を移動できません。この問題に対し、私たちはセルフ救出アプリ「RescuETH App」を開発しました。これはFlashbots bundleのMEV技術をベースに、ガス代の入金とNFT/ENSの出金を一つの取引にまとめて実行し、ハッカーの監視スクリプトがガス代を奪うのを防ぐことで資産救出を可能にします。現在RescuETH Appはクローズドテスト中で、6月から公開テストを予定しています。
第三に、ユーザーの盗難ウォレットで救出可能な部分(ロック中のステーキング資産や未配布のエアドロ)について、カスタマイズ可能な有償ホワイトハット救出サービスを提供しています。現在、私たちのホワイトハットチームは約20人のセキュリティ/MEV専門家で構成され、ETH、Solana、Cosmosなどのチェーン上で、300万人民元以上の資産を救出しています。
OKX Web3ウォレットセキュリティチーム:2つの視点から説明します:ユーザー対応とOKX Web3ウォレットのセキュリティメカニズム
一、ユーザー対応
ユーザーが自分のウォレットが盗まれたことに気づいた場合、緊急に対応することを推奨します。
1、緊急対応
1)直ちに資金を移動:ウォレットにまだ資金がある場合は、すぐに安全な新アドレスに移動してください。
2)許可の撤回:すぐに管理ツールですべての許可を撤回し、さらなる損失を防いでください。
3)資金の流れの追跡:盗難された資金の流れをすぐに追跡し、被害の詳細を整理して、外部の支援を求めてください。
2、コミュニティとプロジェクト側の支援
1)プロジェクト側やコミュニティの支援を求める:プロジェクト側やコミュニティに事件を報告してください。場合によっては、プロジェクト側が盗難資産を凍結または回収できることがあります。例えば、USDCにはブラックリスト機能があり、資金の移動を阻止できます。
2)ブロックチェーンセキュリティ組織に参加:関連するブロックチェーンセキュリティ組織やグループに参加し、集団の力を借りて問題を解決してください。
3)ウォレットカスタマーサポートに連絡:すぐにウォレットのカスタマーサポートに連絡し、専門的な支援やアドバイスを求めましょう。
二、OKX Web3ウォレットのセキュリティメカニズム
OKX Web3ウォレットはユーザーの資産安全を非常に重視しており、ユーザー資産保護に継続的に投資し、デジタル資産の安全を確保するための多重セキュリティメカニズムを提供しています。
1)ブラックリストアドレスデータベース:OKX Web3ウォレットは豊富なブラックリストアドレスデータベースを構築し、ユーザーが既知の悪意あるアドレスとやり取りするのを防いでいます。このデータベースは継続的に更新され、変化するセキュリティ脅威に対応し、ユーザー資産の安全を確保します。

2)セキュリティプラグイン:OKX Web3ウォレットは内蔵のフィッシング防止機能を提供し、悪意あるリンクや取引リクエストを識別・ブロックすることで、ユーザーのアカウントセキュリティを強化しています。

3)24時間サポート:OKX Web3ウォレットは24時間オンラインサポートを提供し、ユーザーの資産盗難・詐欺事件に迅速に対応し、ユーザーがすぐに支援やアドバイスを得られるようにしています。
4)ユーザー教育:OKX Web3ウォレットは定期的にセキュリティヒントや教育資料を発信し、ユーザーのセキュリティ意識を
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News













