OKX Web3＆WTF Academy：一秒前に一生懸命にしていたことが、次の瞬間にハッカーによって「盗まれる」？

引言：OKX Web3ウォレットは、「セキュリティ特集」コーナーを特別企画し、さまざまなタイプのオンチェーンセキュリティ問題について専門的な解説を行っています。実際にユーザーの身近で起きた事例を通じて、セキュリティ領域の専門家や機関と協力し、異なる視点からの共同シェアや解説を行い、浅から深へと安全取引のルールを整理し、まとめ上げています。これにより、ユーザーのセキュリティ教育を強化し、ユーザー自身が秘密鍵とウォレット資産を保護する方法を学ぶ手助けとなることを目指しています。

髪の毛の働きは虎のように激しく、安全率はマイナス5?

作为オンチェーン交互の頻繁なユーザーとして、安全はいつも最優先です。

今日、2大オンチェーンの「避けられない穴を避ける王」が、セキュリティ対策の攻略方法を教えます。

本期はセキュリティ特集第03号であり、業界で有名なセキュリティ専門家である0x AAさんとOKX Web3ウォレットセキュリティチームが、実践的なガイドラインの観点から、一般的なセキュリティリスクと予防策について解説します。

WTF Academy: OKX Web3の招待を受け、WTF Academyの0x AAから参加しております。WTF Academyは、開発者がWeb3開発に参入するのを支援するオープンソースの大学です。今年、Web3救援プロジェクトRescuETH（オンチェーンレスキューチーム）を立ち上げ、ユーザーの盗難ウォレットの残高を救援することに特化しています。現在、Ethereum、Solana、Cosmosのネットワークで、盗難された資産を300万人民元以上救援しています。

**OKX Web3ウォレットセキュリティチーム：**皆さん、この共有をする機会を得て非常に嬉しく思っています。OKX Web3ウォレットセキュリティチームは、ウォレットのセキュリティ能力構築、スマートコントラクトのセキュリティ監査、オンチェーンプロジェクトのセキュリティ監視など、OKXがWeb3領域で担当しているさまざまなセキュリティ機能を担当しています。ユーザーに製品のセキュリティ、資金のセキュリティ、取引のセキュリティなど、複数の保護サービスを提供し、ブロックチェーンのセキュリティエコシステムの維持に貢献しています。

Q1：いくつかの実際の撫で毛の人々のリスク事例を共有してください。

**WTF学院：**秘密鍵の漏洩は、ユーザーが直面する重大なセキュリティリスクの一つです。本質的には、秘密鍵は暗号資産を制御するための文字列であり、秘密鍵を持つ人は対応する暗号資産を完全に制御することができます。一旦秘密鍵が漏洩すると、攻撃者は許可なくユーザーの資産にアクセスし、移動、管理することができ、ユーザーに経済的損失をもたらすことがあります。したがって、私はいくつかの秘密鍵が盗まれた事例を重点的に共有します。

Alice（化名）はソーシャルメディアでハッカーによってマルウェアをダウンロードするよう誘導され、そのマルウェアを実行したことにより、秘密鍵が盗まれました。現在、マルウェアの形式はさまざまで、マイニングスクリプト、ゲーム、会議ソフトウェア、チャットボットなどが含まれます。ユーザーはセキュリティ意識を高める必要があります。

Bob（化名）がうっかりGitHubに秘密鍵をアップロードしてしまい、第三者に取得され、結果として資産が盗まれてしまいました。

Carl（化名）はプロジェクトの公式Tegegramグループで問い合わせをし、自分に連絡してきた詐欺師のカスタマーサポートを信じて、自分のニーモニックフレーズを漏らし、その後、ウォレットの資産が盗まれました。

**OKX Web3ウォレットセキュリティチーム：**このようなリスクケースは非常に多くありますが、いくつかの典型的なケースをいくつか選んでみました。ユーザーがお金を稼ぐために参加する際に遭遇する可能性が高いです。

第一のタイプは、偽のエアドロップを公開する高品質なアカウントです。ユーザーAは、人気のあるプロジェクトのTwitterを閲覧していると、最新のTwitterの下にエアドロップの活動のお知らせがあることに気付き、すぐにそのお知らせのリンクをクリックしてエアドロップに参加しようとしましたが、結果的にフィッシング詐欺に引っかかりました。現在、多くのフィッシング詐欺師は、公式アカウントを高度に模倣し、公式のTwitterに虚偽のお知らせを投稿してユーザーを騙し、ユーザーは注意して識別し、軽視すべきではありません。

第二のタイプ、公式アカウントがハッキングされました。あるプロジェクトの公式TwitterとDiscordアカウントがハッカーに攻撃され、その後、ハッカーは公式アカウント上で偽のエアドロップ活動リンクを投稿しました。このリンクは公式チャネルから投稿されたものであるため、ユーザーBはその真偽を疑わず、リンクをクリックしてエアドロップに参加した後にフィッシングの被害に遭いました。

第三のタイプは、悪意のあるプロジェクトに遭遇することです。ユーザーCはあるプロジェクトのマイニング活動に参加し、より高い報酬を得るために、すべてのUSDT資産をそのプロジェクトのステーキング契約に投資しました。しかし、そのスマートコントラクトは厳格な監査を受けず、オープンソースではなかったため、プロジェクト側はその契約に予め用意されたバックドアを利用して、ユーザーCが投入した資産をすべて盗み取ってしまいました。

撸毛ユーザーにとって、数十個または数百個のウォレットを持つことはよくあります。ウォレットと資産の安全を守る方法は非常に重要なトピックであり、常に警戒心を持ち、セキュリティ意識を高める必要があります。

Q2: 高頻利用者として、撚り者のオンチェーンインタラクションにおける一般的なセキュリティリスクタイプと防御措置

**WTF Academy：**撸毛人およびすべてのWeb3ユーザーにとって、一般的な2つのセキュリティリスクはフィッシング攻撃と秘密鍵の漏洩です。

最初のタイプはフィッシング攻撃です:ハッカーは通常、公式のWebサイトやアプリになりすまし、ユーザーをだましてソーシャルメディアや検索エンジンをクリックさせ、ユーザーをだましてフィッシングWebサイトでトランザクションまたは署名を作成してトークン認証を取得し、ユーザー資産を盗みます。

防犯策：第一に、ユーザーには公式チャネル（公式ツイッターのプロフィールにあるリンクなど）から公式ウェブサイトやアプリにアクセスすることをお勧めします。第二に、ユーザーはセキュリティプラグインを使用して、一部のフィッシングサイトを自動的にブロックすることができます。第三に、ユーザーは疑わしいサイトにアクセスする際に、専門のセキュリティ専門家に相談し、フィッシングサイトかどうかを判断してもらうことができます。

第二のタイプは秘密鍵の漏洩です：すでに前の問題で説明しましたので、ここでは詳細を省きます。

防止策：第一に、ユーザーのコンピュータや携帯電話にウォレットがインストールされている場合、非公式のソフトウェアをダウンロードしないようにしてください。第二に、ユーザーは公式のカスタマーサポートは通常、自分からDMを送ったり、秘密鍵やニーモニックフレーズを送信するよう求めることはありません。第三に、ユーザーのオープンソースプロジェクトで秘密鍵が必要な場合は、.gitignoreファイルを設定して、秘密鍵がGitHubにアップロードされないようにしてください。

**OKX Web3ウォレットセキュリティチーム：**私たちはユーザーのチェーン上での相互作用に関連する一般的な5つのセキュリティリスクをまとめ、それぞれのリスクに対するいくつかの保護措置を挙げました。

1.エアドロップ詐欺

风险概要：一些ユーザーはしばしば自分のウォレットアドレスに多数の不明なトークンが現れることに気付くことがあります。これらのトークンは一般的なDEX取引では通常失敗し、ページではユーザーに公式サイトでの交換を促すことがありますが、ユーザーが承認取引を行う際には、しばしばスマートコントラクトが口座資産を転送する権限を与えてしまい、最終的には資産が盗まれてしまうことにつながります。たとえば、Zapeのエアドロップ詐欺では、多くのユーザーが突然大量のZapeコインをウォレットに受け取り、その価値が数十万ドルにも見えることがあります。これにより多くの人が思わぬ富を手に入れたと誤解してしまいます。しかし、実際にはこれは精巧に仕組まれた罠なのです。これらのトークンは正規のプラットフォームでは検索できないため、現金化を急ぐユーザーはトークンの名前に基づいていわゆる「公式サイト」を見つけることがあります。ウォレットを接続するように促されると、これらのトークンを売却できると思いますが、一旦承認すると、ウォレット内のすべての資産がすぐに盗まれてしまいます。

防御策：エアドロップの詐欺を回避するためには、ユーザーは常に情報の出所を確認し、公式チャンネル（プロジェクトの公式ウェブサイト、公式ソーシャルメディアアカウント、公式発表など）からエアドロップ情報を入手することが重要です。秘密鍵やシードフレーズを保護し、何らかの料金を支払わないようにし、コミュニティやツールを活用して潜在的な詐欺を識別することが重要です。

2. 恶意智能合约

リスクの概要：多くの未監査またはオープンソース化されていないスマートコントラクトには、セキュリティ上の脆弱性やバックドアが含まれる可能性があり、ユーザーの資金の安全性を保証することはできません。

防御策: ユーザーは可能な限り、厳密に監査されたスマートコントラクトとのみやり取りするか、プロジェクトのセキュリティ監査レポートを注意深く調査することをお勧めします。また、通常、バグバウンティが設定されているプロジェクトは、より安全性が保証されています。

3.授权管理： -> 3.権限管理：

リスク概要：インタラクティブな契約に対して過剰な権限を与えると、資金が盗まれる可能性があります。以下に例を挙げて説明します：1）契約がアップグレード可能な契約である場合、特権アカウントの秘密鍵が漏洩した場合、攻撃者はその秘密鍵を利用して契約を悪意のあるバージョンにアップグレードし、授権されたユーザーの資産を盗むことができます。2）契約にまだ特定されていない脆弱性が存在する場合、過剰な権限は将来、攻撃者がこれらの脆弱性を利用して資金を盗むことができる可能性があります。

防御策：原則として、相互作用する契約に対して必要な範囲の承認を行い、定期的に不要な承認を確認および取り消す必要があります。オフチェーンの permit 承認署名を行う際には、承認の対象契約/資産タイプ/承認額を明確にする必要があります。慎重に考えた上で行ってください。

4. 釣り授権

リスク概要：悪意のあるリンクをクリックし、悪意のあるスマートコントラクトまたはユーザーに権限を付与される可能性があります。

防御策：1）ブラインド署名を避ける：すべての取引を署名する前に、署名する取引内容を理解し、各ステップが明確で必要であることを確認してください。2）承認対象を慎重に扱う：承認対象がEOAアドレス（Externally Owned Account）または未検証のスマートコントラクトの場合は、警戒する必要があります。未検証のスマートコントラクトには悪意のあるコードが含まれている可能性があります。3）フィッシング防止プラグインウォレットを使用する：フィッシング保護機能を備えたプラグインウォレット、例えばOKX Web3ウォレットなどを使用すると、悪意のあるリンクを識別およびブロックするのに役立ちます。4）ニーモニックフレーズと秘密鍵を保護する：ニーモニックフレーズや秘密鍵を提供するよう要求するすべてのウェブサイトはフィッシングリンクですので、これらの機密情報を入力しないでください。

5. 悪質なふわふわスクリプト

风险简介：悪意のあるスクリプトを実行すると、コンピュータにトロイの木馬が埋め込まれ、その結果秘密鍵が盗まれる可能性があります。

谨慎な運転で未知のスクリプトやソフトウェアを実行しないように、防御策を取ってください。

总之、私たちはユーザーがオンチェーンのインタラクションを行う際に、非常に慎重であり、自分のウォレットと資産の安全を保護することを望んでいます。

Q3：クラシックなフィッシングタイプとテクニック、およびそれらの識別と回避方法を整理する

WTFアカデミー： 別の視点からこの質問に再び答えたいと思います：ユーザーが資産の盗難を発見した場合、それがフィッシング攻撃なのか秘密鍵の漏洩なのかをどのように見分けるのですか？ 通常、ユーザーはこれら2種類の攻撃の特徴で見分けることができます：

一、フィッシング攻撃の特徴：ハッカーは通常、フィッシングサイトを通じて、ユーザーの単一のウォレット内の単一または複数の資産の権限を取得し、それによって資産を盗みます。一般的に、盗まれた資産の種類は、ユーザーがフィッシングサイトに許可した回数と同じです。

二、私鍵/助記詞漏洞の特徴：ハッカーは、ユーザーの単一または複数のウォレットにあるすべてのチェーンの資産の制御権を完全に取得します。したがって、以下の特徴のいずれかが現れた場合、おそらく私鍵が漏洩していると判断できます。

1）原生代币被盗（如 ETH 链的 ETH），因为原生代币无法被授权。

2）多链资产被盗。 多チェーン資産が盗まれました。

3)ロング ウォレット資産の盗難。

4）単一のウォレットで複数の資産が盗まれ、これらの資産には明確な許可がないことを覚えています。

5. トークンを盗む前、または同じトランザクション(承認イベント)で承認はありません。

6）転入したGasはすぐにハッカーによって転送されます。

もしその特徴に合致しない場合、それはおそらくフィッシング攻撃です。

**OKX Web3ウォレットセキュリティチーム：**フィッシングサイトに注意するために、次の2点に注意してください：1）ウェブページにニーモニック/秘密鍵を入力しないでください；2）

確認してください。アクセスするリンクは公式リンクであることを確認し、ウォレットの画面での確認ボタンを注意してクリックしてください。

次に、私たちはいくつかのクラシックな釣り場のシーンを共有し、ユーザーがより直感的に理解するのを手助けするための手法を共有します。

1、フィッシング詐欺の偽ウェブサイト：公式のDAppウェブサイトの模倣品で、ユーザーに秘密鍵やニーモニックフレーズの入力を誘導します。したがって、ユーザーの最優先の原則は、自分のウォレットの秘密鍵やニーモニックフレーズを他の人や他のウェブサイトに提供しないことです。次に、ウェブサイトのURLが正しいかどうかを確認し、公式のブックマークを使用して一般的なDAppにアクセスし、OKX Web3ウォレットのような信頼性のあるメインストリームウォレットを使用することをお勧めします。フィッシングウェブサイトが検出されると、警告が表示されます。

2、窃取メインチェーントークン：悪意のあるスマートコントラクト関数は、Claim、SeurityUpdate、AirDropなどの誘導的な名前を持ち、実際の関数ロジックは空であり、ユーザーのメインチェーントークンを転送するだけです。

3、類似のアドレスへの送金: 詐欺師は、ユーザーの関連アドレスと末尾のいくつかの数字が同じであるアドレスを生成するためにアドレスの衝突を利用します。それにより、transferFromを使用して0の金額で送金を行い、または偽のUSDTを使用して一定の金額で送金を行うことで、ユーザーの取引履歴を汚染し、ユーザーが将来の送金で誤ったアドレスをコピーすることを期待します。

4、偽のカスタマーサービス：ハッカーがカスタマーサービスを偽装し、ソーシャルメディアやメールでユーザーに連絡し、秘密鍵やニーモニックフレーズの提供を求めます。公式のカスタマーサービスは秘密鍵の提供を要求しませんので、このような要求は無視してください。

Q4：専門的トリマーは、さまざまなツールを使用する際に注意するセキュリティ上の問題

**WTF Academy：**撸毛ユーザーが関与するツールの種類が多岐にわたるため、各種ツールの使用時にはセキュリティ対策を強化する必要があります。例えば、01928374656574839201

1、ウォレットのセキュリティ: 秘密鍵やニーモニックが漏洩しないように注意し、安全でない場所に秘密鍵を保存しないでください。また、未知のサイトや信用できないサイトに秘密鍵を入力しないようにしてください。ユーザーは、秘密鍵やニーモニックをオフラインの保存デバイスや暗号化されたクラウドストレージなどの安全な場所にバックアップする必要があります。さらに、高額な資産を持つウォレットユーザーは、マルチシグウォレットを使用することでセキュリティを高めることができます。

2、フィッシング攻撃を防ぐ：関連するウェブサイトにアクセスする際には、ウェブアドレスを注意深く確認し、不明なソースのリンクをクリックしないようにしてください。プロジェクトの公式ウェブサイトや公式ソーシャルメディアからダウンロードリンクや情報を入手することをおすすめし、第三者のソースの使用は避けてください。

3、ソフトウェアのセキュリティ：ユーザーは、デバイスにウイルス対策ソフトウェアをインストールし、アップデートして、マルウェアやウイルス攻撃を防止する必要があります。また、ウォレットやその他のブロックチェーン関連ツールも定期的に更新し、最新のセキュリティパッチを使用する必要があります。以前、指紋認証ブラウザやリモートデスクトップにセキュリティの脆弱性が存在したため、使用はお勧めできません。

以上の対策により、ユーザーはさまざまなツールを使用する際の安全リスクをさらに低減することができます。

**OKX Web3ウォレットセキュリティチーム：**まずは、業界で公開されている事例を挙げます。

比特指紋ブラウザは、複数のアカウントでのログイン、ウィンドウの関連付けの防止、および独立したコンピュータ情報の模擬などの機能を提供し、いくつかのユーザーに好まれていますが、2023年8月の一連のセキュリティイベントにより、その潜在的なリスクが明らかになりました。具体的には、比特ブラウザの「プラグインデータ同期」機能により、ユーザーはプラグインデータをクラウドサーバーにアップロードし、パスワードを入力して新しいデバイスに迅速に移行することができます。この機能はユーザーの利便性を目的としていますが、セキュリティ上のリスクも存在します。ハッカーはサーバーを侵害し、ユーザーのウォレットデータを取得しました。ブルートフォース攻撃により、ハッカーはデータからユーザーのウォレットパスワードを解読し、ウォレットの権限を取得しました。サーバーレコードによると、拡張キャッシュを保存しているサーバーは8月初旬（ログの最新は8月2日まで）に不正にダウンロードされました。この事件は、利便性を享受する一方で、潜在的なセキュリティリスクにも警戒する必要があることを思い起こさせます。

ユーザーは、ハッカーの攻撃やデータ漏洩のリスクを避けるために、使用するツールが安全かつ信頼性があることを確認することが非常に重要です。一般的に、次の側面からセキュリティを向上させることができます。

一、ハードウェアウォレットの使用方法：1）ファームウェアを定期的に更新し、公式チャネルで購入します。2）安全なコンピュータ上で使用し、公共の場で接続しないでください。

二、ブラウザのプラグインの使用：）第三者のプラグインやツールの使用には注意し、できるだけ信頼性の高い製品（例：OKX Web3ウォレット）を選択してください。2）信頼できないウェブサイトでのウォレットプラグインの使用を避けてください。

三、取引分析ツールの使用：1）信頼できるプラットフォームを使用して取引や契約の相互作用を行います。2）契約アドレスと呼び出し方法を注意深く確認し、誤操作を避けます。

四、コンピューター機器の使用：1）定期的なコンピューターシステムおよびソフトウェアの更新、セキュリティホールの修正。2）セキュリティ対策のウイルス対策ソフトウェアを導入し、定期的にコンピューターシステムのウイルスを駆除する。

Q 5 : 1ウォレットと比較して、ヘアカッターはより安全にロング ウォレットとアカウントを管理することができますか?

WTF Academy： ユーザーがオンチェーンで頻繁に相互作用し、同時に複数のウォレットとアカウントを管理するため、資産の安全に特に注意する必要があります。

一、ハードウェアウォレットの使用：ハードウェアウォレットを使用すると、ユーザーは同じデバイスで複数のウォレットアカウントを管理できます。各アカウントの秘密鍵はハードウェアデバイスに保存されるため、セキュリティがより確保されます。

二、セキュリティポリシーと操作環境の分離：まず、セキュリティポリシーの分離です。ユーザーは異なる目的のウォレットを分けることで、リスクを分散させることができます。例えば、エアドロップウォレット、取引ウォレット、保存ウォレットなどです。また、ホットウォレットは日常取引や操作に使用し、コールドウォレットは重要な資産の長期保存に使用します。これにより、1つのウォレットが損傷を受けても他のウォレットには影響を与えません。

其次は、操作環境の分離です。ユーザーは異なるデバイス（例えば、携帯電話、タブレット、コンピュータなど）を使用して異なるウォレットを管理し、1つのデバイスのセキュリティの問題がすべてのウォレットに影響することを防ぐことができます。

三、パスワード管理：ユーザーは各ウォレットアカウントに強力なパスワードを設定する必要があります。同じまたは類似したパスワードの使用は避けるべきです。または、パスワードマネージャーを使用して異なるアカウントのパスワードを管理し、各パスワードが独立して安全であることを確認してください。

OKX Web3ウォレットセキュリティチーム： ラムユーザーにとって、複数のウォレットやアカウントを安全に管理することは簡単ではありません。たとえば、以下の観点からウォレットのセキュリティを向上させることができます：

1、リスクの分散： 1）すべての資産を1つのウォレットに保管しないで、リスクを分散させましょう。資産の種類と用途に応じて、ハードウェアウォレット、ソフトウェアウォレット、コールドウォレット、ホットウォレットなど、異なるタイプのウォレットを選択してください。2）マルチシグウォレットを使用して大口の資産を管理し、セキュリティを向上させましょう。

2、バックアップとリストア： 1）定期的にニーモニックフレーズと秘密鍵をバックアップし、複数の安全な場所に保存します。2）ハードウェアウォレットを使用してコールドストレージを行い、秘密鍵の漏洩を避けます。

**3、重複したパスワードを避ける：**各ウォレットとアカウントに別々の強力なパスワードを設定し、同じパスワードを使用しないようにすることで、1つのアカウントがハッキングされた場合に他のアカウントも脅威にさらされるリスクを減らします。

**4、2段階認証を有効にする：**可能な場合は、すべてのアカウントに対して2段階認証（2FA）を有効にし、アカウントのセキュリティを向上させます。

**5、自動化ツール：**データ漏洩のリスクを減らすために、特に情報をクラウドや第三者のサーバーに保存する可能性がある自動化ツールの使用を減らしてください。

**6、アクセス権の制限：**信頼された人物にのみ、ウォレットとアカウントへのアクセスを許可し、その操作権限を制限します。

**7、定期的にウォレットのセキュリティ状態をチェックしてください：**ウォレットの取引を監視するツールを使用して、異常な取引が発生していないことを確認し、ウォレットの秘密鍵が漏洩していることがわかった場合は、すぐにすべてのウォレットを交換してください。

以上の列挙されたいくつかの寸法に加えて、さらに多くの寸法がありますが、いずれにせよ、ユーザーはウォレットと資産の安全性を確保するため、単一の寸法に依存せずに、できるだけ多くの寸法を使用することが望ましいです。

Q 6 ：撸毛人に関連する取引のスリッページ、MEV攻撃などに対する防御策はありますか？

**WTF Academy：**取引スリッページとMEV攻撃を理解し、防ぐことは非常に重要です。これらのリスクは取引コストと資産の安全に直接影響を与えます。

MEV攻撃には、以下のような一般的なタイプがあります：1）フロントランニング、つまりマイナーやトレーディングボットがユーザーの取引よりも先に同じ取引を実行して利益を得ること。2）サンドイッチ攻撃、マイナーがユーザーの取引の前後に買い注文と売り注文を挿入し、価格の変動から利益を得ること。3）アービトラージ、ブロックチェーン上で異なる市場の価格差を利用して利益を得ること。

MEV保護ツールを使用して、ユーザーはトランザクションをマイナーに専用チャネルで提出し、ブロードキャストをブロックチェーン上で公開することを避けることができます。または、トランザクションの公開時間を短縮し、トランザクションがメモリープールに滞在する時間を減らし、高いガス料金を使用してトランザクションの確認速度を高めたり、DEXプラットフォームでの大口取引の集中を避けるなどの措置を講じることで、攻撃リスクを低減することができます。

**OKX Web3ウォレットセキュリティチーム：**取引のスリッページとは、予想される取引価格と実際の実行価格の差を指します。通常、市場の変動が大きいか流動性が低い場合に発生します。MEV攻撃とは、攻撃者が非対称情報や取引特権を利用して超過利益を得ることを指します。以下はこれら2つのシナリオに対する一般的な保護措置です：

1、スリッページ許容範囲の設定：ブロックチェーン上の取引には一定の遅延があり、またMEV攻撃なども存在するため、ユーザーは取引時に適切なスリッページ許容範囲を事前に設定する必要があります。これにより、市場の変動やMEV攻撃による取引の失敗や資金の損失を防ぐことができます。

2、分批トレード：一度に大量のトレードを避け、複数回のトレードに分けることで、市場価格への影響を軽減し、スリッページリスクを低減することができます。

3、流動性の高い取引ペアを使用する：取引する際には、流動性の豊富な取引ペアを選択して、スリッページを減らすようにしてください。

4、防抢跑ツールを使用する：重要な取引はできるだけメモリープールを経由せず、専門の防抢跑ツールを使用して取引がMEVロボットにキャプチャされないよう保護することができます。

Q 7: ユーザーは監視ツールや専門的な方法を使用して、定期的にウォレットアカウントの異常を監視および検出することができますか？

**WTF Academy：**ユーザーは、ウォレットアカウントの異常な活動を定期的に監視および検出するために、さまざまな監視ツールや専門的な手法を使用することができます。これらの手法は、アカウントのセキュリティを向上させ、不正アクセスや潜在的な詐欺行為を防ぐのに役立ちます。以下は、効果的な監視および検出手法のいくつかです：

1）第三方監視サービス：現在、多くのプラットフォームがユーザーにウォレットの活動の詳細なレポートとリアルタイムの警告を提供できます。

2）セキュリティプラグインの使用：一部のセキュリティツールは、一部のフィッシングサイトを自動的にブロックすることができます。

3）ウォレット内蔵機能：OKX Web3などのウォレットは、一部のフィッシングサイトや疑わしい契約を自動的に検出および識別し、ユーザーに警告を提供します。

**OKX Web3ウォレットセキュリティチーム：**現在、多くの企業や組織がウォレットアドレスの監視と検出に使用できるツールを提供しています。業界の公開情報に基づいて、いくつか整理しました。例えば：

1、ブロックチェーン監視ツール：ブロックチェーン分析ツールを使用して、ウォレットアドレスの異常な取引、資金の変動状況、アドレス取引の通知設定などを監視します。

2、セキュリティウォレット：OKX Web3ウォレットなどの専門ウォレットを使用すると、取引の事前実行をサポートし、不審な取引を早期に発見できます。また、悪質なウェブサイトや契約との相互作用を迅速に検出およびブロックすることも可能です。

3、アラームシステム（s）：ユーザーが設定した条件に基づいて取引や残高の変動の通知を送信することができます。これには、SMS、メール、またはアプリの通知などが含まれます。

4、OKLink トークン授権クエリ：ウォレットがDAppsに対する承認をチェックし、不要な承認を即座に取り消して、悪意のあるスマートコントラクトによる不正使用を防止します。

Q 8: オンチェーンのプライバシーとセキュリティをどのように保護しますか？

**WTF Academy：**ブロックチェーンの公開透明性は多くの利点をもたらしますが、ユーザーの取引活動や資産情報が悪用される可能性もありますので、オンチェーンのプライバシー保護もますます重要になっています。ただし、個人の身元情報を保護するために、ユーザーは複数のアドレスを作成して使用することができます。指紋ブラウザの使用はおすすめしません。以前に多くのセキュリティの脆弱性が報告されています。

**OKX Web3ウォレットセキュリティチーム：**現在、ますます多くのユーザーがプライバシーとセキュリティの保護に注意を払い始めています。一般的な方法には、01928374656574839201が含まれます。

1、多ウォレット管理：ユーザー資産の分散により、単一のウォレットが追跡または攻撃のリスクを低減します。

2、マルチ署名ウォレットを使用する：複数の署名が必要な取引を実行するため、セキュリティとプライバシー保護が向上します。

3、冷钱包：将长期持有的资产存储在硬件钱包或离线存储中，防止在线攻击。

4、アドレスを公開しないでください：他の人が追跡することを防ぐために、ソーシャルメディアや公開プラットフォームでウォレットのアドレスを共有しないでください。

5、一時的な電子メールを使用する：エアドロップやその他の活動に参加する際には、個人情報が漏洩しないように一時的な電子メールアドレスを使用してください。

Q 9：ウォレットアカウントが盗まれた場合、ユーザーはどのように対応すればよいですか？盗まれたユーザーの資産を回収し、ユーザーの資産を保護するための取り組みやメカニズムはありますか？

**WTFアカデミー：**私たちはフィッシング攻撃と秘密鍵/ニーモニックリークに対処しています。

首先、フィッシング攻撃が発生すると、ユーザーがハッカーに許可した資産はハッカーのウォレットに移動されます。この部分の資産はほぼ救済/回復が不可能ですが、ユーザーのウォレットの残りの資産は比較的安全です。RescuETHチームは以下の対策を推奨しています。

1）ハッカーに与えられた資産の権限を取り消す

2）安全会社に連絡し、盗まれた資産とハッカーアドレスを追跡します。

その後、秘密鍵/ニーモニックが漏洩した場合、ユーザーのウォレット内のすべての価値のある資産がハッカーのウォレットに移動されます。この部分はほぼ救済/回収不可能ですが、ウォレットから移動できない資産、例えばロックされているステーク資産や未配布のエアドロップは救済可能です。これが私たちの主な救済対象です。RescuETHチームはユーザーに以下の対策を取ることを提案しています。

第一のステップは、ウォレットにハッカーによって移動されていない資産があるかどうかをすぐにチェックすることです。もし資産があれば、すぐに安全なウォレットに移動してください。時々、ハッカーはマイナーチェーンの資産を見落とすことがあります。

2）ウォレットにロック解除されていないステーク資産や未配布のエアドロップがある場合は、専門チームに救援を依頼することができます。

3）疑いがある場合は、すぐにコンピューターをウイルススキャンして、マルウェアを削除してください。必要に応じてシステムを再インストールすることもできます。

現在、我々は盗難被害ユーザーの資産救済に向けて多くの試みを行っています。

第一に、私たちは被害者のウォレット資産を大規模に救済する最初のチームです。2023年3月のArbitrumのエアドロップイベントで、私は約20人のファンから40以上の漏洩したウォレットの秘密鍵を集め、ハッカーに先駆けて$ARBのエアドロップを奪取しました。最終的に、40,000ドル以上の価値のあるARBトークンを80％の成功率で救援することに成功しました。

第二に、ユーザーのウォレットがハッカーに盗まれた場合、経済的な価値を持つ資産はハッカーに転送されますが、経済的な価値はないがユーザーにとって記念的な価値のあるNFTまたはENSはウォレットに残ります。しかし、ウォレットがハッカーに監視されているため、転送されるガスはすぐに取り出され、ユーザーはこの部分の資産を移動することができません。この点に対処するために、私たちはセルフレスキューアプリ「RescuETH App」を開発しました。これはFlashbotsバンドルのMEV技術に基づいており、ガスの転送とNFT/ENSの転送をパッケージ化して、ハッカーの監視スクリプトによるガスの転送を防止し、資産を成功裏に救出することができます。現在、「RescuETH App」は内部テスト中であり、6月に公開テストが開始される予定です。

第三、ユーザーの盗難ウォレットから救済可能な資産（ロックされていないステークおよび未配布のエアドロップ）に対し、有償のカスタマイズ可能なホワイトハット救済サービスを提供しています。現在、弊社のホワイトハットチームは約20人のセキュリティ/MEV専門家で構成され、ETH、Solana、Cosmosなどのチェーンの盗難ウォレットから300万人民元以上の資産を救出しています。

OKX Web3ウォレットセキュリティチーム：私たちは2つの視点から展開します：ユーザー対策とOKX Web3ウォレットのセキュリティメカニズム

1. ユーザーアクション

ユーザーが自分のウォレットが盗まれたことに気付いた場合、以下の対策を緊急に取ることをお勧めします。

1.緊急時対応策

1）資金の即時移動：ウォレットにまだ資金がある場合は、安全な新しいアドレスに即座に移動する必要があります。

2）権限を取り消す：すぐに管理ツールを使用してすべての権限を取り消し、さらなる損失を防ぎます。

3）資金の流れを追跡する：盗まれた資金の流れを迅速に追跡し、盗まれたプロセスの詳細な情報を整理して外部の助けを求めるための準備をすること。

2、コミュニティとプロジェクトサポート

1）プロジェクトチームとコミュニティのサポートを求める：イベントをプロジェクトチームとコミュニティに報告する。場合によっては、プロジェクトチームが盗難資産を凍結または回収することができることがあります。例えば、USDCはブラックリスト機構を備えており、資金の移動をブロックできます。

2）ブロックチェーンセキュリティ組織に参加する：関連するブロックチェーンセキュリティ組織やコミュニティに参加し、集団力を活用して問題を解決する。

3）ウォレットのカスタマーサポートに連絡する：ウォレットのカスタマーサポートチームに直接連絡して、専門のサポートとガイダンスを求める。

二、OKX Web3ウォレットのセキュリティメカニズム

OKX Web3ウォレットは、ユーザーの資産の安全性に非常に重視し、ユーザーのデジタル資産の安全性を確保するために、継続的に投資し、複数のセキュリティメカニズムを提供しています。

１）ブラックアドレスラベルデータベース：OKX Web3ウォレットは、ユーザーが既知の悪意あるアドレスとのやり取りを防ぐために、豊富なブラックアドレスラベルデータベースを構築しています。このラベルデータベースは、安全な資産の保護のために、絶えず変化するセキュリティの脅威に対応するために定期的に更新されます。

2）セキュリティプラグイン：OKX Web3ウォレットには組み込みのフィッシング保護機能が備わっており、潜在的な悪意のあるリンクや取引リクエストを識別およびブロックすることで、ユーザーアカウントのセキュリティを強化します。

3）24時間オンラインサポート：OKX Web3ウォレットは顧客に24時間オンラインサポートを提供し、顧客資産の盗難や詐欺事件を迅速に追跡し、ユーザーが迅速なサポートとガイダンスを受けることを確保します。

4）ユーザーエデュケーション：OKX Web3ウォレットは定期的にセキュリティのヒントや教材を提供し、ユーザーがセキュリティ意識を高め、一般的なセキュリティリスクに対処し、自身の資産を保護する方法を学ぶのを支援します。

Q1 0: 前線のセキュリティ技術について、AIを利用してセキュリティ保護を強化することができるかどうか、共有していただけますか？

**WTF Academy：**ブロックチェーンとWeb3領域のセキュリティは、常に進化している領域であり、さまざまな先端セキュリティ技術と方法が次々と登場しています。現在の主要なトピックは次のとおりです：

1）スマートコントラクト監査：利用 AI 和機械学習による自動化されたスマートコントラクトのセキュリティ監査により、スマートコントラクト内の脆弱性や潜在的なリスクを検出し、従来の手動監査よりも迅速かつ包括的な分析を提供します。

2）異常行動検知：機械学習アルゴリズムを使用して、チェーン上の取引と行動パターンを分析し、異常な活動や潜在的なセキュリティ脅威を検知します。AIは、一般的な攻撃パターン（MEV攻撃、フィッシング攻撃など）や異常な取引行動を識別し、リアルタイムの警告を提供します。

3）詐欺検出：AIは取引履歴やユーザーの行動を分析し、可能性のある詐欺活動を識別およびマークすることができます。

**OKX Web3ウォレットセキュリティチーム：**現在、AIはWeb3領域で多くの実装があります。AIを使用してWeb3のセキュリティ保護を強化するためのいくつかのシナリオを以下に示します。

第一に、異常検知と侵入検知：AIと機械学習モデルを使用して、ユーザーの行動パターンを分析し、異常な活動を検出します。たとえば、トランザクションの振る舞いやウォレットの活動を分析するために、ディープラーニングモデルを使用して、潜在的な悪意のある行動や異常な活動を識別することができます。

第二、フィッシングサイトの検出：AIはウェブページの内容やリンクの特徴を分析して、フィッシングサイトを検出し、ユーザーをネットワークフィッシング攻撃から守ります。

第三、マルウェア検出：AIは、ファイルの動作と特徴を分析することで、新しいおよび未知のマルウェアを検出し、ユーザーがマルウェアプログラムをダウンロードおよび実行するのを防止します。

第四、自動化された脅威への対応：AIは異常な活動を検知した後、アカウントを自動的に凍結したり、他の保護措置を取るなど、自動的に対応措置を取ることができます。

最後に、OKX Web3ウォレットの「安全特集」の第03号をお読みいただき、ありがとうございました。現在、私たちは第04号の内容に向けて準備を進めており、実際のケース、リスクの認識、およびセキュリティの実用的な操作など、さまざまな内容をご紹介する予定です。ご期待ください！

免责声明

本文は参考のために提供されており、(i) 投資助言や投資推奨を意図していません。(ii) デジタル資産の購入、売却、保有の勧誘を意図していません。(iii) 財務、会計、法律、税務の助言を意図していません。デジタル資産（ステーブルコインやNFTを含む）は高いリスクを伴い、大きく変動し、価値を持たなくなる可能性があります。取引やデジタル資産の保有が自身の財務状況に適しているかどうかはよく考える必要があります。現地の適用法律や規制を理解し、遵守する責任はご自身にあります。