ラグプルのような詐欺は、NFT領域で広く議論されています。しかし、ユーザーが悪用される可能性のある方法は他にもあります。ブロックチェーン技術上で実行されるスマートコントラクトは、ウェブアプリケーションよりも攻撃対象が小さいため、一般的に悪用されにくいと考えられています。しかし、スマートコントラクトの機能にアクセスするためにはウェブアプリケーションが必要なため、この分野のセキュリティ問題が悪用につながる可能性があります。

わかりやすく言えば、NFTや暗号にアクセスするには、インターネットに接続し、他のウェブサイトを介してこれらの資産を売買する必要があるということです。そして、このようなフロントエンドアプリケーションのセキュリティギャップは、ユーザーに対して悪用される可能性があります。

悲しいことに、ハッカーたちは、スマートコントラクトそのものを悪用することなく、ある特定のギャップを利用してデジタル資産を乗っ取っています。具体的には、犯罪者は特定の分散型アプリケーションのフロントエンドアプリケーションをハッキングし、ユーザーを騙して不正な取引にサインさせるリクエストを発行します。このようなリクエストは、プラットフォームのスタイルや言語を模倣して、一見ネイティブで安全に見えることが多いため、識別が非常に困難です。

しかし、そのリクエストは実はウェブサイトとは無関係のもので、ハッカー自身がコントロールしています。その結果は？ユーザーが取引にサインすると、ハッカーはウォレットから特定の資産を換金できるようになります。

注意すべきは、この悪用によってハッカーがウォレットを無条件に制御できるわけではないことです。あるコレクションのNFTが盗まれた場合、別のコレクションからNFTを盗むために追加の不正な取引が必要になる可能性があります。それでも、これは重要な問題を提起しています。デジタル資産を保護するのは誰の責任なのでしょうか。ここでは、ウォレット、プラットフォーム、ユーザーといった各関係者を考察し、このような悪用を防ぐためのヒントを提供することで、この問題に答えたいと思います。

1.パーソナル・トークンウォレットにおける慎重なコミュニケーション

デジタル資産を保管するための暗号ウォレットは、本人以外がアクセスできないよう、何重にも保護されています。しかし、フロントエンドアプリケーションのセキュリティギャップに着目すると、ハッカーはパスワードを知らなくても、前述の安全策を回避することができます。その結果、複数のユーザーが同時にNFTを制御できなくなる可能性があります。

これを防ぐために、Metamaskのようなウォレットは、一般的なタイプのインタラクションに対して、より熟考された警告メッセージを表示することができます。

現在、取引承認に関する中立的な情報のみが表示されています。その代わりに、ユーザーが特定の資産（または資産のコレクション）へのアクセスを譲渡する可能性があることを示す慎重なメッセージを、警告として表示することができます。このようにすれば、NFTの管理権を誰かに与える可能性のある取引に署名する前に、よく検討するよう促されています。

2.ナレッジベースに不正防止情報を含める

デジタル資産を取引するマーケットプレイスは、そのインタラクションの範囲をより明確に定義して伝達し、また、そのナレッジベースに潜在的なハッカーの侵入口に関するセクションを含めることができます。彼らは、彼らが開始する可能性のある契約上のインタラクションの例をリストして公開することができます。（例えば、私はopensea.ioのOpenSeaです。これらのパラメーターを使用してこのコントラクトのみを呼び出します。）

同様に、MetaMaskのようなプロバイダーは、非標準のトランザクションを拒否することができます。そうすれば、ほとんどの場合、クライアント側の侵害では攻撃を成功させることはできないだろう。

3.ユーザーがリスクを最小限に抑える方法

NFTに携わるユーザーが取るべき最もシンプルかつ非常に重要なステップは、何かを承認する前に取引の詳細を綿密に確認することです。これは、私たちが銀行取引を確認するのと同じ方法です。

さらに、リスクを分散するために複数のウォレットを持つこと、あるいは異なるプラットフォームとやり取りするために異なるウォレットを使用することも検討すべきです。ユーザーがデジタル資産を異なるウォレットに分散していれば、たとえ1つのウォレットが危険にさらされても、他のウォレットは安全な状態を保つことができます。

残念ながら、結局のところ、ハッカーを寄せ付けないための100％確実な解決策はないです。しかし、これらのヒントは、適切に展開されれば、多くの悪用を防ぐことができます。また、より優れたソリューションが登場する一方で、プレミントのようなプラットフォームは、新しいバージョンのウェブが完全に統合されれば、新しく明るい未来が待っているかもしれないと主張しているが、Web3は、現在我々が使っているWeb2.0が体現するセキュリティ上のギャップをいくつか引き継ぐことになりそうです。ハッカーを阻止する特効薬はありませんが、脅威をより意識し、セキュリティを強化することで、全体として脆弱性の少ない市場になるはずです。

Indrė Viltrakytėは、Web3ファッションベンチャーThe Rebelsの共同設立者兼CEOです。IRLファッションブランドでの10年以上の経験を持ち、現在は長年の業界知識を活かして、メタバースにおけるデジタルとフィジカルファッションの橋渡しをすることに専念しています。

作者：INDRĖ VILTRAKYTĖ

転載先：https://nftnow.com/features/hackers-exploit-apps-to-steal-digital-assets-heres-how-to-stop-them/