つい最近ですが、openseaでのハッキングの噂が広がっているようですね。
こちらはフィッシング詐欺による被害でハッキングではないという主張があるみたいですが。
NFTのOpenSeaでフィッシング詐欺か──CEOが盗難被害をツイート
どうやら新しいスマートコントラクトを公開するためのサイトのメンテに乗じて、悪意ある人たちが偽物の公式メールみたいなものを流したらしいです。
こういうことがあると、一番に心配なのが、自分の持っているウォレット、特に最近人気が高く、凡庸性があるものではメタマスク。
ボクは、今まで5年近くこのウォレットを使っています。
今まで一度もハッキングの被害にあったことはないですが、今後どうなるかは未知。
正しく使用している分には問題はないと思いますが、使い方によってはハッキングされる可能性はあるでしょう。
では、そのタイミングを予測してみます。
また、仮想通貨関係の迷惑メールが突然多くなる原因も考えてみます。
メタマスクがハッキングされた?
ユニスワップやパンケーキスワップなどを一般的にDeFi、分散型取引所、デックスなどと呼びます。
これらのサービスを使うことでエバードームや今流行りのメタバース系のマイナーな通貨をいち早く手に入れることができます。
既存の取引所に置き換わって、最近この手のサービスが主流となりつつありますが、こういうDeFiを利用するのに欠かせないのがメタマスクなどのウォレットです。
まず最初に、これは基本中の基本ですが、
特例もありません。絶対。
こちらが渡すのは基本的にビットコインアドレスなどの送信用アドレスのみです。
こういうやつですね。
0x424bDa9bF~1b469dCbFE
逆に秘密鍵やパスフレーズが分かればおそらくボクでもハッキングできます。
そうでないにしても、ウォレットに関しては昔からハッキング事例が存在しています。
ただ、いずれもメタマクス本体が原因で起きたものはほぼなく(全ての把握していないので100%とは言い切れない)、別の何かを経由して起きた事例がほとんどです。
上記のリンクで紹介されている事例はいずれもこちらから外部へのアクションや、第三者のサービスを利用した際の情報漏洩が原因です。
つまり、単にメタマスクにコインを置いていたからといって、いきなり資産を奪われることはまずあり得ないと思います。
では、どのようなタイミングで被害に遭うのでしょうか?
不透明なエアドロップ
無償でコインやトークンをもらうことができるのが、このエアドロップという仕組みです。
最近の事例では、NEM(XEM:ネム)がエアドロップでSymbol(XYM:シンボル)を配布したことが有名です。
無償でもらえるとなると、なにやら怪しい匂いがしますが、決してこの仕組み自体は怪しいものではありません。
企業、プロジェクト側としては宣伝の意味合いも含めてこの行為を行いますが、なにしろデジタルトークンは無から生み出すことができるため、非常に低コストでエアドロップを実行することが可能です。
ただし、本来暗号通貨本体は理論上、数量が増えるとその分価値が落ちるので、100コイン配布しようと100万コイン配布しようとその価値の総量は同じということになります。
もちろん配布量が多ければその分価値が落ちるので、単純に手持ちが二倍になるということにはなりません。
そういうわけで、こういった仕組みは破綻せずに成り立ちはします。
ただ、2倍にはならないかもしれませんが、少なからずタダで恩恵を受けることができるので、こう言った仕組みはかなり人気があります。
しかし、もちろんメリットばかりではなく、デメリットも存在します。
それが個人情報の漏洩。
エアドロップでの主な危険は簡単に言うと以下の通りです。
・ウォレット接続によるウイルス感染。
・いつの間にか、なにかをダウンロードしてウイルス感染
・漏洩したメールからのフィッシング詐欺
もう最初に言っておきますが、
もちろんウォレットの接続もNG。
いくら名のあるコインだからと言って、セキュリティーが保証されているとは限りません。
特にメールアドレスなどの個人情報をここで使用することは、すなわち漏洩させることと思ってもらってもいいくらい今のこの界隈はひどいです。
捨てアドはもちろんのこと、電話番号や住所などは絶対に公開しない様にしたほうがいいかと思います。
また、マイナーなプロジェクトの場合はツイッターなどで情報をしっかりと集めて「少なくとも詐欺でない確証」を得たほうが無難です。
それでも危険ですが。
エアドロップ専用サイトも危険が多く存在します。
個人的にはこの手のサイトは怖くてとてもウォレットの接続なんかはできませんが、じゃあどうすればいいかというとあらかじめ騙されることを前提に動くことを意識します。
そのため、捨てアドのように切り捨てられるウォレットアカウントを専用で作って中身が取られてもいいようにしてそれを接続。
これならば被害も最低限に抑えることが可能です。
そのほかの危険に関してはこれはもうプロジェクトを調べて自己責任で進めるしかないです。
不透明なDEX(分散型取引所)
情報のないDEXや、無名DEXは、ハッキングされる可能性があります。
最近では「NowSwap」などの分散型取引所がハッキングの被害に遭ったとのアナウンスがありました。
このほかのDeFiでもフラッシュローンと呼ばれる機能を悪用されたハッキング事件が頻発してる状況です。
すでに知名度のあるユニスワップでも、この手口が利用されていることから利用者としては100%信頼して利用できる環境下でないことがわかりました。
DEXでもハッキング被害に遭うタイミングはエアドロと同じ。
接続するタイミングです。
いくら資金を預けないと言っても、なるべくなら接続する時間は短くするべきでしょう。
接続解除方法に関しては、過去記事で解説しています。
【接続できない】スマホのUniswapにメタマスクが表示されない件
メタマスクのハッキング対策
まずこれだけは知ってほしいのですが、ウォレットはコールドウォレットが最強です。
無料で使えるホットウォレットが、有料のコールドウォレットよりセキュリティーが低いことは誰が見ても明らかです。
コールドウォレットで一番代表とされるものは以下のLedger Nano。
Ledger Nanoの詳細を見る
ボクも購入していますが、本気で資産を守りたいのであればこれ一択です。
それでもメタマスクがいい方。
メタマスクの安全性が低いとのお話もある様ですが、本体のセキュリティーは同系統のウォレットの中では比較的高めです。
問題は接続先のシステムにあると思ってもらっていいかと。
しかし、メタマスクはそもそもデスクトップウォレットでもあり、ネットに接続できるホットウォレットでもあります。
ホットウォレットの最大の弱点がまさにネット接続時に情報を抜き取られる問題であり、これはメタマスクに限らず全てのホットウォレットに当てはまる弱点と言えます。
もしメタマスクを使っていてハッキング対策を考えているのであれば、以下の2つを守れば理論的にはほぼ安全だと言えます。
・可能な限り他のサービスにウォレットを接続しない
・オンライン上に秘密鍵などを保存しない
どうしてもウォレットを接続する必要がある場合や、接続先が信頼できないサイトの場合は、捨てアカウントを作ってから接続。
なお、ローカル環境に対するハッキングは、仮想通貨のセキュリティーとはまた違った問題になるのでここでは詳しく解説しません。
ただこのように、セキュリティーの高めなメタマスクでもホットウォレットなので、
メタマスク関連の迷惑メールの原因
メタマスクなんかを使って色々とやっていたらある日突然迷惑メール、それも謎の脅迫メールや怪しい勧誘メールなどが海外から来るようになった経験をしています。
脅迫メールは日本では完全に犯罪ですが、正直この界隈は日常茶飯事。
そのほか、マイイーサウォレットと偽るいわゆるフィッシング詐欺のようなメールも来ることはありました。
下リンク先で解説されている通り、もちろんMyEtherWalletにメール登録機能はありませんので、そららは全て偽物です。
マイイーサウォレットを騙るフィッシング詐欺メールに注意!俺にも来た!
初めてこのような経験をされた方は色々と焦るかと思いますが、安心してください。
迷惑メールを受け取るだけで個人情報を抜き取られたり、お金をとられたりすることはありません。
それで、こういった迷惑メールがくる原因ですが、個人的な意見で言わせてもらうと間違いなく過去にこちらから個人情報の流出を機会を与えていると言って間違いないでしょう。
考えてみてほしいのですが、セキュリティーの状態も分からないようなICO特設サイトとか、最近できたばかりの名ばかりのDeFiとか。
これらサイトに何の疑いもなく平気でメールアドレスや電話番号なんかを渡すリスクの大きさ。
当時のボクはこれらのリスクを理解できなかったので、ありとあらゆるICOに参加して、いろんな関連サイトに登録をした経緯があります。
その結果、明らかに増大した迷惑メールの量で、これらのセキュリティーの杜撰さと、仮想通貨の世界がまだまだ発展途上であることに気づかされました。
仮想通貨関連の迷惑メール対策
そして、これらの対策としては結論から言うと、
Yahooとかgoogleとかなんでもいいですが、そう言うのを使ってゴミ専用メールBOXを別で持っておいた方がいいでしょう。
特にICOとか参加される人は絶対に捨てアドは必須です。
ボクはそれの必要性を過去に身をもって体験しています・・・。
もし、既に普段使いのメールを登録してしまっている人。
以下のルールを守ってさえいればよほどのことがない限り問題はないかと思います。
よくよく考えてみると、メール内のリンクをクリックする機会って今の時代それほどないと思うんですが。
それでもリンクをクリックするとしたら、例えば重要なメールだったりとか。
でも、そもそも重要な情報って本物だとしても、メール一通で済ませることはないはずです。
僕の場合は重要らしいメールが届いた場合は公式サイトを直接確認するようにしています。
それで結果として、必要最低限のリンク以外、メールのリンクはまずクリックすることはなくなります。