Web3セキュリティ入門

Web3は分散型Webです。しかし、これがWeb3の背後にある理念ですが、「分散化」はまだ少し抽象的です。どう考えても、今日の分散化とは、サイトやアプリが(Web2.0でそうであるように)集中型サーバーではなくブロックチェーンネットワークに存在していることを意味しています。Web3は必ずしも暗号通貨やブロックチェーン ネットワークに依存しているわけではありませんが、今日、そのコンセプトは、それを動かす技術とほとんど区別がつきません。

Web3は、ユニークな利点とリスクの両方をもたらす新しい技術に基づいて構築された革新的なものです。Web3は透明で、検閲に強く、そして最も重要なこととして、分散型であることを意図しています。この分散化により、重要なトレードオフが生じます。それは、ユーザーにとってより個人的なリスクと責任が増えることです。

理想的な形は、Web3は中央当局やサーバーに依存せず、ユーザーは多くのサードパーティを信頼する必要がないことです。しかし、現在のWeb3は、中央当局への信頼や依存を完全に排除するものではありません。今日、オンラインを利用するためには、サイトやアプリケーション、ハードウェアが、私たちのデータやお金、身元を保護してくれるということを、何らかの形で信頼することが必要です。これはWeb 2.0でもそうでしたし、Web3でもそうです。 ですから、Web3は新しい信頼モデルを導入しようとするものであると定義したほうがいいかもしれません。

Web3のユーザーは、ブロックチェーンネットワーク、暗号通貨ウォレット、ガバナンスプロセス、そして非中央集権型アプリ(DApp)が構築されたスマートコントラクトを構成するコードを信頼しなければなりません。Web3は完全に分散化されているわけでも、「トラストレス」なわけでもありません。しかし、これらはWeb3支持者の中核となる最終目標です。そして、それは日に日に向上しています。

この短い記事では、残されたセキュリティリスクについて、そして、Web3.0で身を守るにはどうしたらよいのかを説明します。

Web3におけるシステムリスク

システムリスクとは、ユーザーのコントロールが及ばない、エコシステム全体の広範なリスクのことを指します。Web3における体系的なリスクの例としては、以下のようなものがあります。

  • 広範な景気後退や暗号通貨市場のボラティリティ(今日のWeb3 DAppの大半を動かすブロックチェーンに影響を与える可能性があります)。
  • Web3や暗号通貨市場に不利な法案(これもまた、ほとんどのWeb3 DAppにトリクルダウン効果をもたらすでしょう。)
  • トラフィックの遮断、テイクダウン、その他の検閲を行う一部の中央集権的なWeb3サービス(ノードプロバイダなど)。
  • ブロックチェーンネットワークの技術的な障害(例:ノードオペレータが信頼できない、ネットワークが悪意のあるアクターに攻撃される)

市場のボラティリティは一般的ですが、ほとんどの主要なブロックチェーンネットワーク(ビットコインやイーサリアムなど)は、深刻な技術的障害に対して何年も戦闘テストを受けています。いずれにせよ、これらのリスクはブロックチェーンと暗号通貨産業につきものであり、デフォルトではWeb3にもつきものです。 しかし、コントロールできる(あるいは少なくとも減らすことができる)リスクもあります。

Web3で対応可能なセキュリティリスク

Web3ユーザーが注意すべき、より具体的なリスクは以下の通りです。

  • 秘密鍵の紛失
  • ユーザーの暗号通貨ウォレットや秘密鍵を狙ったフィッシング、詐欺、ハッキング(今日のWeb3では、暗号通貨ウォレットは入国するためのユニークなデジタルパスポートのように扱われています)。
  • スマートコントラクトの不具合と悪用
  • 従来のサービスと同レベルの政府の監視(または米国FDICのような保護)がない特定のブロックチェーンまたは暗号通貨企業や取引所での企業倒産

ありがたいことに、これらのリスクから身を守るために、それぞれできることがあります。

秘密鍵の保護

中央集権的な取引所ではなく、セルフカストディウォレットに資産を保管する場合、あなたは自分の秘密鍵、ひいては資産を単独で管理することになります。ほとんどの場合、秘密鍵はリカバリーフレーズでバックアップされます。これは、暗号通貨ウォレットのアドレスへのアクセスを許可する、特定の順序で並んだ12または24の単語からなるユニークなセットです。これは、秘密鍵を人間が読めるようにしたもので、銀行のパスワードのようなものです。リカバリーフレーズは、プライベートキーと同様に、ウォレット内の資産を完全にコントロールすることを可能にし、慎重に保護されなければなりません。

多くの人は、リカバリーフレーズを耐火金庫に保管し、紙よりも損傷に強いもの(鉄片に刻むなど)に記録しています。また、リカバリーフレーズの複数のコピーを、銀行の貸金庫や自宅の金庫など、異なる場所に保管することも賢明かもしれません。しかし、フレーズの物理的なインスタンスが増えるたびに、盗難や侵害の可能性が高まるため、それぞれのコピーは安全に保管されなければなりません。

セルフカストディの長所と短所について詳しく見る。

フィッシング、詐欺、ハッキングから身を守る

暗号通貨におけるハッキング、詐欺、フィッシングの大半は、秘密鍵やリカバリーフレーズをターゲットにします。ハッカーがどちらかを支配した場合、彼らはあなたの資産を支配することになります。

フィッシングは、あなたのウォレットにアクセスしようとする最も一般的な方法です。サポートチームのメンバーなど、他人のふりをして秘密鍵やリカバリーフレーズを尋ねるメールやメッセージを受け取ることがあります。メッセージが正当なものかどうかわからない場合は、リンクをクリックする前に、TwitterやDiscord、その他のカスタマーサポートを通じて、その企業に直接連絡を取ってください。詐欺師はまた、賞品(無料の暗号通貨など)に当選したと言って、あなたの機密のウォレット情報を要求するために連絡してくるかもしれません。原則として、秘密鍵やリカバリーフレーズは誰とも共有しないでください。

自動化された攻撃やマルウェアから秘密鍵を安全に保つための素晴らしい方法の1つは、セルフカストディのハードウェアウォレットで秘密鍵をオフラインで保管することです。「コールドストレージ」として知られる方法です。LedgerやTrezorなどのデバイスは、あなたの秘密鍵を物理的にオフラインで保管することができます。これらのデバイスは、オフラインであなたの秘密鍵を使って安全に取引を「署名」(または承認)します。そして、コールドウォレットをインターネットに接続し、署名されたトランザクションをブロードキャストするのです。このようにして、オンライン中にあなたの秘密鍵が明らかになることはありません。ハードウェアウォレットは、オフラインで安全に暗号通貨を保管するためのゴールドスタンダードですが、リカバリーフレーズと同じように、安全に保管することを心がける必要があります。

注:BraveはBraveウォレットのリカバリーフレーズを尋ねることはありません。この情報は決してBraveや他の人と共有しないでください。

スマートコントラクトの失敗と悪用に注意

非中央集権的なウェブには、ブロックチェーンネットワーク上に存在するサイトやDAppがたくさんあります。これらのネットワークは、完全にスマートコントラクト上で構築されています(あるいは少なくともコアロジックが稼働しています)。スマートコントラクトは、ブロックチェーン上で自動的に実行されるプログラムであり、Web3の基盤となっています。 また、非常に新しいものであり、コードにエラーが発生しやすいのです(自動的に実行されるので、悲惨なことになりかねない)。ハッカーはしばしばスマートコントラクトのコードの誤りを探し、それを悪用してDAppやそのユーザーから資金を盗むことがあります。悪意のある行為者は、暗号通貨ウォレットから資産を流出させるように設計されたスマートコントラクトを意図的に開発することさえあります。

ありがたいことに、Web3 の開発者の多くは、厳密なコードの重要性を強く認識しています。他のオープンソースプロジェクトと同様に、開発者はコードをシンプルに保ち、厳密なセキュリティ監査を定期的に行い、製品を一般に公開する前に正式な検証を受けることが重要です。しかし当然ながら、ほとんどの人は、サービスやDAppが安全かどうかを判断するためにコードを評価する技術的な専門知識を持っていません。資金を盗もうとする攻撃者に簡単に捕まってしまうのです。

では、どうすればいいのでしょうか?いくつかあります。

  • 安全性の実績がある有名なDAppにこだわるようにする
  • 新しいDAppやサービスは、よりリスクが高くなる可能性があるので、なるべく避ける
  • 利用するサービスのURLを再確認し(Braveウォレットの取引署名プロセスで可能)、模造サイトにリダイレクトされないようブックマークを検討する

企業倒産に気をつける

この記事のイントロで述べたように、今日のWeb3は中間的な状態で存在しています。多くの場合、非中央集権的ですが、常にそうとは限りません。この中間的な状態がもたらすリスクの1つは、中央集権的な暗号通貨取引所(CEX)のような中央集権的なWeb3企業です。このような単一の事業体が倒産すると、暗号通貨市場に広範囲な変動をもたらし、そのユーザーに直接影響を与えます(主な例として、Three Arrows CapitalTerraform Labs、そして–最近では–FTXを考えてみてください)。この3つの例は、暗号通貨企業のスペクトラム(それぞれ投資グループ、ブロックチェーン開発チーム、CEX)を表していますが、共通しているのは、分散型、Web3スペースでプレーする中央集権型の企業だったということです。そして、これらはすべて崩壊し、投資家とユーザーはその影響に対処しなければなりませんでした。

インターネットの他のコーナーと同様に、Web3にも悪者がいます。 可能な限り、あなたは大規模な、評判の良いWeb3企業に固執しようとする必要があります。もちろん、暗号通貨で最も大きな名前のものでさえ落ちており、人気があるからといって、サービスが安全であるという保証はありません。

この種のリスクを完全に回避したい場合は、セルフカストディを検討してみてください。繰り返しますが、Web3はリスクを完全に排除するものではありません。しかし、誰を信用するかという選択肢を与えてくれます。

一般的なWeb3セキュリティのヒント

一般に、Web2.0のセキュリティベストプラクティスの多くは、Web3.0にも当てはまります。

  • 二要素認証(2FA)を利用する
  • 強い(=長い)パスワードの作成
  • サービス間でパスワードを再利用しない
  • 詐欺やフィッシングに注意し、ダウンロードする前にソースを確認する

もう一つの賢明な戦略は、分散投資です。暗号通貨資産をセルフカストディウォレット、CEX、オフラインのハードウェアウォレットに分散することで、1つのクラッシュが他の保有資産に損害を与える可能性を減らすことができます。同様に、DAppを使用する場合、使用するスマートコントラクトとプラットフォームを分散させ、すべての資金を1つのプロトコルに預けないようにすることが可能です。

Web3は、あなた自身がカストディアンとなり、あなたの資産を管理する真のチャンスを与えてくれます。しかし、それは意識して慎重になることも意味します。私たちがオンラインで行うことはすべて、信頼や知らないという要素を含んでいます。Web3はWeb2.0と同様、まだそこに到達していませんが、Web3の基本精神は、この「知らない」という要素を最小限にし、すべてをよりオープンで検証可能なものにすることなのです。

初めてセルフカストディを試してみたい方、ウォレットにBraveレベルの保護を求める方は、Brave Walletを試してみてください。これはブラウザネイティブのウォレットで、暗号のセルフカストディにおけるプライバシーとセキュリティのレベルを引き上げるものです。

Related articles

クリプトカストディ入門:セルフカストディのメリット

Web3は、ユーザーが自分の資産の真の所有権を得る機会を提供します。しかし、この所有権は、暗号や他のWeb3資産を安全に保管する場所と方法という重要な考慮事項を意味します。セルフカストディはあなたにとって正しいものでしょうか?この記事では、暗号の保管の種類を説明し、自己の保管の利点とリスクについて説明します。

この記事を読む →

セルフカストディ暗号ウォレットのセットアップ方法

暗号ウォレットには、カストディ型と非カストディ型(別名「セルフカストディ」)の2つの主要なオプションがあります。その違いは、秘密鍵に起因します。この入門書では、それぞれのタイプの長所と短所を説明し、セルフカストディ暗号ウォレットのセットアップ方法を説明します。

この記事を読む →

Brave Blog

Check out the Brave blog: the front page for news on ad blocking, features, performance, privacy, and Basic Attention Token related announcements.

Read more articles →

Braveで新しいWebを体験する準備はできましたか?

Braveはプライバシーとパフォーマンスを重視するWebのパイオニアからなるチームによって開発されています。Braveを利用しWebの再構築に協力していただけませんか?