ハッカーは NFT をターゲットにし始めています。この NFT 盗難防止入門書を保管してください。

NFT資産を安全に保管し、詐欺を回避する方法を学びましょう。

原題：「NFT 盗難防止ガイド: 資産を保護するには?」 」

NFTユーザーの数、取引量、市場価値が増加し続けるにつれて、フィッシング詐欺師やハッカーなどの犯罪者もこの市場を標的にし始めており、NFTエコシステムの安全性がさらに脅かされています。

ブロックチェーンセキュリティおよびデータ分析会社であるペックシールドがまとめた表によると、フィッシング攻撃により総額約170万米ドル相当の254個のNFTが盗まれ、ジェイ・チョウのNFT BAYC#3738はエイプリルフールに盗まれたことが示されています。 mint がユーザーの NFT 操作権を取得するためにフィッシング Web サイトによって誘導される典型的なケース; MoonManNFT と呼ばれるプロジェクトが無料 mint の名の下に約 400 個の NFT を盗みました...

一般的に、ハッカーはDiscordやTelegramを通じてコレクターをロックし、ミント攻撃やフィッシング攻撃を誘発することでユーザーのNFT資産を盗みます。現在の技術開発により、NFTの投資家やコレクターが資産を保護する最新の方法を常に把握しておくことが不可欠です。

留意してください:

• NFT はコンピューターやモバイルデバイスには保存されませんが、IPFS や Arweave などの分散スペースに保存されます。

• 秘密キーを所有すると、ブロックチェーン/資産に完全にアクセスできるようになります。

• Shamir の秘密キー分割スキームは、ニーモニック ワードに二次的な保護を提供できます。

1. NFT はどこに保管されていますか?

NFTはコールドウォレット、PC、ホットウォレットには保存されません。 NFT はイーサリアム ブロックチェーン上のトークンであり、世界中で 2,400 以上の実行中のネットワーク ノードによって運ばれます。 NFT は、NFT エコシステムの正常な機能を保証し、オンライン取引を検証する完全分散型システムによってサポートされています。 NFT を取引するときに実際に行われるアクティビティは、データベースがその NFT のアドレスを変更することです。

2. 写真、GIF、音楽はどこにありますか?

NFT の URI (Uniform Resource Identifier) は、画像の場所をマークします。 NFTは通常、IPFSやArweaveなどの分散ストレージスペースに配置されます。 Web2にはAWSのような集中型ストレージもあります。

3.財布

ウォレットは、秘密キーを保管し、トランザクション活動をサポートするソフトウェアです。ウォレットには、ホットウォレット（ソフトウェアウォレット）とコールドウォレット（ハードウェアウォレット）の2種類があります。

ホットウォレット（ソフトウェアウォレット）：汎用デバイス上で動作し、Web3に接続でき、マウスをクリックするだけで資産を受け取ることができるソフトウェア。

コールドウォレット（ハードウェアウォレット）：Web3に接続して資産を受け取ることができるハードウェアデバイス専用。ホット ウォレットとの主な違いは、コールド ウォレットのニーモニック フレーズがインターネットに接続されず、トランザクションは物理的手段 (タッチ スクリーンなど) によって承認される必要があることです。

適切なウォレットを選択したら、その機能を理解する必要があります。

まず、ホット/コールド ウォレットでは、特定のデバイス上で一意のパスワードを作成するように求められます。ウォレットへのアクセスは、パスワードを知っている場合にのみ可能です。

ウォレットのパブリック アドレスは自由に共有できますが、これは Web3 の電子メール アドレスと何ら変わりません。あなたのアドレスを知っている人なら誰でも NFT を送信できます。これにより、新たなハッキングベクトルも発生しました。ハッカーは人々にNFTを送り、人々がNFTを操作すると（別のウォレットに送信したり、販売したりするなど）、ハッカーはその人のウォレット内の資産を盗みます。覚えていないNFTを開かないでください。また、不正な署名や承認を使用して IP アドレスを取得する可能性もあります。

フィッシングメールも詐欺の一般的な形式です。このメールの目的は、ハッカーがあなたの資産を盗めるように、ウォレットを偽の Web サイトに接続するよう誘導することです。したがって、見慣れないリンクをクリックしないでください。必ずウェブサイト名を確認してください。現在のハッキング手法は比較的単純で、無視される限りパブリック アドレスと電子メールからのみ開始できます。

秘密キーは公開アドレスにアクセスするためのパスワードであり、大切に保管する必要があります。秘密キーの機能は次のとおりです。

(1) NFT をアドレスの外に移動します。

(2) アドレスの秘密キーを所有していることを証明する契約に署名します (パブリック アドレスの所有者であることを確認するのと同様)。

パブリック アドレスと秘密キーの最大の違いは、秘密キーを誰にも公開できないことです。そうしないと、あなたの秘密キーをウォレットにインポートし、あなたの資産をすべて盗むことができます。

秘密キーとパブリック アドレスの概念を明確にした後、ニーモニックをもう一度見てみましょう。ニーモニックは通常、12、18、または 24 ワードで構成され、ウォレットの取得に使用されます。秘密キーを紛失した場合は、ニーモニックを使用して新しい秘密キーを作成できます。秘密キーと同様に、ニーモニック フレーズは第三者に知られることはなく、電子ストレージ デバイスやサービス プロバイダー (Google ドライブ、icloud、フォト アルバム、携帯電話のメモやコピーなど) に保存することもできません。理想的な方法は、紙に書くなどの物理的な保存です。鉄は耐火性が高いため、シードフレーズの保存にも使用されます。パスワードなどの他の方法でもウォレットのセキュリティを強化できます。パスワードは、元のウォレットに基づいて新しいウォレットを作成するためにニーモニックと組み合わせることができる記号または単語の文字列です。たとえば、既存のウォレットに基づいて新しいウォレットを作成するには、次のように入力します。

• ニーモニック + 「NFTGo」

• ニーモニック + 任意の数字

• ニーモニック + 任意の文字

• ニーモニック + 任意のフレーズ

上記のいずれの方法でも、異なる秘密キーの公開アドレスを持つ新しいウォレットを作成できますが、パスワード機能はコールド ウォレットにのみ適用されます。

4. 2 番目の保護層を追加する

コールドウォレットを購入することは、セキュリティを向上させる効果的な方法です。 Trezor、Ledger、Keystone は最も人気のあるハードウェア ウォレットの一部ですが、それぞれに長所と短所があります。コールドウォレットにはそれぞれ独自の特徴があります。たとえば、Keystone はデータ送信に QR コードを使用するため、トロイの木馬ウイルスが USB インターフェイスや Bluetooth 経由でハードウェア ウォレットに送信されるリスクを回避でき、また、ENS (イーサリアムネーム サービス) をサポートする最初のハードウェア ウォレットでもあるため、チェックの必要がなくなります。元のアドレスです。さらに、ユーザーはNFTを使用して4インチの画面をカスタマイズできます。

Keystone を例としてセットアップします。

(1)公式サイトからKeystoneウォレットを購入します。

(2) Keystone パッケージをインストールします。

(3) Keystoneを起動します。

(4) ウォレットのPIN、つまりこのデバイスに固有のパスワードを設定します。

(5) 企業で使用する場合は、Shamir 秘密鍵分割スキームを使用し、2 セットのニーモニック ワードを 3 つのグループに分割するか、3 セットのニーモニック ワードを 5 つのグループに分割することをお勧めします。これらの 3 セットを保存できます。秘密鍵をさまざまな場所に置きます。 5 つの Shamir バックアップのうち 3 つがあり、そのうちの 2 つを失った場合でも、残りの 3 つのバックアップを使用してウォレットを復元できます。

NFTハードウェアウォレットの使用例としてBAYCの送金を見てみましょう。 Keystoneでは、ユーザーはmicroSDカードにアップロードされたABIデータファイルを使用して住所の信頼性をすぐに確認でき、住所の横に青いフォントで「Board Ape Yacht club」と表示される取引かどうかを確認する必要もあります。詐欺師やハッカーに NFT に署名されないように、悪意のある行為が含まれます。

1. 必ず公式WebサイトからWeb3アプリまたはウォレットをダウンロードしてください

暗号通貨/NFT ハッキングの主な原因は、ユーザーが非公式 Web サイトにアクセスすることです。このようなサイトの大部分は詐欺目的で作成されており、見た目は公式サイトに非常によく似ています。 Web3 アプリは元のソースから入手できない可能性があるため、Google Play からダウンロードしないでください。公式 Web サイトを特定するには、次のヒントを参照してください。

(1) URLバーに注目します。 https:// で始まる URL のみをクリックしてください (http:// をクリックしないでください)。「s」は「安全」を意味します。これは、この Web サイトのデータが暗号化されて送信され、ハッカーの攻撃を防ぐことができることを意味します。

(2) ドメイン名を確認します。ハッカーがよく使う戦術は、本物のドメイン名に非常に似ているため、ダブルクリックするだけで違いがわかるようなドメイン名を持つ偽の Web サイトを作成することです。たとえば、Web サイト https://wobble.com の偽バージョンは https://w0oble.com になる可能性があります。時々、ドメイン名のすべての文字を忘れずにダブルクリックしてください。

(3) スペルミスに注意してください。偽の Web サイトのほとんどは、スペル、発音、大文字の使用、文法に誤りがあり、粗雑に作成されています。

2. 公式チャンネル、公式 Twitter、公式リンクのみを閲覧する

先ほども書きましたが、信頼できるのは公式サイト、Twitterアカウント、Discordのみです。確認するには、次の提案を参照してください。

(1) アカウントのアクティビティを確認します。

(2)フォロワー数を確認する。

(3) アカウント履歴を確認します。

(4) コメントとエンゲージメントを確認します。

3. ログイン資格情報や秘密キーを誰とも共有しないでください

暗号化サークルで非常に人気のある格言があります。「キーがなければコインも存在せず、コインとキーは 1 つです。」秘密キーまたはニーモニックが共有されると、そのアカウントはあなたのものではなくなります。最善の方法は、他人が秘密キーを入手できないようにすることです。

4.購入前にNFTを確認する

NFTエコシステムではデューデリジェンスは常に非常に重要です。 NFTを購入または鋳造する前に、プロジェクトに関与するチームの評判、コミュニティ内の有機的な交流、プロジェクトについての人々の意見を確認することが重要です。

5. 複数のウォレットを使用して NFT をミントする

たとえば、Burner ウォレットは、NFT ミント専用に作成されたセカンダリ ウォレットです。これらのウォレットは、コインの鋳造に必要な量のガスで作成され、資金が供給されます。鋳造が完了すると、鋳造された NFT は別のウォレットに送信され、NFT の保管に使用されます。これにより、メインウォレットが脆弱な Web サイトとやり取りするリスクが軽減されます。複数のバーナー ウォレットを作成し、脆弱性が発見されたらすぐに破棄できます。

6. 見知らぬアカウントからのリンクをクリックしないように注意してください

ハッカーの一般的な手口は、見慣れない Discord アカウントやコールド メールを通じてプレゼントやホワイトリストのリンクを送信することです。 Telegram、Discord、メールは知らないアカウントや非公式アドレスからのメッセージを受信しないように設定し、グループオーナーや公式DMを騙るユーザーにご注意ください。

7. トークンの承認を確認し、未使用のトークンを取り消します

人々は毎日さまざまなプロトコルやリンクとやり取りし、スマート コントラクトの情報に基づいてアクセスと許可を与えます。時々アクセスを確認して取り消すことが重要です。 https://revoke.cash/ Web サイトは、アクセスを取り消すのに役立ちます。

8. 次のステップに進む前に、スマートコントラクトの取引条件をよく読んで確認してください。

トランザクションを確認する前に、スマート コントラクトの詳細をすべて注意深く読んでください。多くのハッカーは、スマート コントラクトを使用して、ウォレット内の資金に自由にアクセスする許可を偽装します。契約書の詳細を注意深く読んで、脅威をもたらすものではないか、抜け穴が含まれていないかを確認する必要があります。

9. ニュースを常にチェックし、新しい脆弱性について学びましょう

NFT市場への関心が高まるにつれ、犯罪者もそこに潜んでおり、トリックを使ってコレクターや投資家から作品や資金を盗み、貴重な資産、財布、資金がハッカーの手に渡らないようにします。