こんにちは、ナカムです。
本日は「NFTをハッキングされたときの対処方法」を解説します。
本記事で分かる内容
• Approveとは?
• Revoke使い方
まずは、なぜ盗まれるのか?学んでいきます。
2021年から国内、海外を含めてNFTが盛り上がりを見せています。大切な「NFT」「暗号資産」を盗まれる方が多発しています。
#PeckShieldAlert PeckShield has detected pablos[.]wtf/ is a phishing site. The address (pablos[.]wtf) is labeled as TheSandboxGame phishing on PeckShield. It is the same address of sandboxrocketboots[.]com and stole dozens of NFTs before.
Do *NOT* fall prey to it! @pabloslol pic.twitter.com/pImfGRLBjk— PeckShieldAlert (@PeckShieldAlert) June 23, 2022
Here is the list of NFTs stolen in @opensea phishing incidenthttps://t.co/s9OmiJu2m3 pic.twitter.com/xE1tFJnDMK
— PeckShieldAlert (@PeckShieldAlert) February 20, 2022
次は「Approveとは?」の基礎を学んでいきます。
□Approveとは?
結論:Approveとは「承認」という意味です。
※Approve=アプルーブと読みます。
ApproveはNFTマーケットプレイスのOpenSeaや分散型取引所のDEXを使って取引を行うときに活用します。
大まかに説明すると Approve(承認)は何かの取引時に相手に権限と実行を与えます。
権限と実行
• NFTの「転送」「売却」
• 暗号資産の「転送」「売却」
上記のように自分のNFT、暗号資産をウォレットに保管した状態から「承認」を行うことで取引相手と権限を共有し、移転されます。
上記のような流れでハッカーが作成した詐欺サイトをユーザーがApproveをすることで、ウォレットから「NFT」「暗号資産」を盗んでいます。ということは、Approveを解除すれば資産の移転が止められるということです。方法は後ほどです。
まずは、「なぜNFTが流出するのか?」について解説します。結論を先にいうと、ほとんどが人的なミスから発生します。特に次の作業は注意が必要です。
結論:承認の「ブラインド署名」は注意が必要です。
ブラインド署名について詳しく解説をします。
□購入承認の「ブラインド署名」は重要
NFTマーケットプレイスのOpenSeaにウォレットを接続するときに次の表示を見かけたことはないでしょうか?
結論をいうと「ブラインド署名」を安易に押すことは危険です。
※上記の画像は公式のUnstoppable domainsというドメインサービスです。「nakamu.nft」のドメインを取得しているので興味がある方は、お得な「$10もらえるクレジット紹介」からドメインを契約してくださいね。
○ブラインド署名の解説
「ブラインド署名」にについて解説をします。
3つポイントをいいます。
• ハッカーは「ブラインド署名」を狙っている
• ブラインド署名とは、フラインド=目隠しの「署名」です
• ブラインド署名とは購入先に「権限を渡す」ということにつながります
上記はすごく大切なので覚えておきましょう。
画像の通り「サインのリクエスト」という表示が出てきたら、「少し一呼吸」をおすすめします。MetaMaskには「秘密鍵」がブラウザ内にあります。リクエストに署名するとうのは接続先に「権限を渡す」ということにつながります。
※暗号資産をウォレットで保管するには、必ず「秘密の鍵」が必要です。秘密の鍵でウォレットを認証することによって通貨を動かす「権限」を得ます。
ほとんどの99%に近い人達は、「サインのリクエスト」を特に見ないで流します。
リクエストに「ブラインド署名」をするということは、「ハッキングされるかもしれない」という疑いをかけるのが「大切」です。
上の画像には「スマートコントラクト」「有効化する」「署名」という記載があります。「ブラインド署名」について解説します。
ハッカーは「ブラインド署名」を狙っています。
ブラインド署名とは、フラインド=目隠しの「署名」です。NFTを購入するときの署名とは「権限を渡す」ということにつながります。再度いうと「署名」=「秘密の鍵でウォレットを認証する」です。ハッカーは、秘密の鍵を取得して盗みにきますので「署名」には、注意が必要ですね。
ハッキング対策とは?
次の対策を取る方が安全です。
• 公式サイトに入る
• URLを確認する
• 怪しいサイトはさける
• 「ブラインド署名」には気をつける
• 海外からのDMは気をつける
NFTと暗号資産を扱う上で怪しいことはすべて避けましょう。これは鉄則です。
上記の安全対策をしてもハッカーは巧妙な手を使ってくるので人的なミスは防ぎようない場合もあります。もしも、ハッキングされたときは、すぐに「Revoke」のツールを使って承認を解除しましょう。
早速、Revokeの使い方を解説します。
□Revokeの使い方
Revokeは、シンプルで使いやすいツールです。ハッキングに合ったときは、すぐにでも対応しなければいけないので、シンプルな設計はありがたいです。使い方は次の通りになります。
使い方
1. Revokeにアクセスする
2. ウォレットを接続する
3. ボタンをクリックする
4. 「Revoke」をクリックする
5.ガス代支払い
6. 完了
上記の手順でRevokeは完了です。
1. Revokeにアクセスする
2. ウォレットを接続する
3. ボタンをクリックする
4. 「Revoke」をクリックする
NFTの場合は、ボタンをクリックして「NFTs」に切り替えます。
4.ガス代支払い
MetaMaskが起動するのでガス代を支払います。
「確認」をクリックすると完了です。
□Revokeのブラウザ拡張機能
先日、Revokeのブラウザ拡張機能をリリースしました。この拡張機能は、ウォレットの署名をしようとしている場合に警告の表示をしてくれます。
This past year we've seen a big increase in allowance scams, with big websites getting compromised or phishing websites popping up.
Today we released the https://t.co/MkINKOiX5N browser extension to combat these scams by warning you if you're about to sign allowances. pic.twitter.com/Z2Qadhiane
— Revoke.cash (@RevokeCash) July 29, 2022
拡張機能を追加した後にRevokeポップアップが表示される場合は、注意する必要があるウェブサイトです。
フィッシング、スパムが多いので拡張機能も念のためインストールをおすすめします。
Chrome拡張:Revoke.Cash
1. 「Chromeに追加」をクリックする。
2. 「拡張機能を追加」をクリックする。
□NFTハッキングされたときの対処方法まとめ
最後に内容の要点をまとめます。
• Approveとは「承認」という意味です
• ブラインド署名は安易にしないこと
• Revoke使い方
今回の解説は以上です。
NFT、暗号資産では常にハッカー達が資産を狙っています。しかも、巧妙な手口を使って偽物サイトやハッキングのファイルをユーザー踏ませてきます。。「明日は我が身」だと思いながら、もしもハッキングされたときは、パニックになると思いますが落ち着いて「Revoke」です。
それでは、防御力を高めながらNFT 暗号資産を楽しみましょう。
