This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Web3セキュリティ専門家が取引所アカウント保護と個人資産盗難防止戦略を解析する
SPACEKOLの見解の概要
技術的な観点から取引所のアカウントセキュリティの問題を分析し、リクエストヘッダーにチェックフィールドを設定することでクッキーの盗難を効果的に防ぐことができると指摘しました。
経験豊富な契約開発者として、資産操作における厳格なセキュリティポリシーの必要性を強調し、取引所のセキュリティポリシーに関する個人的な観察と体験を共有しました。
個人の経験を通じてハッカー攻撃のプロセスを語り、web3ウォレットを使用する際の潜在的なリスクについて皆に警告しています。
安全研究者として、ダブルスパンドル取引のメカニズムを分析し、ユーザーにブラウザプラグインをダウンロードする際に権限問題に注意し、潜在的なセキュリティリスクを避けるように提案しました。
Mantaでresearchcontentを担当した経験を共有し、DAOガバナンスにおけるコミュニティの重要性を強調しました。
自由な討論セッションでは、専門家たちが以下の問題について深く議論しました:
Spaceの素晴らしい振り返り
5月24日に発生した500万のWeb3ユーザー資産が盗まれた事件では、ハッカーは特定の取引所のアカウントのパスワードや二段階認証情報を取得することなく、ユーザーのアカウント内のすべての資金を成功裏に盗みました。この事件の鍵は、ハッカーが対敲取引とブラウザプラグインのセキュリティホールを利用したことにあります。では、対敲取引とブラウザプラグインはなぜハッカーの目的を達成することを可能にしたのでしょうか?
当事者の第一視点によるイベントの振り返り
私は17年に入ったもので、2回のブル・ベア相場を経験し、5回ゼロになりました。この度の盗難事件については、取引所を通じてではなく、Web3ウォレットを使用していました。
五日前のある朝、私はホテルを出た後、投資しているプロジェクトの公式情報を閲覧しました。公式アカウントのツイートの下に、誰かが公式の追加情報を装っていることに気づきました。そのユーザー名は公式に非常に似ていました------アカウントは異なるにもかかわらず。私は通常、不明な報酬を気軽に受け取ることはありませんが、その時は思い切って試してみたいと思いました。帰宅後、私はウォレットにログインし、リンクをコピーしました。ウォレットのブラウザでリンクを開くと、ページには「ウォレットを接続する」ボタンしかありませんでした。技術にあまり詳しくないので、これは一般的な操作だと思いました。接続後、資産を移転するために権限を与える必要があることに気づきましたが、接続した瞬間に何かがおかしいと感じました。よく確認したところ、リンク名に誤りがあることに気づき、その時、私は盗難に遭った可能性があることを理解しました。これが私の全体の経験です。ありがとうございます。
問題1:どのようにして個人資産をハッカー攻撃から守るか?
まず、取引所のアカウントと二次認証メカニズムは実際にユーザーのログイン状態、つまり私たちがよく知っているcookieを取得するためのものです。この状態を通じて、従来のアカウントとパスワードをバイパスしてシステムに直接アクセスすることができ、これはネットワークの攻防において非常に一般的です。
技術的な観点から見ると、ブラウザプラグインは非常に高い権限を持ち、ユーザーのクッキーを含むウェブサイトのすべてのデータにアクセスすることができます。たとえば、ブラウザのパスワードマネージャーはプラグインの一種で、JSコードを利用してユーザー名とパスワードを該当する入力欄に入力することができるため、ユーザーのクッキーを取得することも可能です。個人ユーザーは、出所不明のブラウザプラグインのインストールを避けるべきです。もしインストールする必要がある場合は、まずソースコードを確認し、疑わしいクッキーキャプチャ関数やキーワードがないことを確認するのが望ましいです。
厳密に言えば、これは脆弱性とは見なされず、CVE もこれを脆弱性として分類することはありません。しかし、技術的な観点から見ると、取引所はユーザーのクッキーの漏洩によるアカウントの乗っ取り問題を完全に回避する能力を持っています。例えば、リクエストヘッダーにトークンなどの検証フィールドを設定し、これらの検証フィールドをユーザーの証明書として使用することができ、単にクッキーに依存するのではなく、クッキーの悪用を効果的に防ぐことができます。これらは私のいくつかの見解です。
技術面でJimは全面的に分析を行いましたが、私は戦略的な観点から私の意見を共有します。国内の多くの銀行のソフトウェアのセキュリティポリシーは厳格で、画面切り替え後に再度パスワードを入力する必要があり、これは資産操作において特に重要です。例えば、初期のある取引所は、ユーザーがログイン後に資金パスワードを設定し、短期取引権限を解除することを要求していました。手続きは煩雑でしたが、追加のセキュリティ保障を提供しました。しかし、取引の利便性の要求が高まるにつれて、ある取引所はこのポリシーを廃止しましたが、これが対敲取引などのセキュリティ問題においては十分ではありません。
対敲取引は新しい現象ではなく、2021年にはこの種の問題で損失を被ったユーザーがいました。これは再び、中央集権型取引所のセキュリティ戦略を強化する必要があることを思い出させます。セキュリティ戦略の策定は、ユーザーの利便性と資産保護のバランスを取るべきであり、同様の対敲取引の事件を防ぐためです。中央集権型取引所は資産の保護において重要な役割を果たしているため、そのセキュリティメカニズムを重視し、継続的に最適化する必要があります。
取引所の資金パスワードの重要性について補足したいと思います。資金パスワードは、資産の盗難をある程度防ぐことができます。たとえハッカーがクッキーを盗んで取引所のアカウントにログインしても、資金パスワードがなければ取引を行うことはできません。
対敲取引は一般的な手法であり、ハッカーは流動性の低い通貨を選択し、被害者のアカウントで注文を出し、自分のアカウントで低い価格で購入することによって、資金を自分のアカウントに移動させ、損失を引き起こす可能性があります。
さらに、ブラウザープラグインのセキュリティについて強調したいと思います。Chromeブラウザープラグインは大きな権限を持っており、ダウンロード後にブラウザはユーザーにプラグインが必要とする権限を通知します。私個人の意見として、権限が過剰または不明瞭に見えるプラグインについては、まず権限の説明を読むことをお勧めします。安全性が不明な場合は、使用を避けるためにアンインストールすることを選択すべきです。これは、同様のセキュリティ事件を防ぐための効果的な方法です。
前のゲストは多くのポイントをカバーしました。私が補足したいのは、まず、出所不明のプラグインをダウンロードするのは避けるべきだということです。たとえ特定のプラグインがKOLから推薦されていたとしても、海外のKOLが過去に推奨したものについても警戒を怠らないようにしましょう。時には、KOLやプロジェクトの公式がエアドロップなどの特典情報を発表することがありますが、それでも私は皆さんにまずはじっくり待つことをお勧めします。急いで参加しないでください。これらの情報は、盗まれたアカウントから来ている可能性が高く、虚偽の情報であることが多いです。要するに、慎重さが鍵です。皆さん、ありがとうございました。
問題二:AIの顔交換技術の安全な挑戦にどう対処するか?
ディープフェイク技術は、ネットワーク攻撃の一般的な手段となりつつあります。悪質な産業はこの技術を利用して偽の素材を作成し、大量攻撃を仕掛け、認証を回避する手段として、欠陥を利用して偽の顔を生成することで攻撃を行っています。
セキュリティの分野において、ファイアウォールはこの種の認証バイパス攻撃を防ぐことができません。例えば、ある取引所ではユーザーがパスワードを忘れた場合、単一の顔認証にのみ依存し、深層防御システムが欠如している可能性があり、これがセキュリティの脆弱性を引き起こす可能性があります。高いセキュリティ要件が求められるシナリオ、特にデバイスの初回ログインや異常な環境においては、OCRと顔認証のみを使用することは推奨されず、SMSなどの二要素認証と組み合わせるべきです。
アルゴリズム対抗において、顔認証分野の攻防は非常に激しく、多くの変異特性やツールが存在し、単一のアルゴリズムに依存することはできません。私たちは、Alipayが行っているように、エンドポイントのセキュリティや体系的なアルゴリズム対抗を組み合わせ、現在の攻防状況に応じて迅速に対応する完全な顔認証防御システムを構築すべきです。
個人がこのような攻撃に遭遇し、調査が困難な場合は、直ちに取引所に連絡してアカウントの盗難を報告し、可能な限りアカウントを凍結し、アクセス情報を変更し、二段階認証を有効にするべきです。同時に、関連する証拠を保持し、資産の回収を試みてください。
ディープフェイク技術は高度ですが、生成プロセス中にバグが発生する可能性があり、例えば顔の特徴が歪むことがあります。現在、アリペイレベルのセキュリティ検証手段を採用すれば、この種の問題に対処するには十分です。しかし、個人の防護の観点からは、具体的な防護策を提供することは非常に困難です。
個人情報漏洩などの問題が普遍的に存在し、個人ユーザーが独立して防止するのは難しいと思います。取引所などの機関に対して、顔認識の安全性と認証基準を向上させるよう呼びかけるべきだと考えています。根本的な問題解決が必要であり、ユーザー自身に防護策を研究させるべきではありません。個人の防護能力には限界があり、安全会社との協力と専門技術の支援が必要です。これが最良の解決策です。
私は一般ユーザーの視点から自分の意見を述べたいと思います。取引所が疑わしいアカウントを凍結するために迅速に通知することは有効な手段ですが、この方法は完璧ではありません。ハッカーはしばしば組織的であり、彼らは資産を非常に速く移動させます。私自身、このような状況を経験したことがあります。資産が盗まれた後、ハッカーは迅速に資産を移動させ、私が取引所に連絡して相手のアカウントを凍結しようとした時には、アカウント内の資産はすでに空になっていました。
これは、私たちが盗まれた資産を回収する際に、速度がハッカーに追いつくのが難しいことを示しています。権利を主張するプロセスは非常に困難であり、私たちはしばしば不利な立場にあります。
AIの事件について、取引所のセキュリティ設定が不十分であることが問題だと思います。メールの安全性は相対的に低く、通常、パスワードを変更するにはメールの認証コード、携帯電話の認証コード、または二段階認証が必要です。しかし、この事件では、ハッカーは身分証明書とAIビデオをアップロードするだけで他のセキュリティ検証を回避し、リスク管理措置の欠如を示しました。
安全設定がリセットされた後、取引所は少なくとも24時間以内に関連する操作を制限し、リセット状態をユーザーに通知する必要があります。これにより、ユーザーは反応するための十分な時間を持ち、アカウントを保護することができます。しかし、このケースでは、ハッカーが24時間以内に資産を移転したため、これは受け入れられません。
私はある取引所でC2Cを通じて安定したコインを購入した後、引き出し制限を受けなかった経験がありますが、これはマネーロンダリングのリスクを伴います。現時点では、取引所のリスク管理措置は強化が必要です。盗まれた資産の追跡に関しては、取引所の反応が遅く、大量の資料を提供するよう要求された後にしかアカウントを凍結しないため、盗まれた資産を追跡して回復することが極めて困難になります。私たちは取引所との協力を試みていますが、現在でもこれは厄介な問題です。
私は以前のゲストが提起した見解に非常に賛同します。まず、取引所は安全設定を直ちに修正し、24時間以内に出金操作を制限すべきだと考えています。また、資産を取引所に預けること自体が安全の仮定に基づいています。もし取引所内部の誰かがユーザー情報を売り渡した場合、実際には防ぎにくいです。一般ユーザーとして私たちができることは、証拠を保管し、取引所に苦情を申し立てて権利を守り、補償を得られることを願うことです。
また、一般のユーザー、私自身を含めて、公共の場やソーシャルメディアで富を誇示しないことをお勧めします。個人情報が漏洩する可能性があるためです。例えば、私はある暗号通貨の友人がバリ島を旅行中、道端でスマートフォンをいじっているときにバイク強盗にスマートフォンを奪われ、そのスマートフォンでウォレットアプリを開いてしまい、資産が盗まれたことを知っています。したがって、公共の場で自分の財務状況をさらけ出すことは避けるべきです。
また、以前、ハッカーがオフラインイベントでQRコードをスキャンしてマルウェアを広める事件が発生しました。ですので、さまざまなイベントに参加する際は警戒を怠らず、安易にQRコードをスキャンしたり、不明な出所のアプリをダウンロードしたりしないようにしましょう。これらは、個人資産を保護する際に注意すべき重要な事項です。ありがとうございます。
問題三:ユーザーの個人資産はウォレットに置く方が安全なのか、それとも取引所に置く方が安全なのか
資産の保管の選択について、私は個人のリスク嗜好、資産規模、取引頻度に基づいて決定すべきだと考えます。プライベートキーを持つウォレットは安全性が最も高いですが、いくつかの便利さを犠牲にする可能性があります。同時に、プライベートキーの管理は非常に重要であり、フィッシングなどのソーシャルエンジニアリング攻撃から防ぐ必要があります。
資産が大きく、取引があまり頻繁でないユーザーにとっては、ウォレットを使用する方が適している可能性があります。一方、取引所に保管を選択することは、プライベートキーを取引所に委託することを意味し、安全性は完全に取引所のセキュリティシステムに依存します。現在、多くの取引所はネットワークセキュリティやリスク管理システムにおいて不十分であり、欠けています。