OpenSea Hack：Web3セキュリティに関する重要なポイント

ハッカーは週末にOpenSeaユーザーから数百万ドル相当のNFTを盗みました。 この事件は、Web3の運用セキュリティの重要性を浮き彫りにしました。

OpenSeaハックがセキュリティリスクを浮き彫りにする

2月19日、複数のOpenSeaユーザーが、Bored Ape YachtClubやAzukiなどのコレクションから貴重なNFTが財布から排出されたと報告しました。 運搬の総額は約300万ドルと見積もられました。 翌日、OpenSeaは、根本的な原因は「OpenSeaの外部」で発生したフィッシング攻撃であると考えていると述べました。

攻撃は32人のユーザーを標的にしました。 彼らは悪意のあるリンクをクリックして、NFTを別のウォレットに転送することを許可する不正なスマートコントラクトに署名するように誘惑されたと考えられています。 その結果、ハッカーは数時間で250を超えるNFTを排出することができました。

OpenSeaは、オフチェーン署名を利用して、ユーザーに代わってガスレス取引を実行します。 これらは自動的に実行できます。つまり、ユーザーはNFT注文を処理するためにオンラインである必要はありません。 ハッカーは被害者をだまして、OpenSeaが使用するNFT交換プロトコルであるWyvernとの取引に署名させたと考えられています。

foob​​arとして知られる偽名のSolidity開発者が投稿しました ツイートストーム 被害者が悪意のあるコードに署名し、ハッカーがNFTを自分たちが管理する「ターゲットアドレス」に排出できるようにしたという事件に続いて。 被害者にコードに署名するよう説得するために、被害者は電子メールまたはその他の通信形式でOpenSeaを装ったと考えられています。

この事件は、スマートコントラクト取引に署名する際に注意を払う必要があることを浮き彫りにしています。 また、Web3の隅々に見られるリスクと、進化する状況の中での脅威についてユーザーが自分自身を教育することの重要性を思い出させる役割も果たします。 このような攻撃の犠牲になるリスクを軽減するために、アクティブなWeb3ユーザーが自分自身を保護するために実行できるいくつかの手順があります。

権限を取り消す

NFTまたはその他の暗号資産を保護するための最初のステップとして、暗号ウォレットに関連付けられているアクセス許可を取り消す方法を知ることが重要です。 OpenSeaハッキングのようなフィッシング攻撃は、悪意のある署名を1つだけ署名すると、ウォレットに保存されているすべてのNFTが失われる可能性があるため、大きな懸念事項です。 OpenSeaで取引し、Wyvern Exchange V1契約でオフチェーン署名を許可した場合、資金を使用する許可を取り消すことは、ハッカーが契約で資金を使い果たすリスクを減らす1つの方法です。

ユーザーは、に移動してウォレットの権限を取り消すことができます トークンの承認 Etherscanのページで、ウォレットを接続し、ウォレットが相互作用した各アプリケーションのトークン承認を見つけます。

ブラインド署名を避ける

OpenSeaのハッキングに続いて、同社の最高技術責任者NadavHollanderは次のように述べています。 ツイートストーム 被害者からの有効な署名がWyvernV1契約で悪用された（OpenSeaがWyvern V2.3に移行する前）。 ユーザーは「ある時点で、ある時点で、どこかで注文に署名しました」と彼は言いました。 これは、被害者が誤って悪意のある契約に署名した可能性があることを示唆しています。

これまで、暗号フィッシング攻撃はユーザーをだましてウォレットのシードフレーズを入力させ、ハッカーがウォレットにアクセスして資金を盗むことを可能にしました。 場合によっては、ハッカーはユーザーを偽のエアドロップで誘い込むことによって資金を使う許可を取得しています。 最近のOpenSeaの事件は、ハッカーが一度に複数のコレクターを試みたため、異なっていました。 これは、シードフレーズに注意することに加えて、ユーザーはオフチェーンメッセージへの署名と疑わしい契約とのやり取りに注意する必要があることを示しています。

署名が署名されると、資金がハードウェアウォレットに保持されている場合でも、サードパーティがユーザーに代わって資金を使用できます。 したがって、OpenSeaまたは他のアプリケーションでガスレス署名を実行する場合は、ユーザーが注意を払うことが重要です。 一部のブロックチェーンの専門家は、すべてのブラインド署名を承認しないことを推奨しています。

このような署名には次のものが含まれます イーサリアムアドレスとしてのみ表示される16進コードのみ。 トランザクションに関する追加の詳細は提供されません。 EIP-712署名ただし、署名要求の時間に関連する完全なトランザクションデータが表示されるため、より明確になります。 ホランダーあたり、最近移行されたOpenSea契約に付属するEIP-712形式では、「悪意のある人物が誰かをだまして注文に気付かずに署名させることははるかに困難です」。

Web3とEメールの混合に注意してください

OpenSeaの事件に関連して、フィッシングメールキャンペーンの複数の報告が浮上しています。 ハッカーは、OpenSeaを装った電子メールを送信し、NFTリストの新しいWyvern契約への移行を承認するように促したと考えられています。 クリックスルーした後、ユーザーがハッカーにウォレットを排出する許可を与えたトランザクションに署名したようです。

の台頭のおかげで ディープフェイクメール、 ハッカーは、好きな電子メールドメインに似ているように見える電子メールを送信する方法を見つけました。 ユーザーは、たとえ公式のソースからのものであるように見えても、MetaMaskまたはその他のWeb3ウォレットからのトランザクションを要求するすべての電子メールに注意する必要があります。 運用上のセキュリティにおける最良のヒントの1つは、電子メールまたはソーシャルメディアを介して投稿されたリンクを使用してWeb3アプリケーションと対話することを避けることです。 実際、公式のソースからのものでない限り、暗号関連のリンクをクリックすることは避けるのが最善です。

トランザクションに署名する際に注意を払い、フィッシング攻撃を回避することに加えて、暗号ユーザーが保護を維持するために実行できる他の手順があります。 たとえば、NFTなどの価値の高い資産を、アプリケーションと相互作用しないコールドストレージデバイスに移動することをお勧めします。 ハッカーからNFTを保護する方法の詳細については、初心者向けガイド機能をご覧ください。

開示：この機能を書いている時点で、作者はETHと他の暗号通貨を所有していました。