見出し画像

Web3セキュリティ_#4:ウォレットを使用する(1)ホットウォレット/コールドウォレット編

【note版】Web3ポケットキャンパス

ウォレットの作成とバックアップの取り方について理解ができたところで、次はウォレットを使用する際のセキュリティについて解説します。基本的なウォレットの操作から、DeFi、NFTなどを操作する上でのセキュリティへと順を追っていきます。

まずはウォレットを使う上での基本的なセキュリティについて、コールドウォレットとホットウォレット、それぞれを分けて解説します。(関連単元:「暗号資産ウォレット」とは何か - 種類別の使い方


コールドウォレット

そのウォレットがインターネットに接続されていない場合、コールドウォレットと見なされます。セキュリティのポイントとしては、インターネットに接続されていない状態でどのようにして使うか、という点が挙げられます。

コールドウォレットで暗号資産を受け取るだけであれば、大きな問題にはならないかもしれません。その場合、確認のためにウォレットの受け取りをモニタリングすれば解決できるでしょう。例えば、imToken(アイムトークン)やTrustWallet(トラストウォレット)などの暗号資産ウォレットアプリは、秘密鍵を使用して追加することで自分のウォレットアドレスで様々な取引をするだけでなく、公開アドレスを追加することでウォレットのモニタリングが可能になります(コールドウォレット、ホットウォレットに限らずモニタリングができます)。

コールドウォレットから暗号資産を送りたい場合は、そのコールドウォレットを操作するための専用アプリケーション(ここではLight Appと呼びます)を使用します。コールドウォレットから暗号資産を送る仕組みについて、大まかな流れを説明します。

(1)署名する内容は、二次元コード、USB、Bluetoothなどを介してLight Appからコールドウォレットに送信される
(2)署名は秘密鍵を持つコールドウォレットが担い、Light Appに返送される
(3)Light Appは、署名されたコンテンツをブロックチェーンにブロードキャストする

この方法は少し手間がかかるように思えますが、慣れてしまえばより安心感をもって使用できます。ただし、まだリスクはあり、そのリスクによって損失を被るケースも少なくありません。リスクのポイントとして以下の四つが挙げられます。

■送金先アドレスのリスク

暗号資産の送金先のアドレスが厳密にチェックされないことにより、結果的に他の人に送金してしまうことです。最近では「最初と最後の数桁が同じアドレス」を作るプログラムを使い、暗号資産送金のターゲットアドレスを何らかのトリックで別のアドレスに置き換えようとする悪意あるユーザーが存在します。

■使用権限(承認)のリスク

ある暗号資産に対して未知のアドレスに使用権限(Approve:承認とも言います)を与えることです。承認はEthereum(イーサリアム)チェーン系統(Ethereumチェーン及びEVMサポートチェーン)のスマートコントラクトのトークンの仕組みで、対象アドレスへの使用権限およびその数量を承認します。特に、不用意に「無制限な量の承認」をしないようにしてください。承認に関しては「〓Web3セキュリティ_#6 ウォレットを使用する(3)NFT編〓」にて解説をします。

■署名のリスク

一見どうでもいいような署名は、実は重大なトラップである可能性があります。これについても「〓Web3セキュリティ_#6 ウォレットを使用する(3)NFT編〓」で解説します。

■コールドウォレットそのもののリスク

コールドウォレットには必要な情報が十分に表示されないため、ユーザーが油断して判断を誤ることがあります。

ホットウォレット

ホットウォレットはコールドウォレットが持つ全てのリスクに加えて、ニーモニックフレーズ(秘密鍵)が盗まれるリスクもあります。ホットウォレットはインターネットに接続している分、ウイルス感染リスクなど、PC環境のセキュリティの観点から考慮すべき点が多くなります。

また、ホットウォレットには脆弱性があり、その脆弱性が悪用され、ウォレット内の暗号資産が盗まれる可能性もあります。通常、暗号資産の送金についてはホットウォレットから直接操作できることが多いですが、DApps(DeFi、NFT、GameFiなど)とやり取りする時には、ホットウォレットはブラウザで直接アクセスするか、PCブラウザで開いたDAppsとWalletConnectプロトコルを通じてアクセスできます。

一般的には、ウォレットのセキュリティ自体に問題がない限り、このようなDAppsとのやり取りによってニーモニックフレーズが盗難に遭うことはありません。一方で悪意のあるコードやバックドアによる暗号資産の盗難事件がいくつか発生していることも事実です。このような悪用については、大きく三つの手法に分けられます。

・ウォレットが稼働すると、悪意のあるコードが関連するニーモニックフレーズをパッケージ化し、ハッカーが管理するサーバーにアップロードしてしまう

・ユーザーが送金を実行した際、ユーザーが気づかないうちに送金先のアドレスや金額などの情報がバックエンドで密かに置き換えられる

・ニーモニックフレーズの生成に関連する乱数のエントロピー値を破壊することで、ニーモニックフレーズを解読する

これらの手法はウォレットのアップデートによって、知らないうちに巻き込まれている可能性もあります。大切な資産を入れるウォレットは安易なアップデートをせず、使えるのであればそのままにしておくことも一つのリスク回避手段と言えます。

制作:株式会社Kudasai

株式会社Kudasaiは、2020年に創設された日本最大級の暗号資産コミュニティ「KudasaiJP」を起点とし、株式会社化されました。株式会社KudasaiはWeb3企業のみならず、Web3に関わる全てのプロジェクトや企業の成長を支援する企業です。ブロックチェーンスタートアップの計画・開発やアドバイザリー、コミュニティ拡大まで、多面的かつ包括的な成長支援ソリューションを提供しています。

Web3ポケットキャンパスはスマホアプリでも学習ができます。アプリではnote版にはない「クイズ」と「学習履歴」の機能もあり、よりWeb3学習を楽しく続けられます。ぜひご利用ください。

▼スマホアプリインストールはこちら

この記事が気に入ったらサポートをしてみませんか?