Solanaのセキュリティベストプラクティス:このコツで資産を守ろう
ある日、いろんなデジタル資産を入れているwalletを開いたら、中身が消えていた。これは接続エラーや表示の不具合ではなく、誰かにキーを抜かれ、すべて持っていかれた状態です。
誰だって直面したくないシチュエーションです。Web3は自由と無限のメリットをもたらしてくれますが、同時にリスクにもさらされます。だからこそ、Solanaのセキュリティ対策を知って、こうした事態を「ただの仮定の話」で終わらせる必要があるのです。
この記事では、Solanaのポートフォリオをリスクから守るために絶対に押さえておくべきコツを順番に解説していきます。
実際に起きたセキュリティ事例
Smithiiは常にユーザーのセキュリティを最優先に考えていますが、それでも悪意を持った人物が付け入る隙を狙ってくるのは避けられません。最近も、あるユーザーが騙されて保有していた$SOLを奪われる事件が発生しました。
発端は、Redditのフォーラムで見つけた、当社のlaunchpadを使ったことで2.9 $SOLを抜き取られたというユーザーの投稿でした。経緯を追うと、このユーザーは次のような流れをたどっています。
- 当社のSolanaツールでtokenを問題なく作成。
- いくつか疑問が出てきたので、答えを探すために公式Discordに参加。
- walletに2.8 $SOLを入金したところ、10分後には消えていた。
- 「当社のテクノロジーリーダー」と名乗る人物に連絡を取って事情を説明したところ、修正のためにwalletに同じ金額を再度入金するよう勧められた。
- その経緯をRedditに投稿した。
私たちはすぐに、唯一の公式Discordサーバーでチケットを作成して相談するよう案内しました。そして実際に対応してみると、当社のチームメンバーになりすました人物がいたことが判明します。ユーザーは「Smithiiのテクノロジーリーダー」を名乗る人物から指示を受け、別のサイトでwalletを「認証」するよう求められていたのです。
何が起きたか?walletへのアクセス権を渡してしまい、中の資産を全部抜かれました。さらに$SOLを追加で入金させ、それも奪い取ろうとしていたのです。
当社のサポートチームはこのスキャマーをBANし、状況を説明したうえで、ユーザーがdAppの手数料を払わずにtokenを作り直せるよう、1日限定でPROアクセスを提供しました。詳細はユーザー本人がRedditで詐欺被害のアップデート投稿として共有しています。
こうして文字に起こすと詐欺だと一目で分かりそうですが、実際にはこの手口は思っている以上によくある話です。だからこそ、Solanaに限らずblockchainやWeb3全般でセキュリティ対策を徹底する必要があります。確かにチャンスや自由は増えますが、同時に特有のリスクにもさらされるのです。
Solanaのセキュリティ対策:嫌な思いをしないために何をすべきか?
Solanaエコシステム(そしてWeb3全般)で安全を確保するには、以下のコツを実践してみてください。むしろ日常の習慣として身につけるべきものばかりです。
Seed Phraseは紙に書いて共有しない
Seed Phraseは、walletを作成したときに生成される12〜24語のランダムな単語からなる固有のキーです。このキーへのアクセスはwallet全体を支配することと同じなので、紙に書いて見えない場所に保管するのがベストです。持ち歩いたり、見える場所に置いたりせず、完全に安全な場所にしまっておきましょう。
Seed Phraseをデジタルで保存するのは悪手です。OSやストレージサービスは、さまざまな手口で侵害される可能性があるためです。
そして忘れないでください。Seed Phraseを持つべきなのはあなただけで、他の誰でもありません。サポート、プロモーション、airdrop、その他のプラットフォームも、結果を保証するためにこの情報を知る必要はありません。
walletは複数使い分ける
おすすめのSolana walletは、同じアカウントで複数の wallet を作成・管理できます。資産を保管するwalletを1つ(コールドwalletならなお良し)、日常的な少額取引用にもう1つ、さらにプラットフォーム接続やテスト用にもう1つ用意するのがおすすめです。
1つのwalletで全てを済ませていると、偽サイトに接続したりphishingに引っかかった瞬間に丸裸になり、すべてを失う可能性があります。代わりに、怪しいdAppsには空のwalletを接続し、ごく少額の資産でテストするようにしましょう。
万が一そのwalletが侵害されたとしても、削除して新しく作り直すだけで済み、他の wallet が漏れたりトークンを全部抜かれたりすることはありません。
もう一段階上のセキュリティを目指したいなら、ブラウザを2つ使い分けましょう。それぞれにSeed Phraseでwalletを作るのです。そもそもwalletをdAppに接続しても、他の接続済み wallet にアクセス権が渡るわけではありませんが、アカウントを分離する方法としてこれは確実です。
コールドWallet、究極のセキュリティバリア
コールドwalletとは、private key をインターネットから切り離して保管するタイプのwalletです。資産を保管するハードウェアやデバイスで、それを使用するときだけ送金できる仕組みになっています。つまり、誰かがリモートでwalletにアクセスする手段はありません。
一方で、非常に堅牢な仕組みゆえに承認に手間がかかるので、日常用のwalletとして使うのはおすすめできません。さらに、デバイス本体や、中に資産が入った状態のリカバリーフレーズを紛失するリスクもあります。
接続前にプラットフォームを必ず確認する
取引時やdApp接続時に何気なく承認しているあの確認画面には、あなたの同意なしに資金を送金する命令や権限が含まれている可能性があります。
詐欺プラットフォームは、すぐに命令を発動させず、あなたの資産が一定額に達するまで待つケースもあります。安心させてから一気に持っていく手口です。こうした罠を避けるために、Solanaで安全に過ごすための確認のコツを押さえておきましょう。
- プラットフォームのURLを必ず確認すること。他サイトに似せたミラーサイトも多く存在しますが、URLを見れば一目瞭然です。「vercel」や「development」が含まれていたり、.xyzのような珍しいドメインや、blogspotのような無料ドメインを使っていることがよくあります。
- 接続する前にリサーチをすること。たとえば、当社は独立した監査やTrustPilotのレビューを公開しています。walletの接続を求めてくるサイトにレビューもなく、認証にも無頓着であれば、スキャムの可能性が高いです。
- 公式サイトはブックマークに登録し、検索エンジン頼みは避けること。検索結果には公式サイトではなく詐欺ページが「広告」として表示されることがあります。
- dAppを試したあとは、walletを切断して権限も解除すること。
DMでサポートを名乗ってくる人物はいない
先ほどの実例で見たとおり、あるユーザーはSmithiiチームのメンバーだと信じ込まされ、資金を抜かれてしまいました。DMによるサポートは絶対に受けないでください。特に自分から依頼していない場合は要注意です。当社のチームがwalletを別の場所で「認証」するよう求めることはありませんし、private keyやseed phraseを聞き出すこともありません。
wallet Solanaが侵害されたときに何をすべきか?
こうしたSolanaのセキュリティ対策を実践していれば、悪意ある第三者に資産を奪われるのを防げます。walletに不審な動きを察知したら、次の対応を取ってください。
- パニックにならず、すぐに動くこと。資金を救い出すのに、まだ手遅れではないかもしれません。
- 新しいwalletを作り、そこに資金を移すこと。古い wallet や、同様に侵害されている可能性のある wallet には送らないでください。
- スクリーンショットを撮って状況を記録し、資産を奪ったサイトや人物を通報できるようにすること。
- 侵害されたwalletは削除しましょう。許可を取り消すこともできますが、新しく作り直すのが最も安全です。
- 何が間違っていたのか分析しましょう。しっかり振り返って、同じ手口に二度と引っかからないようにしましょう。
crypto コミュニティでは、詐欺被害や不正サイトの報告が日々共有されています。例えばPhantomは検証済みで安全な dAppsのリストを公開しており、そこには Smithii Tools も掲載されています。さらに、ユーザーから報告されたサイトのブロックも行っています。Phantom にすでにマークされている scam サイトにアクセスすると、以下のように警告メッセージが表示され、アクセスがブロックされます。
Solana におけるセキュリティ対策のまとめ
これらのポイントを習慣化し、Solana および Web3 全般におけるセキュリティのベストプラクティスを常に意識しましょう。資産とアカウントへのアクセスを守るのは自分自身です。資金を抜き取られないために、できる限りの対策を徹底してください。
Solana の最新情報を見逃さないよう、Smithii のニュースレターの購読をお忘れなく。当社のページをお気に入りに追加して、Web3 プロジェクトを安全かつ効率的に運営しましょう。
