NFT盗難防止ガイド：資産の安全を守る方法は？

著者： NFTGo

NFTユーザー数、取引量、市場価値が増加する中、フィッシャーやハッカーなどの不法者もこの市場を狙い、NFTエコシステムの安全を脅かしています。

ブロックチェーンセキュリティとデータ分析会社PeckShieldが作成した表によれば、あるフィッシング攻撃で254個、総価値約170万ドルのNFTが盗まれました；エイプリルフールの日に周杰伦のNFT BAYC#3738が盗まれた事件は、フィッシングサイトによってミントを誘導し、ユーザーのNFT操作権を得る典型的なケースです；MoonManNFTというプロジェクトは、フリーミントの名目で約400個のNFTを盗みました……

一般的に、ハッカーはDiscordやTelegramを通じてコレクターをターゲットにし、ミントを誘導したりフィッシング攻撃を行ったりしてユーザーのNFT資産を盗みます。現在の技術の進展に伴い、NFT投資家やコレクターは資産を保護する最新の方法を常に把握する必要があります。

NFTセキュリティストレージの基本知識

覚えておいてください：

• あなたのNFTはコンピュータやモバイルデバイスに保存されているのではなく、IPFSやArweaveのような分散型スペースにあります。
• プライベートキーを持っていることは、ブロックチェーン/あなたの資産への完全なアクセス権を持つことを意味します。
• Shamirのプライベートキー分割スキームは、ニーモニックフレーズに二次的な保護を提供します。

1. あなたのNFTはどこに保存されていますか？

NFTはコールドウォレット、PC、またはホットウォレットに保存されているわけではありません。NFTはイーサリアムブロックチェーン上のトークンであり、世界中の2400以上の稼働中のネットワークノードによって支えられています。NFTは完全に分散型システムによってサポートされており、NFTエコシステムの正常な運営を確保し、オンライン取引を検証することができます。NFT取引を行うとき、実際に行われる活動はデータベースがそのNFTのアドレスを変更することです。

2. あなたの画像、GIF、音楽はどこにありますか？

NFTのURI（統一リソース識別子）が画像の位置を示しています。NFTは一般的にIPFSやArweaveなどの分散型ストレージスペースにあります。Web2では、AWSのような中央集権的なストレージも存在します。

3. ウォレット

ウォレットはプライベートキーを保存するソフトウェアで、取引活動をサポートします。ウォレットには2種類あります：ホットウォレット（ソフトウェアウォレット）とコールドウォレット（ハードウェアウォレット）。

ホットウォレット（ソフトウェアウォレット）：一般的なデバイス上で動作するソフトウェアで、Web3に接続でき、マウスをクリックするだけで資産を受け取ることができます。

コールドウォレット（ハードウェアウォレット）：ハードウェアデバイス専用で、Web3に接続して資産を受け取ることができます。ホットウォレットとの主な違いは、コールドウォレットのニーモニックフレーズは決してネットワークに接続されず、取引を行うには物理的手段（例えばタッチスクリーン）で承認する必要があることです。

適切なウォレットを選択した後、その機能を理解する必要があります：

まず、ホットウォレット/コールドウォレットはあなたにパスワードの作成を要求します。このパスワードは特定のデバイス上で唯一のものです。パスワードを知っている人だけがウォレットにアクセスできます。

ウォレットの公共アドレスを自由に共有できます。このアドレスはWeb3のメールアドレスと同じで、あなたのアドレスを知っている人は誰でもあなたにNFTを送信できます。これにより、新たなハッキングの手段が生まれました。ハッカーは人々にNFTを送信し、人々がそのNFTと相互作用すると（例えば、別のウォレットに送信したり、販売したりする場合）、ハッカーはその人のウォレット内の資産を盗むことができます。決して知らないNFTをクリックしないでください！さらに、人々は悪意のある署名や承認を利用してあなたのIPアドレスを取得することもあります。

フィッシングメールも一般的な詐欺手法です。メールの目的は、あなたを偽のウェブサイトにウォレットを接続させることで、ハッカーが資産を盗むことです。したがって、知らないリンクをクリックしないでください！常にウェブサイトの名前を確認してください。現在、ハッカーの攻撃方法は比較的単純で、公共アドレスやメールアドレスから攻撃することしかできませんので、それらを無視すれば大丈夫です。

プライベートキーをしっかり保管してください。プライベートキーはあなたの公共アドレスへのアクセスパスワードです。プライベートキーの機能は以下の通りです：

（1）あなたのNFTをアドレスから移動させる。

（2）契約に署名し、あなたがそのアドレスのプライベートキーを持っていることを証明する（公共アドレスを所有していることを確認するのと似ています）。

公共アドレスとプライベートキーの最大の違いは、あなたのプライベートキーを誰にも明かしてはいけないということです。そうしないと、彼らはあなたのプライベートキーを自分のウォレットにインポートし、あなたのすべての資産を盗むことができます。

プライベートキーと公共アドレスの概念を明確にした後、ニーモニックフレーズについて見てみましょう。ニーモニックフレーズは通常、12、18、または24の単語で構成されており、ウォレットを回復するために使用されます。プライベートキーを失った場合、ニーモニックフレーズを使用して新しいものを作成できます。プライベートキーと同様に、ニーモニックフレーズは決して他の人に知られてはいけませんし、電子ストレージデバイスやサービスプロバイダー（例えばGoogle Drive、iCloud、アルバム、携帯メモ、コピー）に保存してはいけません。理想的な方法は物理的に保存することで、紙に書くのが良いでしょう。鉄製品を使用してニーモニックフレーズを保存する人もいます。これはより耐火性があります。他の方法、例えばパスワードもウォレットの安全性を高めることができます。パスワードは一連の記号や単語で、これをニーモニックフレーズと組み合わせることで、元のウォレットに基づいて新しいウォレットを作成できます。例えば、元のウォレットに基づいて新しいウォレットを作成するには、次のように入力します：

• ニーモニックフレーズ + "NFTGo"
• ニーモニックフレーズ + 任意の数字
• ニーモニックフレーズ + 任意の文字
• ニーモニックフレーズ + 任意のフレーズ

上記のいずれかの方法で、異なるプライベートキーを持つ公共アドレスの新しいウォレットを作成できますが、パスワードの機能はコールドウォレットにのみ適用されます。

4. 第二の保護層を追加する

コールドウォレットを購入することは、安全性を高めるための効果的な手段です。Trezor、Ledger、Keystoneは最も人気のあるハードウェアウォレットのいくつかですが、それぞれに利点と欠点があります。各コールドウォレットには独自の特徴があります。例えば、KeystoneはQRコードを使用してデータを転送し、トロイの木馬ウイルスがUSBポートやBluetoothを介してハードウェアウォレットに転送されるリスクを回避します。また、ENS（Ethereum Name Service）をサポートする最初のハードウェアウォレットでもあり、元のアドレスを確認する手間を省きます。さらに、ユーザーはNFTを使用して4インチのスクリーンをカスタマイズできます。

Keystoneを例に設定を行います。

（1）公式ウェブサイトからKeystoneウォレットを購入します。

（2）Keystoneキットをインストールします。

（3）Keystoneを起動します。

（4）ウォレットのPINを設定します------このデバイス専用のパスワードです。

（5）企業で使用する場合、Shamirプライベートキー分割スキームを使用することをお勧めします。2組のニーモニックフレーズを3組に分けるか、3組のニーモニックフレーズを5組に分けることができます。これらの3組のプライベートキーを異なる場所に保管できます。5つのShamirバックアップのうち3つを持っていて、2つを失った場合でも、残りの3つのバックアップを使用してウォレットを復元できます。

BAYCを移動する例を通じて、NFTハードウェアウォレットの使用を具体的に見てみましょう。Keystoneでは、ユーザーはmicroSDカードにアップロードされたABIデータファイルを使用してアドレスの真偽を迅速に確認できます。アドレスの横には青い文字で「Board Ape Yacht club」と表示され、取引が悪意のある行為に関与していないかを確認する必要があります。そうしないと、あなたのNFTが詐欺師やハッカーに署名されることになります。

NFT詐欺を避ける方法

1. 必ず公式ウェブサイトからWeb3アプリまたはウォレットをダウンロードする

暗号/NFTハッキング攻撃の主な原因は、ユーザーが非公式ウェブサイトにアクセスすることです。ほとんどのこうしたウェブサイトは詐欺のために作られており、公式ウェブサイトに非常に似ています。Google PlayからWeb3アプリをダウンロードしないでください。それらは元のチャネルから取得されていない可能性があります。公式ウェブサイトを見分けるための以下の提案を参考にしてください：

（1）URLバーに注意してください。https://で始まるURLのみをクリックしてください（http://はクリックしないでください！）、「s」は「安全」を意味し、そのウェブサイトのデータが暗号化されて送信され、ハッカーの攻撃を防ぐことができます。

（2）ドメインを確認してください。ハッカーが最も好む手口は、正規のウェブサイトに非常に似たドメインを持つ偽サイトを作成することです。ダブルクリックしないと違いに気づかないことがあります。例えば、https://wobble.comというウェブサイトの偽版はhttps://w0oble.comかもしれません。すべての文字をダブルクリックして確認することを忘れないでください。

（3）スペルミスに注意してください。ほとんどの偽サイトは粗雑に急いで作られており、スペル、発音、大文字小文字、文法に誤りがあります。

2. 公式チャンネル、公式Twitter、公式リンクのみを閲覧する

前述のように、公式ウェブサイト、Twitterアカウント、Discordのみを信じることができます。以下の提案を参考にして確認してください：

（1）アカウントの活動を確認する。

（2）フォロワー数を確認する。

（3）アカウントの履歴を確認する。

（4）コメントや参加度を確認する。

3. 誰ともログイン情報やプライベートキーを共有しない

暗号界隈では「鍵がなければコインもない、コインと鍵は一体」とよく言われます。一度あなたのプライベートキーやニーモニックフレーズが共有されると、そのアカウントはもはやあなたのものではなくなります。最善の策は、他の人にプライベートキーを渡さないことです。

4. NFTを購入する前に必ず確認する

NFTエコシステムでは、デューデリジェンスが常に非常に重要です。NFTを購入またはミントする前に、プロジェクトに関与するチームの評判、そのコミュニティ内での有機的な相互作用、そしてそのプロジェクトに対する人々の見解を確認する必要があります。

5. 複数のウォレットを使用してNFTをミントする

例えば、BurnerウォレットはNFTミントのために作られたサブウォレットです。これらのウォレットは、ミントに必要なガスの量に基づいて作成され、資金が注入されます。ミントが完了すると、ミントされたNFTは別のウォレットに送信され、その役割はNFTを保存することです。これにより、メインウォレットが攻撃を受けやすいウェブサイトと相互作用するリスクが減少します。複数のBurnerウォレットを作成し、脆弱性を発見したらすぐに廃棄することができます。

6. 知らないアカウントのリンクを慎重にクリックする

ハッカーの一般的な詐欺手法は、知らないDiscordアカウントや冷メールを通じてギフトやホワイトリストのリンクを送信することです。Telegram、Discord、メールの設定を、知らないアカウントや非公式のアドレスからのメッセージを受信しないようにしてください。また、ユーザーがグループの管理者や公式のDMを装うことにも注意してください。

7. トークンの承認を確認し、使用していないトークンを取り消す

人々は毎日異なるプロトコルやリンクと相互作用し、スマートコントラクトに基づく情報にアクセス権と許可を与えています。アクセス権を定期的に確認し、取り消すことが非常に重要です。https://revoke.cash/ ウェブサイトを使用してアクセス権を取り消すことができます。

8. 次のステップに進む前に、スマートコントラクトの取引条件を注意深く読み、確認する

取引を確認する前に、スマートコントラクト内のすべての詳細を注意深く読み、確認することが重要です。多くのハッカーはスマートコントラクトを利用して許可を騙し取り、あなたのウォレット内の資金に自由にアクセスします。詳細が脅威を構成しないこと、または脆弱性がないことを確認するために、注意深く読む必要があります。

9. ニュースを追い、新しい脆弱性を把握する

結論

人々のNFT市場への関心が高まる中、不法者も潜んでおり、コレクターや投資家から作品や資金を盗む手口を利用しています。自分の貴重な資産、ウォレット、資金がハッカーの手に渡らないようにしてください。