フェイクウォレットやプライベートシードフレーズ漏洩のリスク
Web3セキュリティ初心者ガイド:落とし穴回避のためのリスク | 偽のウォレットとプライベートシードフレーズ漏洩の危険性背景
ウォレットはWeb3の世界で重要な役割を果たしています。デジタル資産の保管ツールであり、ユーザーが取引を行いDAppsにアクセスするために必要なツールです。前の問題Web3セキュリティ初心者ガイドの落とし穴を回避する方法については、主にウォレットの分類と一般的なリスクポイントを紹介し、読者がウォレットセキュリティの基本的な概念を理解するのを助けました。暗号通貨やブロックチェーン技術の普及に伴い、サイバー犯罪者もWeb3ユーザーの資金を標的にしています。SlowMistセキュリティチームが受け取った盗難フォームによると、多くのユーザーが偽のウォレットをダウンロード/購入したため、盗まれていることがわかります。したがって、今回の問題では、ユーザーがなぜ偽のウォレットをダウンロード/購入する可能性があるのか、そして秘密鍵/シードフレーズが漏洩するリスクについて探求します。さらに、ユーザーが資金を保護するための一連のセキュリティ推奨事項を提供します。
偽のウォレットをダウンロード
多くの携帯電話はGoogle Playストアをサポートしていないか、ネットワークの問題があるため、多くの人々がウォレットを他の方法でダウンロードします。たとえば、
サードパーティのダウンロードサイト
一部のユーザーは、apkcombo、apkpureなどのサードパーティのダウンロードサイトを介してウォレットをダウンロードします。これらのサイトは、しばしばアプリがGoogle Play Storeのミラーからダウンロードされたものであると広告していますが、それはどれほど安全でしょうか?SlowMistセキュリティチームは、Web3の偽のウォレットのサードパーティソースを調査・分析し、その結果、サードパーティのダウンロードサイトapkcomboが提供するウォレットバージョンは存在しないことが示されました。ユーザーがウォレットを作成したり、開始インターフェースでウォレットのシードフレーズをインポートした場合、偽のウォレットはシードフレーズやその他の情報をフィッシングウェブサイトのサーバーに送信します。
検索エンジン
検索エンジンの結果ランキングは操作される可能性があり、偽の公式Webサイトが本物よりも上位にランク付けされるケースにつながります。したがって、ユーザーが検索エンジンでウォレットを直接検索し、上位のリンクをクリックしてウォレットをダウンロードすることはお勧めしません。これを行うと、偽の公式Webサイトにアクセスし、偽のウォレットをダウンロードする可能性が非常に高くなります。ユーザーが公式サイトのURLを知らない場合、Webサイトの表示ページの外観だけでは偽サイトかどうかを判断することは困難です。これは、詐欺師が本物の公式 Web サイトによく似た偽の Web サイトを作成し、この 2 つを区別するのが難しくなるためです。したがって、Twitterや他のプラットフォームで他のユーザーが共有したリンクは、フィッシングリンクであることが多いため、ユーザーがクリックすることもお勧めしません。
親戚や友人/豚の屠殺詐欺
ブロックチェーンの暗い森で、ゼロ信頼を維持することは重要です。友達や家族があなたに悪意を持っていなくても、彼らがダウンロードするウォレットは偽物である可能性があり、まだ侵害されていないかもしれません。したがって、彼らが共有するQRコード/リンクを通じてウォレットをダウンロードした場合、偽のウォレットをダウンロードする可能性があります。
SlowMistセキュリティチームは、資金盗難を含む詐欺事件に関する数多くの報告を受けています。詐欺師はしばしば被害者と信頼関係を築き、仮想通貨投資に誘導し、その後、偽のウォレットをダウンロードするリンクを共有します。結果として、被害者は資金だけでなく信頼も失います。したがって、ユーザーは、特に投資を奨励したり、怪しいリンクを送ったりするオンライン知人とやり取りする際には警戒すべきです。そのような状況で彼らを信用しないでください。
Telegram
Telegramで、有名なウォレットを検索することで、私たちはいくつかの偽の公式グループを見つけました。詐欺師はそのグループを特定のウォレットの公式チャンネルであると主張し、さらにグループのユーザーに唯一の公式ウェブサイトリンクを探すように促します。しかし、これらのリンクはすべて偽物です。
App Mall
公式アプリモール内のアプリは必ずしも安全とは限りませんので、ユーザーに注意を喚起することが重要です。一部の犯罪者は、キーワードランキングを購入してトラフィックを誘導し、ユーザーに詐欺アプリをダウンロードさせることがあります。読者の皆様には注意が必要です。
では、ユーザーは偽のウォレットをダウンロードしないために何ができるのでしょうか?
公式ウェブサイトからアプリをダウンロードしてください
正式のウェブサイトを見つける能力は、ウォレットをダウンロードする際だけでなく、ユーザーがその後Web3プロジェクトに参加する際にも使用されるため、ここで正しい公式のウェブサイトを見つける方法について説明します。
ユーザーは直接Twitterでプロジェクトの関係者を検索し、フォロワー数、登録時間、および青または金のラベルの有無に基づいて公式アカウントかどうかを判断することができます。ただし、これらはすべて偽装されている可能性があります。記事「本物と偽のプロジェクト関係者 | コメントエリアでの偽アカウントのフィッシングに注意してください私は、高い模倣数を売る黒と灰色の製品についてお伝えしました。したがって、業界のセキュリティ企業、セキュリティ実践者、有名なメディアなどにフォローし、見つけた公式アカウントをフォローしているかどうかを確認するために、初心者はまずTwitterで一部に従うことをお勧めします。
(https://twitter.com/DefiLlama)
以上の方法を通じて、ユーザーは実際の公式Twitterアカウントを見つける可能性が非常に高いですが、複数の検証を行う必要があります。何しろ、公式Twitterアカウントがハッキングされることは珍しくなく、ハッカーは公式アカウント上の公式ウェブサイトリンクを偽の公式ウェブサイトリンクに置き換えることもありますので、ユーザーは他のチャンネル(DefiLlama、CoinGecko、CoinMarketCapなど)を通じて見つけたリンクと、ちょうど見つけた公式ウェブサイトリンクを比較する必要があります。
(https://landing.coingecko.com/links/)
公式ウェブサイトのリンクを見つけて確認した後、ユーザーはリンクをブックマークに保存することをお勧めします。次回以降、再度見つけて確認する必要がなく、ブックマークから直接正しいリンクを見つけることができます。これにより、偽の公式ウェブサイトに入る可能性が低くなります。
アプリモール
ユーザーは、Apple Store、Google Play Storeなどの公式アプリケーションストアを通じてウォレットをダウンロードすることができますが、ダウンロードする前に、まずアプリケーションの開発者情報を確認して公式の開発者IDと一致していることを確認してください。また、アプリケーションの評価やダウンロード数などの情報も参照できます。
公式バージョン確認
この文章を見ている読者の中には、自分がダウンロードしたウォレットが本物かどうかをどのように検証すればよいのか疑問に思う人もいるかもしれません。ユーザーはファイルの整合性検証を行うことができます。これは、ファイルのハッシュ値を比較することで、ファイルが転送や保存中に変更されたかどうかを判断します。ユーザーは、以前にダウンロードしたAPKファイルをファイルハッシュ検証ツールにドラッグ&ドロップするだけです。このツールはハッシュ関数(MD5、SHA-256など)を使用してファイルのハッシュ値を生成します。この値が公式のハッシュ値と一致すれば、それは本物のウォレットです。一致しない場合は、偽のウォレットです。ユーザーが自分のウォレットが偽であることを確認した場合、どうすればよいでしょうか?
最初にリークの範囲を確認してください。偽のウォレットをダウンロードしただけで、秘密鍵/シードフレーズを入力していない場合は、アプリを削除して公式バージョンを再ダウンロードしてください。
プライベートキー/シードフレーズが偽のウォレットにインポートされている場合、プライベートキー/シードフレーズが漏洩していることを意味します。公式ウェブサイトにアクセスして、正規のウォレットをダウンロードし、プライベートキー/シードフレーズをインポートして、新しいアドレスを作成して、移動可能な資金を迅速に移動してください。
仮想通貨が不幸にも盗まれた場合、ケース評価のために無料のコミュニティ支援サービスを利用することができます。分類ガイドライン(資金の盗難/詐欺/恐喝)に従ってフォームを提出するだけです。同時に、提出されたハッカーアドレスはリスク管理のためにInMist脅威インテリジェンス協力ネットワークにも同期されます。(注意:中国語のフォームを提出してください。https://aml.slowmist.com/cn/recovery-funds.html、そして英語のフォームを提出しますhttps://aml.slowmist.com/recovery-funds.html)
偽のハードウェアウォレットを購入する
上記の状況が偽のウォレットがダウンロードされる理由と解決策であるためです。なぜ偽のハードウェアウォレットが購入されるのかについて話しましょう。
一部のユーザーは、オンラインモールでハードウェアウォレットを購入することを選択しますが、そのような非公式な認可ストアからのハードウェアウォレットには非常に大きなセキュリティリスクがあります。ウォレットがユーザーの手に渡る前に何人の手を経るか、内部部品が改ざんされていないかどうかは不確かです。内部部品が改ざんされている場合、外観や機能から問題を検出するのは難しいでしょう。
(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
ハードウェアウォレットの供給チェーン攻撃に対処するための方法の一部を以下に示します:
公式チャネルから購入してください:これはサプライチェーン攻撃に対処する最も効果的な方法です。オンラインモール、購入代理店、ネットユーザーなどの非公式チャネルからハードウェアウォレットを購入しないでください。
外観をチェックしてください。ウォレットを手に入れた後は、まず外装が損傷していないかを確認してください。これは最も基本的な作業ですが、ハッカーはおそらくこの段階で露出することはほとんどありません。
認証:一部のハードウェアウォレットは、公式ウェブサイトの物理デバイス検証サービスを提供しています。ユーザーがウォレットを初期化すると、デバイスはユーザーに公式ウェブサイトの物理デバイス検証を実行するよう促します。デバイスが輸送中に改ざんされた場合、公式ウェブサイトでの実際のデバイス検証に合格できなくなります。
分解および自己破壊メカニズム:分解および自己破壊メカニズムを備えたハードウェアウォレットを購入することができます。誰かがハードウェアウォレットを開こうとし、内部部品を改ざんしようとすると、自己破壊メカニズムが作動します。セキュリティチップ内のすべての機密情報が自動的に消去され、デバイスはもはや使用できなくなります。
プライベートキー/シードフレーズ漏洩のリスク
上記の内容を通じて、皆さんはリアルなウォレットをダウンロードまたは購入する方法を学ぶべきですが、秘密鍵/シードフレーズをどのように保管するかは別の問題です。秘密鍵/シードフレーズはウォレットを回復し資産を管理するための唯一の資格情報です。秘密鍵は文字と数字から成る64ビットの16進文字列であり、シードフレーズは一般的に12個の単語で構成されています。SlowMistセキュリティチームは、秘密鍵/シードフレーズが漏洩した場合、ウォレット資産が盗まれる可能性が非常に高いことをお知らせいたします。秘密鍵/シードフレーズの漏洩につながる一般的な理由をいくつか見てみましょう。
機密保護の不適切:ユーザーが親族や友人に秘密鍵/シードフレーズを教え、助けて保存してもらうよう依頼する可能性があります。その結果、資金が親族や友人によって盗まれることがあります。
プライベートキー/シードフレーズのネットワークストレージまたは転送: 一部のユーザーは、プライベートキー/シードフレーズを他人に伝えてはいけないと知っていても、WeChatのお気に入り、写真、スクリーンショット、クラウドストレージ、メモなどを介してプライベートキー/シードフレーズを保存します。これらのプラットフォームアカウントがハッカーによって収集され、正常に侵害された場合、プライベートキー/シードフレーズは簡単に盗まれる可能性があります。
プライベートキー/シードフレーズをコピーして貼り付ける:多くのクリップボードツールや入力方法は、ユーザーのクリップボード履歴をクラウドにアップロードするため、プライベートキー/シードフレーズが安全ではない環境で公開されてしまうことがあります。また、トロイの木馬ソフトウェアも、ユーザーがプライベートキー/シードフレーズをコピーする際にクリップボード内の情報を盗むことがあります。そのため、ユーザーにはプライベートキー/シードフレーズをコピーして貼り付けることはお勧めしません。このように見えて無害な行動は、実際には大きな漏洩のリスクを引き起こすことがあります。
プライベートキー/シードフレーズの漏洩を避ける方法は?
まず、友人や家族を含む誰にも秘密鍵/シードフレーズを教えないでください。次に、ハッカーがネットワーク攻撃やその他の手段で秘密鍵/シードフレーズを取得するのを防ぐために、秘密鍵/シードフレーズを保存する物理メディアを選択するようにしてください。たとえば、秘密鍵/シードフレーズを上質な紙にコピーしたり(プラスチックで密封することもできます)、シードフレーズボックスを使用して保管したりします。さらに、マルチシグを設定し、秘密鍵/シードフレーズを分散して保存することで、秘密鍵/シードフレーズのセキュリティを向上させることもできます。秘密鍵/シードフレーズをバックアップする方法については、SlowMistが作成した「Blockchain Dark Forest Self-Rescue Handbook」をお読みください。https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
概要
この記事では、ウォレットをダウンロード/購入する際のリスク、実際の公式ウェブサイトを見つけてウォレットの信頼性を検証する方法、プライベートキー/シードフレーズの漏洩リスクについて主に説明しています。この問題の内容が皆さんがweb3に初めて足を踏み入れるのを助けることを願っています。次の問題では、フィッシング、署名、承認リスクなど、ウォレットを使用する際のリスクについて説明します。ぜひフォローしてください。(注:この記事で言及されているブランドや画像は、読者の理解を助けるためだけに使用されており、推奨や保証を構成するものではありません)
- この記事は[から転載されていますウィーチャット公式アカウント:SlowMistテクノロジー]. すべての著作権は元の著者に帰属します [慢雾安全团队]. もしこの転載に異議がある場合は、お問い合わせください。Gate Learnチームが迅速に対処します。
- 責任の免責事項:この記事で表現されている意見は著者個人のものであり、投資アドバイスを構成するものではありません。
- この記事の翻訳は、Gate Learnチームによって行われています。特に記載がない限り、翻訳された記事のコピー、配布、または盗用は禁止されています。
Mời người khác bỏ phiếu
Bài viết liên quan
ソラナとは何ですか?
フェイクウォレットやプライベートシードフレーズ漏洩のリスク
背景
ウォレットはWeb3の世界で重要な役割を果たしています。デジタル資産の保管ツールであり、ユーザーが取引を行いDAppsにアクセスするために必要なツールです。前の問題Web3セキュリティ初心者ガイドの落とし穴を回避する方法については、主にウォレットの分類と一般的なリスクポイントを紹介し、読者がウォレットセキュリティの基本的な概念を理解するのを助けました。暗号通貨やブロックチェーン技術の普及に伴い、サイバー犯罪者もWeb3ユーザーの資金を標的にしています。SlowMistセキュリティチームが受け取った盗難フォームによると、多くのユーザーが偽のウォレットをダウンロード/購入したため、盗まれていることがわかります。したがって、今回の問題では、ユーザーがなぜ偽のウォレットをダウンロード/購入する可能性があるのか、そして秘密鍵/シードフレーズが漏洩するリスクについて探求します。さらに、ユーザーが資金を保護するための一連のセキュリティ推奨事項を提供します。
偽のウォレットをダウンロード
多くの携帯電話はGoogle Playストアをサポートしていないか、ネットワークの問題があるため、多くの人々がウォレットを他の方法でダウンロードします。たとえば、
サードパーティのダウンロードサイト
一部のユーザーは、apkcombo、apkpureなどのサードパーティのダウンロードサイトを介してウォレットをダウンロードします。これらのサイトは、しばしばアプリがGoogle Play Storeのミラーからダウンロードされたものであると広告していますが、それはどれほど安全でしょうか?SlowMistセキュリティチームは、Web3の偽のウォレットのサードパーティソースを調査・分析し、その結果、サードパーティのダウンロードサイトapkcomboが提供するウォレットバージョンは存在しないことが示されました。ユーザーがウォレットを作成したり、開始インターフェースでウォレットのシードフレーズをインポートした場合、偽のウォレットはシードフレーズやその他の情報をフィッシングウェブサイトのサーバーに送信します。
検索エンジン
検索エンジンの結果ランキングは操作される可能性があり、偽の公式Webサイトが本物よりも上位にランク付けされるケースにつながります。したがって、ユーザーが検索エンジンでウォレットを直接検索し、上位のリンクをクリックしてウォレットをダウンロードすることはお勧めしません。これを行うと、偽の公式Webサイトにアクセスし、偽のウォレットをダウンロードする可能性が非常に高くなります。ユーザーが公式サイトのURLを知らない場合、Webサイトの表示ページの外観だけでは偽サイトかどうかを判断することは困難です。これは、詐欺師が本物の公式 Web サイトによく似た偽の Web サイトを作成し、この 2 つを区別するのが難しくなるためです。したがって、Twitterや他のプラットフォームで他のユーザーが共有したリンクは、フィッシングリンクであることが多いため、ユーザーがクリックすることもお勧めしません。
親戚や友人/豚の屠殺詐欺
ブロックチェーンの暗い森で、ゼロ信頼を維持することは重要です。友達や家族があなたに悪意を持っていなくても、彼らがダウンロードするウォレットは偽物である可能性があり、まだ侵害されていないかもしれません。したがって、彼らが共有するQRコード/リンクを通じてウォレットをダウンロードした場合、偽のウォレットをダウンロードする可能性があります。
SlowMistセキュリティチームは、資金盗難を含む詐欺事件に関する数多くの報告を受けています。詐欺師はしばしば被害者と信頼関係を築き、仮想通貨投資に誘導し、その後、偽のウォレットをダウンロードするリンクを共有します。結果として、被害者は資金だけでなく信頼も失います。したがって、ユーザーは、特に投資を奨励したり、怪しいリンクを送ったりするオンライン知人とやり取りする際には警戒すべきです。そのような状況で彼らを信用しないでください。
Telegram
Telegramで、有名なウォレットを検索することで、私たちはいくつかの偽の公式グループを見つけました。詐欺師はそのグループを特定のウォレットの公式チャンネルであると主張し、さらにグループのユーザーに唯一の公式ウェブサイトリンクを探すように促します。しかし、これらのリンクはすべて偽物です。
App Mall
公式アプリモール内のアプリは必ずしも安全とは限りませんので、ユーザーに注意を喚起することが重要です。一部の犯罪者は、キーワードランキングを購入してトラフィックを誘導し、ユーザーに詐欺アプリをダウンロードさせることがあります。読者の皆様には注意が必要です。
では、ユーザーは偽のウォレットをダウンロードしないために何ができるのでしょうか?
公式ウェブサイトからアプリをダウンロードしてください
正式のウェブサイトを見つける能力は、ウォレットをダウンロードする際だけでなく、ユーザーがその後Web3プロジェクトに参加する際にも使用されるため、ここで正しい公式のウェブサイトを見つける方法について説明します。
ユーザーは直接Twitterでプロジェクトの関係者を検索し、フォロワー数、登録時間、および青または金のラベルの有無に基づいて公式アカウントかどうかを判断することができます。ただし、これらはすべて偽装されている可能性があります。記事「本物と偽のプロジェクト関係者 | コメントエリアでの偽アカウントのフィッシングに注意してください私は、高い模倣数を売る黒と灰色の製品についてお伝えしました。したがって、業界のセキュリティ企業、セキュリティ実践者、有名なメディアなどにフォローし、見つけた公式アカウントをフォローしているかどうかを確認するために、初心者はまずTwitterで一部に従うことをお勧めします。
(https://twitter.com/DefiLlama)
以上の方法を通じて、ユーザーは実際の公式Twitterアカウントを見つける可能性が非常に高いですが、複数の検証を行う必要があります。何しろ、公式Twitterアカウントがハッキングされることは珍しくなく、ハッカーは公式アカウント上の公式ウェブサイトリンクを偽の公式ウェブサイトリンクに置き換えることもありますので、ユーザーは他のチャンネル(DefiLlama、CoinGecko、CoinMarketCapなど)を通じて見つけたリンクと、ちょうど見つけた公式ウェブサイトリンクを比較する必要があります。
(https://landing.coingecko.com/links/)
公式ウェブサイトのリンクを見つけて確認した後、ユーザーはリンクをブックマークに保存することをお勧めします。次回以降、再度見つけて確認する必要がなく、ブックマークから直接正しいリンクを見つけることができます。これにより、偽の公式ウェブサイトに入る可能性が低くなります。
アプリモール
ユーザーは、Apple Store、Google Play Storeなどの公式アプリケーションストアを通じてウォレットをダウンロードすることができますが、ダウンロードする前に、まずアプリケーションの開発者情報を確認して公式の開発者IDと一致していることを確認してください。また、アプリケーションの評価やダウンロード数などの情報も参照できます。
公式バージョン確認
この文章を見ている読者の中には、自分がダウンロードしたウォレットが本物かどうかをどのように検証すればよいのか疑問に思う人もいるかもしれません。ユーザーはファイルの整合性検証を行うことができます。これは、ファイルのハッシュ値を比較することで、ファイルが転送や保存中に変更されたかどうかを判断します。ユーザーは、以前にダウンロードしたAPKファイルをファイルハッシュ検証ツールにドラッグ&ドロップするだけです。このツールはハッシュ関数(MD5、SHA-256など)を使用してファイルのハッシュ値を生成します。この値が公式のハッシュ値と一致すれば、それは本物のウォレットです。一致しない場合は、偽のウォレットです。ユーザーが自分のウォレットが偽であることを確認した場合、どうすればよいでしょうか?
最初にリークの範囲を確認してください。偽のウォレットをダウンロードしただけで、秘密鍵/シードフレーズを入力していない場合は、アプリを削除して公式バージョンを再ダウンロードしてください。
プライベートキー/シードフレーズが偽のウォレットにインポートされている場合、プライベートキー/シードフレーズが漏洩していることを意味します。公式ウェブサイトにアクセスして、正規のウォレットをダウンロードし、プライベートキー/シードフレーズをインポートして、新しいアドレスを作成して、移動可能な資金を迅速に移動してください。
仮想通貨が不幸にも盗まれた場合、ケース評価のために無料のコミュニティ支援サービスを利用することができます。分類ガイドライン(資金の盗難/詐欺/恐喝)に従ってフォームを提出するだけです。同時に、提出されたハッカーアドレスはリスク管理のためにInMist脅威インテリジェンス協力ネットワークにも同期されます。(注意:中国語のフォームを提出してください。https://aml.slowmist.com/cn/recovery-funds.html、そして英語のフォームを提出しますhttps://aml.slowmist.com/recovery-funds.html)
偽のハードウェアウォレットを購入する
上記の状況が偽のウォレットがダウンロードされる理由と解決策であるためです。なぜ偽のハードウェアウォレットが購入されるのかについて話しましょう。
一部のユーザーは、オンラインモールでハードウェアウォレットを購入することを選択しますが、そのような非公式な認可ストアからのハードウェアウォレットには非常に大きなセキュリティリスクがあります。ウォレットがユーザーの手に渡る前に何人の手を経るか、内部部品が改ざんされていないかどうかは不確かです。内部部品が改ざんされている場合、外観や機能から問題を検出するのは難しいでしょう。
(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
ハードウェアウォレットの供給チェーン攻撃に対処するための方法の一部を以下に示します:
公式チャネルから購入してください:これはサプライチェーン攻撃に対処する最も効果的な方法です。オンラインモール、購入代理店、ネットユーザーなどの非公式チャネルからハードウェアウォレットを購入しないでください。
外観をチェックしてください。ウォレットを手に入れた後は、まず外装が損傷していないかを確認してください。これは最も基本的な作業ですが、ハッカーはおそらくこの段階で露出することはほとんどありません。
認証:一部のハードウェアウォレットは、公式ウェブサイトの物理デバイス検証サービスを提供しています。ユーザーがウォレットを初期化すると、デバイスはユーザーに公式ウェブサイトの物理デバイス検証を実行するよう促します。デバイスが輸送中に改ざんされた場合、公式ウェブサイトでの実際のデバイス検証に合格できなくなります。
分解および自己破壊メカニズム:分解および自己破壊メカニズムを備えたハードウェアウォレットを購入することができます。誰かがハードウェアウォレットを開こうとし、内部部品を改ざんしようとすると、自己破壊メカニズムが作動します。セキュリティチップ内のすべての機密情報が自動的に消去され、デバイスはもはや使用できなくなります。
プライベートキー/シードフレーズ漏洩のリスク
上記の内容を通じて、皆さんはリアルなウォレットをダウンロードまたは購入する方法を学ぶべきですが、秘密鍵/シードフレーズをどのように保管するかは別の問題です。秘密鍵/シードフレーズはウォレットを回復し資産を管理するための唯一の資格情報です。秘密鍵は文字と数字から成る64ビットの16進文字列であり、シードフレーズは一般的に12個の単語で構成されています。SlowMistセキュリティチームは、秘密鍵/シードフレーズが漏洩した場合、ウォレット資産が盗まれる可能性が非常に高いことをお知らせいたします。秘密鍵/シードフレーズの漏洩につながる一般的な理由をいくつか見てみましょう。
機密保護の不適切:ユーザーが親族や友人に秘密鍵/シードフレーズを教え、助けて保存してもらうよう依頼する可能性があります。その結果、資金が親族や友人によって盗まれることがあります。
プライベートキー/シードフレーズのネットワークストレージまたは転送: 一部のユーザーは、プライベートキー/シードフレーズを他人に伝えてはいけないと知っていても、WeChatのお気に入り、写真、スクリーンショット、クラウドストレージ、メモなどを介してプライベートキー/シードフレーズを保存します。これらのプラットフォームアカウントがハッカーによって収集され、正常に侵害された場合、プライベートキー/シードフレーズは簡単に盗まれる可能性があります。
プライベートキー/シードフレーズをコピーして貼り付ける:多くのクリップボードツールや入力方法は、ユーザーのクリップボード履歴をクラウドにアップロードするため、プライベートキー/シードフレーズが安全ではない環境で公開されてしまうことがあります。また、トロイの木馬ソフトウェアも、ユーザーがプライベートキー/シードフレーズをコピーする際にクリップボード内の情報を盗むことがあります。そのため、ユーザーにはプライベートキー/シードフレーズをコピーして貼り付けることはお勧めしません。このように見えて無害な行動は、実際には大きな漏洩のリスクを引き起こすことがあります。
プライベートキー/シードフレーズの漏洩を避ける方法は?
まず、友人や家族を含む誰にも秘密鍵/シードフレーズを教えないでください。次に、ハッカーがネットワーク攻撃やその他の手段で秘密鍵/シードフレーズを取得するのを防ぐために、秘密鍵/シードフレーズを保存する物理メディアを選択するようにしてください。たとえば、秘密鍵/シードフレーズを上質な紙にコピーしたり(プラスチックで密封することもできます)、シードフレーズボックスを使用して保管したりします。さらに、マルチシグを設定し、秘密鍵/シードフレーズを分散して保存することで、秘密鍵/シードフレーズのセキュリティを向上させることもできます。秘密鍵/シードフレーズをバックアップする方法については、SlowMistが作成した「Blockchain Dark Forest Self-Rescue Handbook」をお読みください。https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
概要
この記事では、ウォレットをダウンロード/購入する際のリスク、実際の公式ウェブサイトを見つけてウォレットの信頼性を検証する方法、プライベートキー/シードフレーズの漏洩リスクについて主に説明しています。この問題の内容が皆さんがweb3に初めて足を踏み入れるのを助けることを願っています。次の問題では、フィッシング、署名、承認リスクなど、ウォレットを使用する際のリスクについて説明します。ぜひフォローしてください。(注:この記事で言及されているブランドや画像は、読者の理解を助けるためだけに使用されており、推奨や保証を構成するものではありません)
- この記事は[から転載されていますウィーチャット公式アカウント:SlowMistテクノロジー]. すべての著作権は元の著者に帰属します [慢雾安全团队]. もしこの転載に異議がある場合は、お問い合わせください。Gate Learnチームが迅速に対処します。
- 責任の免責事項:この記事で表現されている意見は著者個人のものであり、投資アドバイスを構成するものではありません。
- この記事の翻訳は、Gate Learnチームによって行われています。特に記載がない限り、翻訳された記事のコピー、配布、または盗用は禁止されています。
Bài viết liên quan