背景:

仮想通貨市場の人気が高まるにつれて、Web3プロジェクトやイノベーションが急速に出現し、ユーザーの間で興奮を引き起こしています。しかし、この興奮は、新しいプロジェクトを探索する間に、ユーザーが詐欺、ハッキング、またはフィッシング試みの被害者になる可能性もあるリスクをもたらします。このため、オンチェーンとオフチェーンの両方での幅広い調査に基づいて、ユーザーアセットの保護に焦点を当てた情報提供型の事例研究を開発しました。これにより、Web3セキュリティの初心者ガイドの作成につながりました。

Web3スペースでの潜在的なリスクに関する包括的な概要と、現実の例を支援することにより、読者がこれらの脅威をよりよく識別し軽減するのを支援することを目的としています。このガイドでは、ウォレットのダウンロードと使用に関連するリスク、Web3エコシステムプロジェクトへの参加でよくある失敗、危険な署名承認を認識するためのヒント、ハッキングされた場合の対処方法などのトピックを扱っています。（注：コンテンツは進行中の開発とフィードバックに基づいて変更される可能性があるため、最終ガイドの範囲は異なる場合があります。）

Web3のエキサイティングな世界に興味を持っているが、業界の専門用語、馴染みのないゲームプレイ、隠れたリスクに圧倒されている初心者、またはブロックチェーンの「ダークフォレスト」を航海し、様々な罠に遭遇した経験豊富なWeb3ユーザーの場合でも、このガイドはあなたのためです。このガイドは、すべてのユーザーが自分の資産を保護し、自信を持ってブロックチェーンの世界を航海するのを支援するように設計されています。

ウォレットは暗号通貨の世界へのゲートウェイであり、Web3インフラストラクチャーの重要な構成要素です。その重要性は過小評価できません。さあ、最初のコースに取り掛かりましょう。ウォレットの種類とそれに伴うリスクの概要を見ていきましょう。

ウォレットの種類:

ブラウザウォレット

MetaMaskやRabbyなどのブラウザウォレットは、Webブラウザ(Google ChromeやFirefoxなど)と直接統合するブラウザ拡張機能です。通常、アクセスと使用が簡単で、追加のソフトウェアのダウンロードやインストールは必要ありません。

(https://metamask.io/download/)

Webウォレット（お勧めしません）：

Webウォレットを使用すると、ウェブブラウザを通じて直接暗号資産を管理できます。便利ですが、重要なリスクも伴います。ウェブウォレットでは、一般的にブラウザのローカルストレージに暗号化されたニーモニックフレーズを保存しますが、これによりマルウェアやネットワーク攻撃の対象になる可能性があります。

(https://www.myetherwallet.com/wallet/access/software?type=overview)

モバイルウォレット：

モバイルウォレットは、ウェブウォレットと同様の機能を持っていますが、スマートフォンにダウンロードしてインストールすることができるアプリとして利用可能です。

(https://token.im/download?locale=ja-jp)

デスクトップウォレット

仮想通貨の初期には、ElectrumやSparrowなどの人気のある例を含む、デスクトップウォレットが一般的でした。これらのウォレットは、コンピューター上のアプリケーションとしてインストールされ、秘密鍵や取引データがローカルに保存され、暗号通貨の秘密鍵を完全に制御できます。

(https://sparrowwallet.com/)

ハードウェアウォレット

ハードウェアウォレットは、Trezor、imKey、Ledger、Keystone、OneKeyなどのように、仮想通貨やデジタル資産を安全に保管するために設計された物理的なデバイスです。彼らはプライベートキーを安全に保存するオフラインの方法を提供し、DAppsとやり取りしているときでも、あなたのキーが安全であることを保証します。

（https://shop.ledger.com/products/ledger-nano-s-plus/matte-black)

ペーパーウォレット（お勧めしません）：

紙のウォレットは、暗号通貨のアドレスと秘密鍵を紙にQRコードの形で印刷することを含みます。その後、そのQRコードを使用して暗号通貨取引を行うことができます。

(https://www.walletgenerator.net/?culture=zh¤cy=bitcoin)

ウォレットの一般的なリスク

偽のウォレットをダウンロードするリスク

Google Playへのアクセスの制約やネットワークの問題により、多くのユーザーはしばしば第三者のダウンロードサイトからウォレットをダウンロードするか、オンラインでウォレットを検索して上位の検索結果の1つをクリックするなど、代替ソースからウォレットをダウンロードします。この方法は、検索エンジンの広告や高いランキングの検索結果が購入できるため、偽のウォレットをダウンロードするリスクを大幅に増加させます。詐欺師は広告スペースを購入し、偽のウォレットのウェブサイトを作成してユーザーを騙すことを利用しています。以下は、BaiduでTPウォレットを検索した場合の検索結果の例です。

（https://mp.weixin.qq.com/s/NdwIE412MJ7y-O5f2OrSHA）

偽のハードウェアウォレットの購入リスク

サプライチェーン攻撃はハードウェアウォレットのセキュリティに対する重大な脅威です。公式ストアや認定ディーラー以外の場所でハードウェアウォレットを購入すると、それが何人の手を経てきたか、内部コンポーネントが改ざんされていないかを知る方法はありません。下の画像では、右側のハードウェアウォレットが改ざんされています。

(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)

コンピューターにトロイの木馬のリスクがあります

コンピュータにトロイの木馬が感染している場合、ウォレットはマルウェアによって侵害される可能性があります。SlowMistセキュリティチームは、この問題について詳細な分析を行いました。彼らの記事「ダークナイトシーフ：レッドラインスティーラートロイのトロイの暗号通貨を盗むこのリスクがどのように発生し、その潜在的な影響について説明します。当社は、Kaspersky、AVG、または360などの信頼性のあるウイルス対策ソフトウェアをインストールし、リアルタイム保護を有効にし、定期的にウイルス定義を更新して安全を確保することをユーザーに推奨しています。

ウォレットの脆弱性からのリスク

正規のウォレットをダウンロードしても、注意して使用し、デバイスと環境を安全に保っていても、ウォレット自体に設計上の欠陥がある場合は、リスクが残る可能性があります。そのため、ウォレットの便利さだけでなく、そのコードがオープンソースであるかどうかも考慮することが重要です。オープンソースのウォレットでは、外部の開発者や監査人が潜在的な脆弱性を特定し、攻撃のリスクを減らすことができます。脆弱性が悪用された場合、セキュリティチームは迅速に問題を特定し、修正することができます。

結論

このガイドでは、異なる種類のウォレットとそれらに関連する一般的なリスクについて概説し、ウォレットセキュリティの基本的な理解を構築するのに役立ちます。選択したウォレットの種類やブランドに関係なく、常にニーモニックフレーズと秘密鍵を機密保持して安全に保つことをお勧めします。また、よく知られたハードウェアウォレットと信頼性のあるソフトウェアウォレットを組み合わせて大規模な資産を管理したり、複数の信頼できるソフトウェアウォレットを使用して小規模な資産を分散するなど、複数のウォレットタイプを使用することも検討していただくことができます。次回の記事では、ウォレットのダウンロードや購入に関連するリスクについて詳しく見ていきます。乞うご期待！（注：本文に記載されているウォレットブランドや画像は教育目的であり、推奨や支持を意味するものではありません。）

免責事項：

1. この記事は[から再投稿されましたSlowMist], 著作権は元の作者に帰属します [SlowMistセキュリティチーム]. この再投稿に異議がある場合は、お問い合わせください。Gate Learnチームは問題を適切なプロセスに従ってできるだけ早く処理します。
2. 免責事項：この記事で表現されている意見や見解は、著者個人のものであり、投資アドバイスを構成するものではありません。
3. 他の言語版はGate Learnチームによって翻訳され、引用されない限り、複製、配布、もしくは剽窃することはできません。Gate。