イーサリアム(ETH)ハッキング騒動&やれることは秘密鍵と資産の分散管理

こんにちは、あおむです。

2023年4月。上海アップデート(ロックされてたETHが引き出せるようになった大きな出来事)を無事に終わり、

結構いい感じで価格も上がって、

え、今年も結構高いところまでいけるんじゃない??

なんてタイミングでETHのセキュリティ懸念、噂といいますか、

んー。

みんなが普段使っている、

ベースとなるサービス(メタマスクなどのウォレット)に、

もしかしたらセキュリティ上の懸念があるのでは??

みたいな流れがきています。

イーサリアム上の資産に対するセキュリティ上の懸念

https://twitter.com/tayvano_/status/1648187031468781568?s=20

僕は正直、トランザクションを追ったり、コードを読み解いてどうこうとか、

そういう能力がないので、

Tweet上の文章と画像のことしかわかりません。

が、

全体的に疑心暗鬼。

たぶん、いろんな出来事が混ざっているのではないかって言われていますが、

もし大きな問題が潜んでいるとすれば、

  • 秘密鍵生成のランダム性問題が過去にあった説
  • なんかとんでもないウイルスが蔓延してる説
  • パスワード管理アプリの過去のハッキングからマイニングされてる説

この3つに収まると想います。

正直なにが正解なのかわからないが今一度セキュリティの確認を

https://ethereum.org/ja/run-a-node/

なにか、とんでもないことが起きてるかもしれないし、

実はたまたま関係ないできごとが重なって大問題に見えるとか。

来週にはまったく話題になってないかもしれません。

だがしかし

セキュリティの確認は何度しても問題ない。

せっかくなのでやろう。

今日やろう。

正解はないが資産の分散化&秘密鍵管理の分散化をするのも一つ

https://ethereum.org/ja/wallets/find-wallet/

正規ルートでハードウェアウォレットを購入したり、ノード立てたり。それで一箇所でHODL(ガチホ)するっていう強い自信と信念と。

でもDeFiとか触りたいし、いろいろフットワーク軽く動きたいし、

テキストユーザーインターフェイスメタバースでクエストしたいし。

ちなみに、イーサリアムのサイトで紹介されているウォレット。

https://ethereum.org/ja/wallets/find-wallet/

結構たくさんある。

有名なのはメタマスクとか。僕はrabbyってやつ使ってます。

ということで、アクティブにイーサリアム動かしながら、

やれそうな資産&秘密鍵分散方法を考え提案する

パソコンのセキュリティやそーゆーところから始まるわけです。

が、今回は一旦分散化ってところにフォーカス。

合言葉は秘密鍵管理の分散化。

要は、

PC一台ハッキングされたら、もう全部資産が盗まれる。

って状況をなくすってことです。

(PCハックされると大分しんどいですが)

ハードウェアウォレットでPCやスマホから切り離して管理

またそれかい!って結局それかい!って話ですが、

セキュリティの話するならここから離さなければ。

二大メジャーなハードウェアウォレット。

画像でみるとわかりやすいですが、

黒い野球のベースみたいな外付けハードディスク的なやつ(USB的な)

ステックみたいな形のデバイス。

これらがハードウェアウォレット。

PCやスマホとは別の物理的なデバイスの中で秘密鍵を管理する。

という事に特化した、

秘密鍵管理&資産管理専用USB!!(ちがう)

まあでもハードル下げるためにいうと、USBみたなものです。

パソコンのUSB-CとかUSBとかで繋いで、パソコンで操作します。

え!!

パソコンないとだめなのか!!

みたいなのあると想いますが、ledger nano XってやつはBluetooth使ってスマホで管理できるはずです(まだ触ってない)

今回の騒動で、ちょうどいいタイミングでLedgerウォレットがディスカウントされていたので、

nanoX買いました。

使ってレビューします。

ハードウェアウォレットのメリット&デメリット

ハードウェアウォレット(HWW)のメリットは、

パソコン、スマホから秘密鍵を切り離して管理&運用できる

もうここです。とにかくここです。

しかも、仮想通貨ウォレット専用に作られたデバイスです。

デメリットは、

金かかる。(69ドルくらいから300ドル弱)

紛失のリスク(火事とか災害、襲撃に弱い)

秘密鍵をペーパーでバックアップするか、複数個のハードウェアウォレットでクローンを作っておくか

などなど、

オフライン(インターネットに接続せず)でパソコンやスマホから切り離して管理するので、

クラウドで秘密鍵やシードフレーズの管理できないし、

そこらへん。

鍵をなくす

リスクと向き合うことになります。

ただ、これで一つ、スマホやパソコンから離れることができました。

モバイル仮想通貨ウォレットアプリでスマホだけで鍵を管理

https://ethereum.org/ja/wallets/find-wallet/

上記リンクのページでモバイルウォレットアプリはみつかると思うのですが、

まあメジャーなやつはメタマスクモバイル。

ちょっと前の記事でデザイン変わってると想いますが、

基本的なことは一緒だと想います。

昔のスマホをオフラインにして秘密鍵を管理したり

で、このスマホアプリのバックアップも作らなきゃいけない&秘密鍵を管理しなきゃいけないのですが、

もちろん、これもまた、

紙に書いて家とか肌身離さず保管

スマホ買い替えで昔のスマホ渡さないでオフラインで使う&最新OSまだいけるならそのままバックアップとして使う

基本的にハッキング&フィッシングの一番リスク高いのはパソコンです。

なので、パソコンから切り離して、スマホ軍で管理しきる。

スマホ複数台もって管理。

秘密鍵もスマホ内のストレージで管理。

デメリットとしては、スマホは基本オンラインなので、常にオンラインリスクはある。

だがしかし、

秘密鍵の分散化管理という意味では、

スマホのセキュリティ、アップルのセキュリティを信じて、

スマホアプリで完結して管理するのもありでは。

パソコン完結でChrome拡張機能などで管理

まあメインなやり方。

一番、操作しやすいですし、

歴史が長いメタマスク。

最近でてきたrabbyがお気に入りですが、歴史が浅いっていうのはクリプト的にはリスクです。

で、

バックアップは腹くくってローカルで管理するか。

また紙に書くか。

とりあえず、

これで三箇所に秘密鍵&シードフレーズが別れました。

もちろんどれも完璧や絶対などありません。

なにがリスクかを自分自身でしっかり認識して、コントロールすることが大事です。

で、

ここからは

どのリスクを許容するか。

みたいな話です。

リスクの分散化。

秘密鍵管理の分散化なので、

いろんなリスクを許容して、

様々なやり方で管理してみましょう。

パスワードマネージャーに秘密鍵を入れてしまう

パソコン、スマホにパスワードマネージャーアプリをインストールして、

そこに秘密鍵を入れてしまう。

大前提としてはNGです笑

でもどのリスクをとるか。

みたいなところでいうと、

持ってる資産(秘密鍵)のある部分は、パスワード管理マネージャーに入れてもいいのでは?と想います。

物理的に紙や鉄板に秘密鍵を書き込んで管理するのは、

それはそれでリスクがあります。もちろん。

そっちのリスクとは逆サイドにリスクを持ってくると。

パスワードマネージャーに入れちゃって、

暗号化されたクラウドで管理しちゃうと。

紛失リスクを低下させることができます。

あと、普段のパスワードも管理アプリで管理したほうがいいので、

普段遣いのアプリで管理するのはありだと思います。

もちろん、

全部の秘密鍵&シードフレーズを入れるのは絶対ダメです。

あくまで分散なので、

家が爆発して、

紙が全部燃えても大丈夫、天災があって物理的なデバイスをすべて失っても、

クラウド上のデータでリカバリーできた。

みたいな。

appleのiCloudに秘密鍵を入れちゃう

https://support.apple.com/ja-jp/HT202303

はい。アップルがやられたら、終わりパターン。

アップルと心中です。

ただ、アップルのicloudのデータ管理はかなりブロックチェーンに似ています。

利用者本人が、すべての復元オプションを失うと、もう誰も復元できません。

高度なデータ保護ってやつをオンにして、

P2Pで暗号化されたデータをやり取りすると。

クリプトですね。

じゃーAppleをトラストするのかと。

まあそういうパターンがあってもいいよね。って感じです。

秘密鍵管理の分散!!

仮想通貨取引所に一定数の資産を預けちゃう

パスワード管理マネージャーで複雑なパスワードを作り(管理自体はアプリなのか他なのか)、二段階認証をかけ、

スマホだけで管理するとか。

これだとPCの危機から分離できますし、

あとDEX&DAPPs、まあだからメタマスクのリスクなどからは開放されます

もちろん取引所GOXのリスクはあります。

これもリスク分散!!

どこまで信用するか問題はありますが、

取引所GOXは基本、保障されるはずで、

FTXの件でも返ってきたり返ってこなかったり。

一番大事なのはパソコンをハッキングされない&ハッキングを想定して分離すること

同じことを書きますが、

一番リスクが高いのはPCです。

ブロックチェーンゲームのテスターをやってほしい。

PCにゲームインストールしてもらっていい?

ってハッキング。

パソコンをハッキングされた場合

グーグルアカウントがやられる

iCloudなどのアカウントがやられる

パスワードマネージャーのログインもやぶられる

もちろんブラウザ拡張ウォレットもやられる

なにが怖いって、

そもそものアカウント自体がやられると。

Gmail、ヤフー、あまぞん?

いろんなアカウントの危機になります。

しんどい。

取引所のログインのメールアドレスとパスワード両方やられる。

しんどい。

そこでいうと、完全に分離しているハードウェアウォレットはやはり強い。

あとは、スマホも工夫すればパソコンと分離できます。

そして、腹をくくってクラウドを使う部分。

取引所をトラストする部分。

いろんなパターンをもちましょう。

大事なのは、

何がリスクかを自分自身で把握してコントロールすること。

そして、管理方法は常に把握できるようにまとめ、

一箇所でまとめて管理しない。

分散。

分散。

分散。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください