トレーダーの教訓: MetaMask に大量の暗号を保管してはならない理由
先週末、仮想通貨界の大部分が過去最高値を更新した一方で、Twitter のペンネームnotsofastで人気の仮想通貨トレーダーは、彼の Metamask ホット ウォレットがセキュリティ侵害で侵害されたため、個人的な仮想通貨の悪夢に見舞われました。トレーダーは迅速に対応し、12 時間かけて攻撃に対処しましたが、それでも泥棒は46 ETH (74,000 米ドル)、34,000 米ドル相当のアルトコイン、さらには彼の notsofast.eth ドメインを奪い取ることができました。(2 月 28 日 05:41 UTC に更新、MetaMask からのコメント付き)
トレーダーは、ハッキングがどのように発生したかはわからないが、潜在的な攻撃ベクトルはブラウザのキャッシュにウォレットの秘密鍵を保存する MetaMask の機能であり、開いているタブからアクセスできるとツイートした。
”MetaMask はブラウザーのすべてのタブに API を提供しますが、その主なサービスは、それらのサイトからアカウントを制御し、ユーザーからのトランザクションのみを要求できるようにすることです”と MetaMask は強調しました。
トレーダーは、コミュニティからの寄付や補償金を拒否し、パスワード マネージャーとハードウェア ウォレットを入手するよう全員に促しました。
彼はまた、アカウントの分離の重要性を強調し、トレーダーは使用する WEB 3.0 ウォレット タイプごとに新しいブラウザ プロファイルを作成し、それらのアカウントでは他に何も実行しないようにする必要があると述べました。理想的には、仮想通貨の取引に使用される別のコンピューターまたはデバイスを使用する必要があると、彼はツイートで述べています。
開発者でコンサルタントの Udi Wertheimer 氏も、”Metamask ブラウザー拡張機能を使用している場合、セキュリティ プランの中でおそらく最も脆弱なリンクになるでしょう”と警告しています。
”使用しなければならない場合は、Chromebook とハードウェア ウォレットを購入し、Metamask に厳密に使用してください。”
彼によると、Chromebook は自分のコンピューターにインストールできるものを制限しますが、潜在的に悪意のあるブラウザー プラグインをインストールできるため、それらのインストールには注意する必要があります。
Wertheimer 氏は、Metamask とやり取りするためにハードウェア ウォレットを使用したとしても、承認を処理する方法が原因で、依然としてリスクの高い操作であると説明しました。したがって、将来的に問題を回避する最善の方法は、ホット ウォレットに保管される資金の量を制限し、アカウントを区分化してエクスプロイトによる被害を制限することです。
彼が追加した:
”ほとんどの人にとって、クリーンなラップトップとハードウェア ウォレットの組み合わせよりも、携帯電話の ETH ウォレットを使用する方がおそらく安全です。これも完璧には程遠いですが、Metamask ブラウザ拡張機能ほど馬鹿げたほど弱いわけではありません。”
___
詳細:
– Metamask が 100 万人の月間アクティブ ユーザーを獲得し、アルトコイン スワッピング市場に参入
– 2021 年のセキュリティ: DeFi と個人ユーザーに対するさらなる脅威
– Blockfolio を攻撃し、ダメージの修正に最大 1,000 万米ドルを費やす
– 重要な DeFi の課題とその修正方法について Solana の創設者