「ホットウォレット」(MetaMask)と「コールドウォレット」(Ledger)の違いは何ですか?

定義とコアアーキテクチャ

1. MetaMask のようなホット ウォレットは、インターネットに接続された環境内で、通常はブラウザ拡張機能またはモバイル アプリケーションとして完全に動作します。

2. 秘密キーはソフトウェアに保存され、多くの場合暗号化されますが、デバイスのメモリやローカル ストレージを通じてアクセスできます。

3. Ledger デバイスなどのコールド ウォレットは、ネットワーク インターフェイスから分離されたオフラインで秘密キーを生成および保存する物理ハードウェア ユニットです。

4. Ledger はセキュア エレメント チップを使用して暗号化分離を強化し、デバイスが物理的に侵害された場合でもキーの抽出を防ぎます。

5. MetaMask は、外部に保存されたユーザー管理のシード フレーズに依存します。 Ledger は 24 ワードのリカバリ フレーズも使用しますが、初期セットアップ中に改ざん防止ファームウェア チェックを使用してバックアップを強制します。

トランザクション署名プロセス

1. MetaMask では、秘密鍵が悪意のあるスクリプトや侵害された拡張機能にさらされる可能性があるブラウザ環境内で署名が行われます。

2. すべてのトランザクションはユーザーのデバイス メモリから発生します。つまり、署名リクエストがブロックチェーンに到達する前にマルウェアが傍受できる可能性があります。

3. Ledger では、トランザクションごとに明示的な物理的確認 (デバイス上のボタンを押す) が必要で、署名生成前に人による検証が保証されます。

4. 秘密鍵は台帳の安全な要素から離れることはありません。署名されたトランザクション出力のみがホスト コンピューターに送り返されます。

5. MetaMask では、手動で制限しない限り、デフォルトでバッチ承認とトークン許可が許可されており、不正な支出の危険にさらされる面が増加します。

攻撃対象領域と現実世界のエクスプロイト

1. MetaMask ユーザーをターゲットとしたフィッシング攻撃により、巨額の損失が発生しています。偽の DApp インターフェイスがユーザーを騙し、悪意のある契約を承認させます。

2. ブラウザベースのキーロガーとクリップボード ハイジャッカーは、侵害されたマシンに入力された MetaMask のパスワードとシード フレーズをキャプチャすることに成功しました。

3. ファームウェアの更新とブートローダーの検証によりほとんどのリスクが軽減されますが、台帳デバイスはサプライ チェーンの改ざんの懸念にさらされてきました。

4. 侵害された MetaMask 拡張機能は、スワップ中にサイレントに資金をリダイレクトしたり、目に見える UI の変更なしに無制限の ERC-20 許可を承認したりする可能性があります。

5. Ledger の USB インターフェイスは、署名済みバイナリを含む公式 Ledger Live アプリ経由で開始しない限り、ファームウェアの更新を無効にし、不正なファームウェア インジェクションのリスクを軽減します。

使いやすさとエコシステムの統合

1. MetaMask は、追加の構成を必要とせずに、数千の DeFi プロトコル、NFT マーケットプレイス、および dApp とネイティブに統合します。

2. ユーザーは、MetaMask のネットワーク セレクターを介して、Ethereum、Polygon、Arbitrum、およびその他の EVM 互換チェーンを瞬時に切り替えることができます。

3. Ledgerは1,800を超える暗号通貨をサポートしていますが、多くのDeFiプラットフォームと対話するにはMetaMaskやMyEtherWalletなどのサードパーティアプリケーションが必要です。

4. Ledger Liveは、組み込みのステーキング、ポートフォリオ追跡、法定通貨のオンランプを提供しますが、イールドファーミングや流動性の提供などの複雑なDeFiインタラクションに対するネイティブサポートがありません。

5. MetaMask は、ABI 解析を通じてスマート コントラクト機能との直接対話を可能にしますが、Ledger はコントラクト対話のために事前に承認されたアプリ テンプレートに依存します。

よくある質問

Q1. MetaMask で Ledger デバイスを使用できますか?はい。 USB または Bluetooth 経由で Ledger を MetaMask に接続し、ハードウェア ウォレット プロバイダーとして選択できます。その後、MetaMask は、ソフトウェアに保存されたキーを使用する代わりに、Ledger デバイスに署名を委任します。

Q2. MetaMask は私の秘密鍵をサーバーに保存することはありますか?いいえ、 MetaMask はリモート サーバーに秘密キーを送信したり保存したりすることはありません。秘密キーはユーザーのデバイス上にのみ残ります。ただし、デバイスが侵害された場合、キーがローカルに抽出される可能性があります。

Q3. Ledger Nano S は 2024 年になっても安全ですか? Nano S には、Nano X モデルや STAX モデルにある安全な要素がありません。古いファームウェア アーキテクチャは機能しますが、高度なサイドチャネル攻撃に対する既知の制限があり、一部のレイヤー 2 ネットワークで使用される新しい暗号化標準をサポートしていません。

Q4. Ledger デバイスと回復フレーズの両方を紛失した場合はどうなりますか?そのデバイスによって保護されているすべての資産に永久にアクセスできなくなります。24 単語のフレーズ以外には回復メカニズムは存在しません。これは、コールド ウォレット ユーザーがリカバリ フレーズを非デジタルで物理的に保護された成果物として扱わなければならない理由を強調しています。