MetaMask での詐欺を回避するには?フィッシング Web サイトを見分ける方法は?

MetaMask セキュリティの基礎を理解する

1. MetaMask は必ず公式 Web サイトmetamask.ioまたは検証済みのアプリ ストアからのみダウンロードしてください。サードパーティのリンク、不明なソースからのブラウザ拡張機能、および Telegram または Discord の添付ファイルにより、悪意のあるコードを含む偽造バージョンが頻繁に配布されます。

2. 12 単語のリカバリ フレーズを、サポート エージェント、友人、開発者以外の誰とも決して共有しないでください。詐欺師は、偽のサポート チャットを通じて MetaMask スタッフになりすまして、「アカウント確認」や「緊急セキュリティ アップデート」などの偽りの口実でシード フレーズを抽出することがよくあります。

3. MetaMask モバイルおよびデスクトップ拡張設定内でパスワード保護と生体認証を有効にします。これにより、デバイスのアクセスが侵害された場合でも、ローカルの防御層が追加されます。

4. dApp の自動接続権限を無効にします。永続的なアクセスを許可するのではなく、各接続リクエストを手動で承認します。多くのフィッシング サイトは、自動接続機能を悪用して、不正なトランザクションをサイレントに開始します。

5. MetaMask 設定の「接続されているサイト」セクションを使用して、接続されているアカウントを定期的に監査します。未使用または疑わしい dApp 接続を直ちに削除します。一部の悪意のあるインターフェイスは、最初の操作後もセッション トークンを長期間保持します。

フィッシング Web サイトの特定

1. 資格情報を入力したり、トランザクションに署名したりする前に、URL バーを注意深く調べてください。正規のイーサリアム dApp は HTTPS を使用しますが、詐欺師は SSL 証明書を複製します。ドメインのスペルに注目してください。uniswap.orgは有効です。 uniswapp.org 、 uniswap-support.net 、またはuniswap-eth.comはすべて既知のフィッシング ドメインです。

2. クリックせずに、ナビゲーション リンクやボタンの上にマウスを置きます。ブラウザのステータス バーまたは開発者ツールでは、基礎となる href 値が表示されます。偽の「ウォレットに接続」ボタンは、MetaMask のネイティブ プロバイダー インターフェイスを呼び出すのではなく、悪意のあるリレーにリダイレクトすることがよくあります。

3. 一貫性のない UI 要素がないか確認します。実際の dApp は、一貫したタイポグラフィ、間隔、インタラクティブなフィードバックを維持します。フィッシング クローンには通常、不一致のフォント、ぼやけたロゴ、欠落しているアニメーション、または機能しないメニューが含まれており、レプリケーションの品質が低下しています。

4. トークンの承認を承認する前に、コントラクト アドレスを手動で確認します。 Etherscan または Blockscout を使用して、展開日、トランザクション履歴、検証済みのソース コードを確認します。詐欺師は、アドレスをわずかに変更した同一の外観のトークンを展開し、ユーザーをだましてウォレットへの送金を承認させます。

5. 短縮 URL は完全に避けてください。 Bit.ly や TinyURL などのサービスは、宛先ドメインを曖昧にします。正当なプロジェクトでは、コアウォレットのインタラクションやトークン要求ページでリンク短縮ツールに依存することはほとんどありません。

トランザクション署名のベスト プラクティス

1. 支出権を明示的に付与するつもりがない限り、「承認」、「全員に承認を設定」、または「転送元」というラベルの付いたトランザクションには決して署名しないでください。これらのアクションにより、サードパーティ契約があなたのウォレットから無期限に資産を引き出すことが可能になります。

2. MetaMask ポップアップ ウィンドウですべてのトランザクションの詳細を確認します。受信者のアドレス、値、関数名に注意してください。悪意のあるポップアップは、リスクの高い承認をバックグラウンドで実行しながら、「スワップの確認」などの誤解を招くラベルを表示することがあります。

3. 不慣れなプロトコルを使用する場合は、Ledger や Trezor などのハードウェア ウォレットを使用します。これらのデバイスは各署名の物理的な確認を必要とし、侵害されたブラウザによって開始されるサイレント トランザクション ブロードキャストをブロックします。

4. カスタム RPC エンドポイントを慎重に設定します。偽のネットワーク構成は、攻撃者が制御するノードを介してトランザクションをルーティングし、フロントランニングまたはトランザクション マスキングを可能にする可能性があります。 Chainlist.org にリストされているネットワーク、または公式プロジェクト ドキュメントで確認されたネットワークのみを追加してください。

5. Etherscan 経由で保留中のトランザクションを監視します。ウォレットのアクティビティ フィードに予期しないトランザクションが表示された場合は、手数料による置換 (RBF) を使用して直ちにトランザクションをキャンセルするか、ネットワークとクライアントでサポートされている場合は機能を高速化してください。

よくある質問

Q: MetaMask サポート エージェントが私の秘密のフレーズを尋ねることはできますか? A: いいえ。MetaMask の従業員が 12 単語のリカバリ フレーズ、秘密キー、またはパスワードを要求することはありません。公式サポートを名乗る個人がこれらを要求する場合は詐欺師です。

Q: 読み込みが遅いサイトや証明書の警告が表示されるサイトに MetaMask を接続しても安全ですか? A: いいえ。SSL 証明書のエラー、混合コンテンツの警告、読み込み時間の延長は、多くの場合、インフラストラクチャの侵害または中間者による傍受の試みを示しています。すぐに切断し、独自にドメインを確認してください。

Q: 誤って悪意のある承認トランザクションに署名してしまった場合はどうすればよいですか? A: TokenSniffer の Revoke Contract や Etherscan の「Write Contract」タブなどのツールを使用して、トークン許可を取り消します。その後、残りの資産を新しいウォレットに転送し、侵害されたアドレスを機密性の高いやり取りに再利用することを避けます。

Q: MetaMask は私の秘密鍵をサーバーに保存しますか? A: いいえ。MetaMask は非保管ウォレットです。秘密キーは、ブラウザーまたはデバイス内でローカルに暗号化されたままになります。 MetaMask はそれらにアクセスできず、ウォレットの内容を回復、リセット、または変更することはできません。