Bible Network Crypto DeFi Onchain RWA AI Agent Stablecoin Chain SAFU CryptoTax DeFAI AGI Claude Me Claude Skill Claude Design Claude Cowork
独立メディア
いかなるプロジェクトとも無提携
最も深い暗号通貨の知識ベース
crypto-bible.com
最新
個人投資家のほとんどが知らないブロックチェーンが30日の手数料でイーサリアムの5倍を稼いだ——Canton Networkの構造分析  ·  なぜあなたの損切りはいつもちょうど狩られる位置に設定されるのか:暗号資産ポジション管理完全ガイド  ·  PoSとPoW、どちらが安全か?マイナーとバリデーターの本質的な違い、そして答えがあなたの想像より複雑な理由  ·  「バイナンスサポート」から完全に本物に聞こえる電話がかかってきた:AIボイスディープフェイク詐欺が経験豊富なユーザーまで騙す仕組み  ·  なぜトークンアンロックはいつも高値で不意打ちを食らわせるのか:Vestingスケジュール完全解説  ·  ラップトークン完全解読:ビットコインがイーサリアムで取引するために「偽装」が必要な理由
security

承認フィッシングの防ぎ方:ウォレット署名を理解し、承認を取り消し、最も一般的な盗難を避ける

30秒バージョン · 忙しい方へ
オンチェーンで最も一般的な盗難は、鍵を盗まない。資産を手放す承認に、あなた自身の手で署名させるのだ。

詳しく読む +
01 · なぜ起きたのか?

承認フィッシングとは何でしょうか。秘密鍵を盗まずに資産を移す盗難手法です。攻撃者は公式そっくりのサイト(しばしば「期間限定エアドロップ」を謳う)を立て、ウォレットを接続させ取引に署名させます。「エアドロップを受け取る」つもりが、実際に署名するのは「この契約にトークンを無制限に使わせる」または「全NFTを移す」承認です。承認が有効になると、相手はあなたの知らないうちに資産を抜き取れます。その間、秘密鍵と助記詞は一度も漏れていません。

02 · 仕組みは?

鍵が安全でもなぜやられるのでしょうか。盗難が「鍵」の層ではなく「署名」の層で起きるからです。オンチェーンのあらゆる操作は秘密鍵の署名による承認が必要ですが、ウォレットは通常、鍵自体を渡さず、ローカルで命令に署名して送ります。問題はその命令の中身です。無害な転送かもしれないし、危険な無制限承認かもしれません。攻撃者は鍵を必要とせず、危険な命令への「署名に同意」させるだけで十分です。だから鍵を守るのは基本にすぎず、すべての署名を理解することが本当の防衛線なのです。

03 · 自分にどう影響する?

署名が安全かどうかどう見分けるのでしょうか。3つを確認します。第一に種類:単なる「転送」か「承認」(approve / setApprovalForAll)か。承認は特に注意が必要です。第二に金額:承認される数量は具体的で妥当な数字か、それとも「無制限」か。無制限承認は最大の危険信号です。第三に対象:承認する契約アドレスに見覚えがあるか。実際に使っている正規のプロトコルか。このどれか一つでも不明瞭または違和感があれば、キャンセルしましょう。よく見るための10秒は、後で取り戻せない損失に勝ります。

04 · どうすればいい?

防御チェックリスト、5つを実践しましょう。1:署名前に必ず内容を読み、「転送」と「承認」を区別し、無制限承認を見たらまずキャンセル。2:正規のエアドロップは承認署名を必要とせず、助記詞も求めないことを常に覚えておく。3:承認管理ツールで古い・疑わしい承認を定期的に確認し取り消す。4:大口資産はコールドウォレットに置き、ハードウェアウォレットのクリア署名でデバイス上で二重確認する。5:日常のホットウォレットには少額だけを置き、対話用ウォレットと大金保管用ウォレットを分ける。この5つを反射的にすれば、オンチェーンの主流の盗難手口を避けられます。

全文 +

多くの人は、秘密鍵と助記詞さえ漏らさなければ資産は安全だと思っています。しかしオンチェーンで最も一般的な盗難は、あなたの鍵を全く必要としません。あなたの「署名」を騙すのです。このガイドは、ウォレット署名を読み、承認フィッシングを見抜き、承認を取り消す習慣を身につける方法を教えます。

鍵が安全でもなぜ盗まれるのか

DeFiアプリに接続して取引をするとき、ウォレットは「署名」や「承認」ウィンドウを表示します。確認を押すと秘密鍵で命令に署名しますが、署名しているのが「お金を転送する」のか「契約にトークンを無制限に使わせる」のか、多くの人は読みません。攻撃者はまさにこれを悪用します。鍵を盗むのではなく、資産を移転したり承認を与えたりする取引に自ら署名させるのです。

最も危険な2つの操作

第一はトークン承認(approve):契約がウォレット内の特定のトークンを使えるよう承認します。正規のDAppは取引のためにこれが必要ですが、悪意ある契約は「無制限」の許容額を要求し、その後いつでもそのトークンを抜き取れます。第二はsetApprovalForAllで、NFTでよく見られ、署名すると相手はコレクション全体を移せます。単なる署名に見える「署名メッセージ」も、あなたの代わりに操作を許可する許可証であり得ます。

フィッシングの仕組み

典型的な筋書き:「期間限定エアドロップ、接続して受取」というサイトが公式そっくりの見た目で現れます。接続し「受取」を押し、表示された署名をよく読まず確認しますが、それはsetApprovalForAllや無制限approveです。数秒後、ウォレット内の該当資産が自動的に抜き取られます。その間、秘密鍵は一度も漏れていませんが、あなたは「自発的に」承認に署名したのです。

何に署名しているか読む

署名前に必ず立ち止まってウィンドウを読みましょう。「転送」か「承認」か。許容額は具体的な数字か「無制限」か。対象の契約アドレスに見覚えがあるか。理解できない操作や無制限承認を求める操作は、急いで署名するよりキャンセルすべきです。覚えておくこと:通常のエアドロップは承認署名を必要とせず、助記詞を求めることも決してありません。

古い承認を定期的に取り消す

過去に与えた承認は、自分で取り消すまで残り続けます。承認管理ツールで不要または疑わしい承認を定期的に確認し取り消すことで、「古い承認の悪用」という一連の盗難を防げます。

高度な防御

大口資産にはハードウェアウォレットを使い、その「クリア署名」を活用しましょう。本当に署名している内容をデバイス画面に表示し、物理的に確認する前にはっきり見えるようにし、インターフェースに騙されるのを防ぎます。日常的に対話するホットウォレットには少額だけを置き、この習慣を反射的にすれば、オンチェーンの盗難手口の9割を防げます。

図解
How Approval Phishing Drains a Wallet圖解呈現授權釣魚的盜幣流程:假冒空投網站誘導你簽名 → 你簽下的其實是 setApprovalForAll 或無限額度授權 → 攻擊者取得授權 → 在你不知情下把錢包資產轉空。全程私鑰未外洩,問題出在你「自願簽下」的授權。How Approval Phishing Drains a WalletFake airdrop site"Claim · Sign"You signsetApprovalForAll /unlimited approveAttacker holdsyour approvalWalletdrainedYour key never leaked — you signed the approval yourself.Defence: read every signature, and revoke approvals you no longer need.
スクリーンショット歓迎。転載時は出典を明記してください。
質問する
10文字以上入力してください
関連記事
初心者が最も遭遇する7つの暗号資産詐欺:偽サポート、偽エアドロップ、豚の屠殺詐欺の見抜き方
scams · 06/03
長期保有者の資産セキュリティと相続計画:コールドストレージ、分散バックアップ、そして「コインが残る」問題
security · 06/03
シードフレーズが盗まれる7つの実際の経路:あなたの「安全な保管」が静かに漏らしているかもしれない
security · 06/15
トークンの無限承認:DeFiで静かに付与してしまう「永久引き出し権限」とその取り消し方
security · 06/11
関連トピック
クリプトAIエージェントサービスの選び方:マーケティングの罠に騙されないための5つの評価フレームワーク
AI Agent Bible
Agentサービスに認可を与える前に4つの質問をしてください:認可境界はコードで強制されているか約束に過ぎないか?各操作の完全な推論ログが見られるか?サードパーティの監査報告書があるか?秘密鍵は誰が保有しているか?4つすべてに明確な答えが得られてから初めて認可を検討してください。美しいインターフェースは安全の証拠ではありません。
#hack#security
クリプトAgentローンチ前セキュリティチェックリスト:テストネットからメインネットまでの12の必須項目
AI Agent Bible
クリプトAgentローンチ前の12の必須セキュリティ項目:秘密鍵の平文なし・ウォレット完全隔離・ERC-20承認上限・System Promptに認証情報なし・書き込みツールのバックエンド検証・スキーマ検証層・高額操作の独立確認チャネル・日次支出サーキットブレーカー・市場異常サーキットブレーカー・完全な4層ログ。1つでも欠けると不可。
#hack#security
Tool Use完全メカニズム解説:AIエージェントはどのように「行動」するか、そしてなぜこの設計が信頼できるかどうかを決定するのか
AI Agent Bible
AIエージェントのLLM自体はツールを実行しません——「何をしたいか」のリクエストを出力するだけで、実際の実行はバックエンドコードです。この設計はすべてのセキュリティの基盤:実行層はあなたのコントロール下にあり、セキュリティ検証はそこで追加されます。ツール設計の良し悪しがエージェントを信頼できるかどうかを決定します。
#hack#security
あなたのエージェントのフロントラン:MEVボットがAIエージェントのトレードを標的にするとき、損失はあなたが直接標的にされるより酷くなる可能性がある
AI Agent Bible
AIエージェントはMEVボットにとって人間のトレーダーより良い獲物です——エージェントのトレードパターンが予測可能で高頻度で時間的に規則的だからです。フロントランニングで毎回0.3%を失い、1日20回操作するエージェントは年間約22%の累積損失を被ります。これは手数料として表示されず、見えない戦略の侵食です。
#hack#security