|
|
|
|
@ -14,6 +14,19 @@ |
|
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
| 日付 | 更新履歴 | |
|
|
|
|
| --- | --- | |
|
|
|
|
| 2024/04/25 | V1.1[日文版](README_JP.md) `その他のツールについて`の章を追加し、`貢献者`、`関連サイト`と`署名に注意!`の章を更新。 | |
|
|
|
|
| 2024/04/24 | V1.2 `その他のツールについて`の章を追加し、`貢献者`と`関連サイト`を更新。 | |
|
|
|
|
| 2023/05/24 | V1.1 `署名に注意!`の章を少し更新。 | |
|
|
|
|
| 2023/01/07 | 私の個人的なGitHubでアドバンス内容を更新中:https://github.com/evilcos/darkhandbook | |
|
|
|
|
| 2022/06/14 | V1 [日文版](README_JP.md)がリリース。翻訳者の皆様に感謝。 | |
|
|
|
|
| 2022/05/17 | V1 [英文版](README.md)がリリース。軽微な修正を行いました。翻訳者の皆様に感謝。 | |
|
|
|
|
| 2022/04/15 | V1 がリリース。誤字脱字の修正のみを行いました。いくつかの良い提案をいただいたので、今後のミニバージョンで取り入れていきたいと思います。ありがとうございました:) | |
|
|
|
|
| 2022/04/12 | V1 Beta がリリース。中国語版が完成。空き時間を利用して3週間かけて断続的に執筆しました:D | |
|
|
|
|
|
|
|
|
|
*注:GitHubを選択したのは、協同作業がしやすく、更新履歴が確認できるためです。Watch、Fork、Starしていただけると嬉しいですが、何より皆様からの貢献を期待しています:)* |
|
|
|
|
|
|
|
|
|
:anchor:**Contents** |
|
|
|
|
- [はじめに](#はじめに) |
|
|
|
|
- [一枚の図](#一枚の図) |
|
|
|
|
@ -68,6 +81,7 @@ |
|
|
|
|
- [添付資料](#添付資料) |
|
|
|
|
- [セキュリティルール及び準則](#セキュリティルール及び準則) |
|
|
|
|
- [貢献者](#貢献者) |
|
|
|
|
- [その他のツールについて](#その他のツールについて) |
|
|
|
|
- [公式サイト](#公式サイト) |
|
|
|
|
|
|
|
|
|
# はじめに |
|
|
|
|
@ -130,7 +144,7 @@ |
|
|
|
|
|
|
|
|
|
上記1について、正しい公式サイトを見つけるには、次のようなコツがあります: |
|
|
|
|
|
|
|
|
|
* Google(検索結果の広告項目に注意してください。非常に頼りになりません) |
|
|
|
|
* Google(検索結果の広告は注意が必要です。信頼性に欠けることがあります。) |
|
|
|
|
* CoinMarketCapのような業界で有名な企業 |
|
|
|
|
* より多くの信頼できる人に聞く |
|
|
|
|
|
|
|
|
|
@ -156,7 +170,7 @@ |
|
|
|
|
|
|
|
|
|
**ブラウザ拡張ウォレットの場合**、例えば世界的に有名なMetaMaskなど、対象となる拡張機能のダウンロードページでユーザー数やその評価を目にする機会があります。例えば、MetaMaskはChrome App Storeでのユーザー数が1,000万人以上、ユーザー評価は2,000以上ありますが、最終評価はそれほど高くはありません。これは恣意的に評価を上げることはできないのでしょうか? 確かにできるとは思いますが、これほどの評価の量を操作するのは馬鹿馬鹿しいはずです。 |
|
|
|
|
|
|
|
|
|
**モバイルウォレットの場合は** 、判断方法はブラウザ拡張ウォレットと同様ですが、注意すべきは、iPhone App Storeは地域ごとに区分されており、中国本土では暗号資産は利用できないため、App Store中国アカウントでウォレットをダウンロードした場合のアドバイスはただ一つ、使わないでください。例えば米国App Storeアカウントに切り替えてダウンロードしてください。または正しい公式サイトが正しいダウンロード先に誘導してくれるはずです(世界的に有名なimTokenやTrust Walletなどの公式サイトのセキュリティは厳重になっていなければならず、もし公式サイトがハッキングされた場合は、本当に重大なセキュリティ問題となります)。 |
|
|
|
|
**モバイルウォレットの場合は** 、判断方法はブラウザ拡張ウォレットと同様ですが、注意すべきは、iPhone App Storeは地域ごとに区分されており、中国本土では暗号資産は利用できないため、App Store中国アカウントでウォレットをダウンロードした場合のアドバイスはただ一つ、使わないでください。例えば米国App Storeアカウントに切り替えてダウンロードしてください。または正しい公式サイトが正しいダウンロード先に誘導してくれるはずです(世界的に有名なimToken、OneKey、Trust Walletなどの公式サイトのセキュリティは厳重になっていなければならず、もし公式サイトがハッキングされた場合は、本当に重大なセキュリティ問題となります)。 |
|
|
|
|
|
|
|
|
|
**コールドウォレットの場合は**、簡単に言うと、公式サイトで購入し、直接オンラインストアにアクセスしないこと、また手元に届いた後で第三者に加工されたことがあるかどうかを注意しなければなりません。当然、ハードウェアのパッケージの加工が非常に巧妙なので、プロでも必ずしも見つけることはできません。現時点でのアドバイスは、使用する際は、まず最低3回連続でゼロから作成した時に生成されたニーモニックフレーズやウォレットアドレスが繰り返し生成されないのであれば問題はありません。 |
|
|
|
|
|
|
|
|
|
@ -285,7 +299,7 @@ AML問題を回避するためには、取引相手として評判の良いプ |
|
|
|
|
|
|
|
|
|
### コールドウォレット |
|
|
|
|
|
|
|
|
|
コールドウォレットの使い方はいくつかあり、ウォレット自体がインターネットに接続されていない場合は、コールドウォレットとみなされます。では、インターネットに接続されていない状態でどのように使うのでしょうか。まず、暗号資産を受け取るだけなら大したことはないので、ウォレットをモニタリングするだけで十分です。例えば、imToken、Trust Walletなどをウォレットアドレスに直接追加すればモニタリング専用ウォレットになります。 |
|
|
|
|
コールドウォレットの使い方はいくつかあり、ウォレット自体がインターネットに接続されていない場合は、コールドウォレットとみなされます。では、インターネットに接続されていない状態でどのように使うのでしょうか。まず、暗号資産を受け取るだけなら大したことはないので、ウォレットをモニタリングするだけで十分です。例えば、imToken、OneKey、Trust Walletなどをウォレットアドレスに直接追加すればモニタリング専用ウォレットになります。 |
|
|
|
|
|
|
|
|
|
コールドウォレットが暗号資産を送りたい場合、いくつかの方法があります: |
|
|
|
|
|
|
|
|
|
@ -500,7 +514,7 @@ OpenSeaでは、2022年頃にユーザーが保有する有名なNFTが盗まれ |
|
|
|
|
* ユーザーがOpenSeaでNFT(リスティング)の使用権限を与えた。 |
|
|
|
|
* ハッカーは、フィッシングによってユーザーの署名を取得した。 |
|
|
|
|
|
|
|
|
|
より正しい解釈はこちらをご覧ください(リンクが無効になりました): |
|
|
|
|
より正しい解釈はこちらをご覧ください(どういうわけか、以下のリンクが無効になっており、Xアカウントも消えてしまいました。): |
|
|
|
|
>https://twitter.com/Nesotual/status/1495223117450551300 |
|
|
|
|
|
|
|
|
|
ハッカーは、署名待ちとなる正しいコンテンツを作成してハッシュ化し、ターゲットユーザーを騙して署名を完了させる必要があります(ここではブラインド署名となり、ユーザーは実際に何を署名しているのか分かりません)。ハッカーは署名されたコンテンツを取得してから悪用するデータを作成し、悪事を行います。 |
|
|
|
|
@ -509,7 +523,7 @@ NFTのマーケットプレイスの一つ(必ずしもOpenSeaということ |
|
|
|
|
|
|
|
|
|
<img src="res/metamask_sign.jpg" width="360"> |
|
|
|
|
|
|
|
|
|
よく見てください。MetaMaskがポップアップしたこのウィンドウから何がわかるでしょうか? アカウントと残高、署名請求のウェブサイト、署名されたメッセージ、何もありません...。それなのにユーザーが「Sign」をクリックした途端、該当NFTが盗まれるとは、ユーザーにとっては理解できないでしょう。 |
|
|
|
|
よく見てください。MetaMaskがポップアップしたこのウィンドウから何がわかるでしょうか? アカウントと残高、署名請求のウェブサイト、署名されたメッセージ、それ以外には何もありません...。それなのにユーザーが「Sign」をクリックした途端、該当NFTが盗まれるとは、ユーザーにとっては理解できないでしょう。 |
|
|
|
|
|
|
|
|
|
これが実際にブラインド署名であり、ユーザーはNFTマーケットプレイスで署名する必要がないにもかかわらず、どのようなウェブサイト(フィッシングサイト)なのか、またユーザーはこれらの署名が実際に何を意味するのかを知らずに、騙されて署名してしまいます。残念ながらハッカーはこの署名の意味を知っています。ユーザーにとって覚える必要があるのはただ一つ、ブラインド署名を拒否することです。OpenSeaでも以前からブラインド署名が存在していましたが、2022年2月20日からEIP-712にアップグレードして改善されています。しかし、ブラインド署名ではなくとも、不注意なユーザーはいます。 |
|
|
|
|
|
|
|
|
|
@ -534,7 +548,7 @@ NFTのマーケットプレイスの一つ(必ずしもOpenSeaということ |
|
|
|
|
|
|
|
|
|
* Rabby extension wallet |
|
|
|
|
>https://rabby.io/<br> |
|
|
|
|
>私が見る限り、Approveチェックとキャンセル機能をサポートするチェーンは、イーサリアムチェーン系統が最も多いです。 |
|
|
|
|
>私が見る限り、Approveチェックとキャンセル機能をサポートするチェーンは、イーサリアムチェーン系が最も多いです。 |
|
|
|
|
|
|
|
|
|
:warning:**注**:署名の安全性についてより包括的かつ深く理解されたい場合は、下記の私のリポジトリで補足をご覧いただけます: |
|
|
|
|
|
|
|
|
|
@ -1043,7 +1057,9 @@ Googleはその後、この問題を完全に解決するためにAuthenticator |
|
|
|
|
貢献者達: |
|
|
|
|
``` |
|
|
|
|
私の妻 |
|
|
|
|
SlowMist、Twitter(@SlowMist_Team)、例:Pds、Johan、Kong、Kirk、Thinking、Blue、Lisa、Keywolf...。 |
|
|
|
|
SlowMist、Twitter(@SlowMist_Team),例えば:Pds | Johan | Kong | Kirk | Thinking | Blue | Lisa | Keywolf... |
|
|
|
|
英語版翻訳者,例えば:Alphatu | C. | CJ | JZ | Lovepeace | Neethan | pseudoyu | SassyPanda | ss | XL |
|
|
|
|
日本語版翻訳者,例えば:Jack Jia | Mia |
|
|
|
|
okjike |
|
|
|
|
匿名の友人達 |
|
|
|
|
他の方:https://darkhandbook.io/contributors.html |
|
|
|
|
@ -1054,6 +1070,44 @@ okjike |
|
|
|
|
|
|
|
|
|
**このハンドブックに掲載するために採用されたあらゆる補足、例えば、特定の防御や事例に関するアドバイス、翻訳作業、大きなミスの修正など。** |
|
|
|
|
|
|
|
|
|
## その他のツールについて |
|
|
|
|
|
|
|
|
|
このハンドブック(一般的に「ブラックハンドブック」と呼ばれています)が誕生してから2年以上が経過し、多くの人々の助けになったことを嬉しく思います。影響力が高まり、更新を催促する友人も少なくありませんが、私はこのハンドブックに小さな更新を加える以外に、主にハンドブックに関連する[アドバンス内容](https://github.com/evilcos/darkhandbook)の更新に取り組んできたことに気づきました。アドバンス内容は技術的で、初心者にはあまり親切ではないと言わざるを得ません。また、実際にはそれほど多くの人がセキュリティの知識を腰を据えて学ぶ意欲がないことも承知しています。この小さな章では、初心者に優しいツール(ウォレット、セキュリティ拡張機能、関連スクリプトツールなど)をいくつか推奨するつもりでしたが、何度も迷った末、特別な推奨はしないことにしました。なぜなら、この業界の発展はあまりにも速く、このハンドブックではすでに優れたツールを数多く紹介していて、それらは時間の試練に耐えてきましたが、これらのツールに未来があるのか、常に優れているのかどうかは確信が持てないからです。 |
|
|
|
|
|
|
|
|
|
以前にも述べたように、ツールを推奨する場合は、できるだけ客観的で中立な立場を取るよう努めますが、以下の点を肝に銘じておいてください: |
|
|
|
|
|
|
|
|
|
* 絶対的な安全はなく、ゼロトラストと継続的な検証は、このダークフォレストの中で常に必要な基本能力です。もしこれらのツールにバグやセキュリティ問題が発生したり、さらに悪いことに、新しいバージョンにバックドアが埋め込まれたりした場合、そのリスクは自己責任となります。これらのツールを使用する前に、独立した思考を持ち、軽々しく信用しないことをお勧めします。 |
|
|
|
|
|
|
|
|
|
* 私の研究能力は優れており、友人も多いので、良いものはタイミングが来れば自然と推奨します。焦る必要はありません。あなたのツールが優れていれば、まず皆からの信頼を得ることが重要で、そうすれば自然と私が推奨することになるでしょう。 |
|
|
|
|
|
|
|
|
|
* あなたにも個性があり、私にもあります。 |
|
|
|
|
|
|
|
|
|
* 価格には惑わされないようにしましょう。 |
|
|
|
|
|
|
|
|
|
* 信頼関係の構築は容易ではありませんが、崩壊は一瞬のうちに起こります。だからこそ、お互いを大切にしましょう。 |
|
|
|
|
|
|
|
|
|
この小さな章ではツールの特別な推奨はしませんが、「ファイアウォールシンキング」という素晴らしい考え方を皆さんと共有したいと思います。これまで繰り返し強調してきた「ゼロトラスト」や「継続的な検証」は、実はファイアウォールシンキングなのです。 |
|
|
|
|
|
|
|
|
|
例えば、ウォレットの使用において、署名は資金の安全性に関する大きな問題領域であり、多種多様な署名フィッシング手法があります。例を挙げると以下のようなものがあります: |
|
|
|
|
|
|
|
|
|
- eth_sign/personal_sign/eth_signTypedData_*などのネイティブ署名の悪用。eth_signはウォレットによってブロックされることが増えてきています。 |
|
|
|
|
- トークンやNFTのapprove/permitなどの承認関数の悪用。 |
|
|
|
|
- UniswapのswapExactTokensForTokens/permit2などの強力な関数の悪用。 |
|
|
|
|
- OpenSea/Blurなどのプロトコル関数の悪用(多岐にわたる)。 |
|
|
|
|
- TX data 4byteの悪用、Claim Rewards/Security Updateなど。 |
|
|
|
|
- Create2を使用して資金受取先アドレスを事前に作成し、関連する検出を回避する。 |
|
|
|
|
- Solanaで1つの署名でターゲットのウォレットにある全ての資産を盗む。 |
|
|
|
|
- ビットコインのOrdinalsで一括フィッシング、UTXOメカニズム。 |
|
|
|
|
- 各EVMチェーン/Solana/Tronなどでのフィッシングの切り替え。 |
|
|
|
|
|
|
|
|
|
ウォレットを使用する際、署名確認のポップアップが表示された時、FOMOや手が滑ったとしても、一度「確認」をクリックすると署名が送信されてしまいます。このようなウォレットの使用方法では、ファイアウォールシンキングを備えていません。より良い方法は、少なくとも2回のクリックが必要だということです。1回多くクリックするごとに、セキュリティ保護のレイヤーが1つ増えます(もちろん、あまりに多くのレイヤーは必要ありません。人は慣れてしまいますから)。例えば、私はRabby、MetaMask、OKX Walletなどのブラウザ拡張ウォレットを使用していますが、テスト用のウォレットを除いて、他のものにはできる限りハードウェアウォレットを併用するようにしています(署名内容を識別しやすいように、できるだけ大きな画面のものが良いです)。 |
|
|
|
|
|
|
|
|
|
この場合、拡張ウォレットの署名確認ポップアップが第1層のセキュリティ解析を行います。例えば、フィッシングサイト、リスクのあるウォレットアドレス、あなたが見たものに、あなたが署名するものである、高リスクな署名の識別などです。これらはすべてユーザーとのインタラクションにおける重要なセキュリティです。ハードウェアウォレットは第2層のセキュリティ解析を行います。さらに、Scam Sniffer、Wallet Guard、Pocket Universeなどのブラウザウォレットのセキュリティ拡張機能を併用すれば、ファイアウォールがさらに1つ増えます。ただし、現在実行中の操作に対してリスクの警告がない場合でも、自分自身で警戒し、識別することを忘れないでください。あなた自身が最後の砦となるファイアウォールなのです。 |
|
|
|
|
|
|
|
|
|
ファイアウォールシンキングに慣れると、効率への影響は大きくありませんが、セキュリティは大幅に向上します。他のシナリオでも同様の考え方を応用してください。 |
|
|
|
|
|
|
|
|
|
さて、この小さな章はここまでとします。 |
|
|
|
|
|
|
|
|
|
## 公式サイト |
|
|
|
|
``` |
|
|
|
|
SlowMist https://www.slowmist.com |
|
|
|
|
@ -1062,24 +1116,26 @@ Sparrow Wallet https://sparrowwallet.com/ |
|
|
|
|
MetaMask https://metamask.io/ |
|
|
|
|
imToken https://token.im/ |
|
|
|
|
Trust Wallet https://trustwallet.com/ |
|
|
|
|
TokenPocket https://www.tokenpocket.pro/ |
|
|
|
|
Gnosis Safe https://gnosis-safe.io/ |
|
|
|
|
ZenGo https://zengo.com/ |
|
|
|
|
Fireblocks https://www.fireblocks.com/ |
|
|
|
|
Safeheron https://www.safeheron.com/ |
|
|
|
|
Keystone https://keyst.one/ |
|
|
|
|
Trezor https://trezor.io/ |
|
|
|
|
OneKey https://onekey.so/ |
|
|
|
|
imKey https://imkey.im/ |
|
|
|
|
Rabby https://rabby.io/ |
|
|
|
|
OKX Wallet https://www.okx.com/web3 |
|
|
|
|
EdgeWallet https://edge.app/ |
|
|
|
|
MyEtherWallet https://www.myetherwallet.com/ |
|
|
|
|
Phantom https://phantom.app/ |
|
|
|
|
Tornado Cash https://tornado.cash/ |
|
|
|
|
Binance https://www.binance.com/ |
|
|
|
|
Coinbase https://coinbase.com |
|
|
|
|
Compound https://compound.finance/ |
|
|
|
|
SushiSwap https://www.sushi.com/ |
|
|
|
|
OpenSea https://opensea.io/ |
|
|
|
|
SushiSwap https://www.sushi.com/ |
|
|
|
|
Revoke.cash https://revoke.cash/ |
|
|
|
|
APPROVED.zone https://approved.zone/ |
|
|
|
|
Scam Sniffer https://www.scamsniffer.io/ |
|
|
|
|
Wallet Guard https://www.walletguard.app/ |
|
|
|
|
Pocket Universe https://www.pocketuniverse.app/ |
|
|
|
|
|
|
|
|
|
即刻 https://okjike.com/ |
|
|
|
|
Kaspersky https://www.kaspersky.com.cn/ |
|
|
|
|
|
evilcos
2 months ago
committed by
GitHub