メタマスクを不明なWebサイトに接続するリスクは何ですか？

メタマスクとウォレットの接続を理解します

Metamaskは広く使用されている暗号通貨ウォレットであり、ユーザーはブロックチェーンネットワークで分散型アプリケーション（DAPP）と対話できるようにします。主にイーサリアムです。メタマスクウォレットをWebサイトに接続すると、そのサイトが特定の情報にアクセスし、あなたに代わって特定のアクションを実行できるようにします。これには、ウォレットアドレスの読み取り、トランザクション署名の要求、さらにはトランザクションの開始が含まれます。この機能はDAPPを使用するために不可欠ですが、不明または信頼されていないWebサイトで行われると危険になります。接続中に付与された許可は、必ずしも受動的なデータの読み取りに限定されるとは限りません。マリシャスサイトは、このアクセスを活用して資金を侵害する可能性があります。

フィッシング攻撃と偽のインターフェイス

メタマスクを未知のWebサイトに接続する際の最も一般的なリスクの1つは、フィッシング攻撃の犠牲になっています。これらのWebサイトは、分散型取引所やNFTマーケットプレイスなど、合法的なDAPPを模倣することがよくありますが、資格を盗むか、有害な取引を承認するようにしているように設計されています。偽のインターフェイスは、「ウォレットを接続する」ように促し、すぐにトークン転送の署名または承認を要求する場合があります。メタマスクポップアップは本物のように見えるため、ユーザーは結果を認識せずに承認することがよくあります。これらのフィッシングサイトは、ユーザーを欺くために「uniswap.org」の代わりに「unisw4p.com」などの実際のプラットフォームに視覚的に類似したURLを使用します。

• 接続する前に、WebサイトURLを注意深く確認してください
• タイプミスを避けるために、信頼できるダップにブックマークを使用してください
• プロンプトに関係なく、Webサイトにシードフレーズを入力しないでください
• 公式のソーシャルメディアチャネルを介してサイトの信ity性を確認する

不正なトークンの承認とスマートコントラクトエクスプロイト

ウォレットを接続すると、多くのサイトがスマートコントラクトを通じてトークンの承認権限を自動的に要求します。これにより、指定された量のトークンをお客様に代わって費やすことができます。トランザクションを完了しなくても、承認自体は危険な場合があります。悪意のある契約は、時には無制限の非常に高い手当を設定することができます。一部の詐欺には、無限の承認エクスプロイトが含まれます。この場合、ユーザーは無意識のうちに資産への恒久的なアクセスを許可します。これらの承認を取り消すには、Etherscanのトークン承認チェッカーやRevoke.cashなどのサードパーティプラットフォームなどのツールを使用する必要があります。

• revoke.cashを使用して、不必要なトークンの承認を確認および削除します
• 高度な設定を使用して、可能な場合は承認額を制限します
• 定期的に接続されたダップを監査し、疑わしいものからアクセスを削除します
• 保留中の取引を監視し、予期しない契約の相互作用に署名しないでください

セッションハイジャックと永続的なアクセスリスク

メタマスクウォレットを接続すると、Webサイトによって保存されているセッションデータが保存される可能性があります。切断した後でも、一部のサイトは部分的なアクセスを保持しているか、ターゲット攻撃のためにウォレットアドレスを追跡する場合があります。サイトに悪意のあるJavaScriptがある場合、リクエストの署名を傍受したり、トランザクションの詳細をリアルタイムで操作したりすることがあります。たとえば、一見無害なNFTミントサイトは、署名プロセス中にガス料金または受信者の住所を変更する可能性があります。メタマスクにはトランザクションの詳細が表示されるため、ユーザーは確認する前にすべてのフィールドを手動で検証する必要があります。ブラインド署名 - トランザクションを読んで承認することは、ユーザーが資金を失う一般的な方法です。

• メタマスクポップアップのトランザクションの詳細を常に検査してください
• メタマスク設定で自動接続機能を無効にします
• DAPPを使用した後、ブラウザのキャッシュとサイトデータをクリアします
• なじみのないサイトとの対話には、セカンダリウォレットを使用します

マルウェアとブラウザの拡張機能脆弱性

未知のWebサイトは、ブラウザまたはメタマスク拡張自体の脆弱性を活用しようとする場合があります。いくつかの悪意のあるサイトでは、キーストロークをログにしたり、スクリーンショットをキャプチャしたり、偽のメタマスクログインプロンプトを挿入できるマルウェアが覆われたスクリプトを提供したりできます。これらの偽のプロンプトは、実際の拡張機能とトリックユーザーを模倣してシードフレーズを入力します。さらに、侵害されたWebサイトは、非公式のソースから偽のメタマスク拡張機能をダウンロードするようにリダイレクトする場合があります。これらの偽造拡張機能は、プライベートキーを直接盗むことができます。これを回避するには、公式ウェブサイトまたは信頼できるブラウザストアからメタマスクのみをインストールしてください。

• https://metamask.io/downloadからメタマスクのみをダウンロードしてください
• 関連する電子メールアカウントで2要素認証を有効にします
• ポップアップやバナーをクリックして、財布の接続を促しないでください
• ブラウザとメタマスク拡張機能を最新バージョンに更新してください

メタマスクウォレットを保護する方法

メタマスクウォレットの保護は、慎重な行動と積極的なセキュリティ対策から始まります。未知のDAPPでテストするために専用のウォレットを使用して、ファンドが切断されたプライマリウォレットを保持することを検討してください。また、メタマスク設定でプライバシーモードを有効にすることもできます。これにより、Webサイトがアカウントの残高やその他のメタデータを見ることができなくなります。別の効果的な戦略は、すべてのトランザクションを手動で承認し、珍しいと思われる要求を拒否することです。メタマスクフィッシング検出やコミュニティ主導のブラックリストなどのブラウザツールは、疑わしいドメインにフラグを立てるのに役立ちます。

• 信頼されていないダップ用の別のウォレットを作成します
• メタマスク設定で「プライバシーモード」を有効にします
• ブロックウォレットやウォレットガードなどのブラウザ拡張機能をインストールして、保護を強化する
• メタマスクの「接続されたサイト」タブの接続されたサイトを定期的に確認し、未使用のサイトを切断します

よくある質問

ウェブサイトは私のメタマスクを接続するだけで私の暗号を盗むことができますか？いいえ、単にウォレットを接続しても、ウェブサイトが直接資金を引き出すことはできません。ただし、サイトが要求し、悪意のあるトークンの承認を承認するか、有害な取引に署名する場合、資金を受け取ることができます。危険は、その目的を理解することなく取引または契約を承認することにあります。

ウェブサイトがメタマスクを安全に接続できるかどうかをどのように知ることができますか？ WebサイトのURLが公式ドメインと一致することを確認し、 EtherscanやCoingeckoなどのプラットフォームでのコミュニティ検証を確認し、 RedditやTwitterなどの信頼できるフォーラムでのディスカッションをレビューします。 DAPPの場合、 CertikやOpenzeppelinなどの企業からの監査レポートを探してください。

財布を詐欺サイトに接続した場合はどうすればよいですか？ [設定]> [接続]サイトの下のメタマスクからサイトを直ちに切断します。次に、 revoke.cashにアクセスして、ウォレットに関連付けられたすべてのトークン承認を取り消します。トランザクションに署名した場合は、資金が移動されたかどうかを確認し、ブロックチェーン分析ツールを使用してアクティビティを追跡することを検討してください。

Uniswapのような信頼できるDappsにメタマスクを接続しておくのは安全ですか？はい、Uniswapのような評判の良いプラットフォームは一般的に安全です。ただし、トークンの承認を制限し、どの契約がトークンにアクセスできるかを定期的に確認する必要があります。 DAPPを積極的に使用して露出を減らす場合は、切断します。