Vulnerable Keysとは何ですか?
Vulnerable Keysは、保管が甘い、乱数が弱い、人為的なミスなどにより盗まれたり推測されたり、漏えいしやすい暗号鍵です。誰かがそれらを入手すれば、自分のもののようにコインを移動できます。玄関マットの下に置いた家の鍵をストーリーで公開しているようなものですが、近隣は少なく監視しているボットは多いと想像してください。
「誰にも鍵を教えなければ安全だ」は正しくありません。マルウェア、偽のウォレットのポップアップ、クラウドバックアップ、コピーしたフレーズの貼り付けなどで、あなたが何も言わなくても強い鍵がVulnerable Keysになることがあります。
Vulnerable Keysの仕組み
安全から被害へ移る典型的な流れを短く説明します。
- ステップ 1: ウォレットを作成すると、リカバリーキーと、それに対応するプライベートキーが発行されます。
- ステップ 2: 保管のずさんさ、感染した端末、またはフィッシング攻撃のような巧妙な詐欺により漏えいが進行します。
- ステップ 3: 攻撃者が鍵やシードを取得し、あなたが承認していない取引に署名し始めます。
- ステップ 4: 資金は攻撃者が管理するアドレスへ移動し、ブロックチェーンはその署名を有効と判断します。
- ステップ 5: 不審な出金に気づき、残りを新しいウォレットへ急いで移すことになります。
短時間で起きる醜い事例ですが、いくつかの習慣で防げます。
なぜVulnerable Keysが問題になるのか
なぜ気にするべきかというと、鍵はチェーン上にあるあなたのすべての資産への入口だからです。
- 利点:適切な習慣を守れば、コインやNFT、身元を自分の管理下に保てます。他人の手に渡りません。
- 視点:攻撃者は技術だけでなく習慣を狙い、たった一度のミスで奪取されることが多いです。
- 関連性:ウォレットやdapps、取引所、DAOなどで鍵に接します。公開鍵は安全に共有できますが、秘密側は決して共有してはいけません。
メール、取引所のログイン、パスワード管理ツールは多要素認証(MFA)で保護し、シードはオフラインで保管してください。スクリーンショットやチャットに残さないことが重要です。
Vulnerable Keysの主な特徴
鍵が脆くなる主な要因:
- 露出:平文、写真、クラウドノートなどで保管されていて簡単に取得される。
- エントロピー:乱数性が弱い、予測しやすいフレーズで推測されやすい。
- 再利用:同じ鍵を複数のチェーンやウォレットで使うと、1回の侵害で被害が広がる。
- 端末:感染したスマホやPCはマルウェアや偽の入力で秘密を漏らす。
- バックアップ:メールやドキュメントに貼り付けたシードは、1件のアカウント侵害で奪われる可能性がある。
バリエーション
鍵が危険な状態になる主なパターン:
- 弱い:ランダム性が低いシードや手抜きの生成で推測可能になる。
- 漏洩:シードフレーズが投稿されたり同期されたりフィッシングで奪われ、ボットに収集される。
- 再利用:1つの鍵を複数のアプリやチェーンで使い回すと、1回の侵害で広範囲に被害が及ぶ。
- バニティ:不具合のあるツールで作ったカスタムアドレスは安全性を損なう可能性がある。
- 共有:複数人でシードを保存したり送信したりすると、誰かのミスで漏れる。
誰かがプライベートキーを保持していれば資金を移動できます。取り消しボタンはなく、サポートでも署名済みの取引を巻き戻すことはできません。
例
ユーザーが偽のウォレットのインポートページにシードを貼り付けると、ボットが数分でそれをかき集め、Vulnerable Keysにより攻撃者がトークンやNFTを即座に奪います。
豆知識
研究者はかつて一般的なフレーズを大量に試すことで弱いブレインウォレットを狙い撃ちにし、後にバニティアドレス作成ツールのバグで大手マーケットメイカーの鍵が推測された例があります。見た目だけで安全性を無視すると高い代償を払うことになります。
まとめ
要点だけ:鍵は生成元から守ってください。Vulnerable Keysはあなたのウォレットを相手のものにしてしまいます。それだけで十分です。