Web3セキュリティ最前線:ウォレットドレイナーの深刻化
今日、Web3ユーザーの資産を脅かす最も深刻なリスクの一つは、高度化するウォレットドレイナー(資産抜き取りツール)の利用増加です。これらのツールは、単なるパスワード窃取ではなく、スマートコントラクトの「承認(アプルーバル)」メカニズムを悪用します。
手口:悪意ある署名(Ice Phishing)
攻撃者は、魅力的なオファーや偽のDAppsフロントエンドを通じてユーザーを誘導し、自分のウォレット内の特定トークンに対する「無制限のアクセス権」を攻撃者のコントラクトに与える悪意ある署名(例えば、ERC-20の approve() や permit()、あるいはERC-721/1155の setApprovalForAll)を承認させます。この署名さえ完了すれば、攻撃者はユーザーが気づかないうちにいつでも資産を抜き取ることが可能になります。
ユーザーが取るべき対策
- 署名内容の精査:ウォレットが要求するトランザクションや署名リクエストの内容を常に確認し、「無制限」や「全権限」を要求するリクエストは拒否してください。
- 承認の定期的な取り消し: Revoke.cashなどのツールを使用して、使用していない、あるいは疑わしいスマートコントラクトに対するトークン承認(アプルーバル)を定期的に取り消すことが、資産保護の絶対条件です。
Web3セキュリティにおいて、ユーザーの警戒心と教育こそが、最良の防御となります。
コメント