ウェブ上のビットコインエコシステムへの最も詳細なフィッシング対策ガイド

原作者: OneKey Chinese (X:@OneKeyCN)

*編集者注:TaprootとSegwitのアップグレードにより、BTCネットワークに新機能が導入され、ブロックデータが間接的に拡張され、2023年から現在までのBTCエコシステムの爆発的な発展に貢献しています。 ただし、新しい資産や機能の導入には、新しいセキュリティ上の課題が伴います。 限られたセキュリティインフラストラクチャでBTCエコシステムの資産セキュリティを最大化する方法OneKey Chineseは、Odaily Planet Dailyが主催するビットコインエコロジカルプレーヤー向けのフィッシング対策ガイドを次のように作成しました。

2021年末、Taprootのアップグレードはブロック709、632で発効しました。 当時、人々はイーサリアムNFTブームに没頭しており、これがBTCの最も「富を生む」アップグレードになるとは誰も知りませんでした。

Segwitのアップグレードに伴い、TaprootはBTCネットワークに新機能を導入し、ブロックデータ(1MBから4MBに相当)を間接的にスケーリングし、2023年から現在までのBTCエコシステムの爆発的な発展の導火線となっています。 また、Taproot Assets、Ordinals BRC-20、ARC-20、Runesなどの新しいアセットの出現により、Taprootのトランスファー採用率は半分以上にとどまっています。

しかし、新しい資産や機能の導入に伴い、新たなセキュリティ上の課題が生じています。

ビットコインエコシステムには、イーサリアムエコシステムとは異なる基盤となるモデルがあります。 現在、BTCの新しい資産エコロジーにおける「構築すべきものがたくさんある」と「理解するための高い敷居」のシーンは、多くのユーザーを興奮させると考えられています。

しかし、これはまた、安全な操作に対するユーザーの意識のための新しい要件を提唱することになり、そうでなければ、説明なしにコインを失いやすくなります。 以前のAtomicマーケットプレイスのように、署名タイプを悪用してハッキングにつながるインシデントもありました。

次のOneKeyは、セキュリティインフラストラクチャが限られているBTCエコシステムで資産を保護し、フィッシングを防ぐ方法を説明しています。

Taprootのアップグレードによる具体的な影響の簡単な分析

具体的なフィッシング対策についてお話しする前に、 Taprootのアップグレードによる影響を予見する必要があります。

前述したBTCマルチアセットエコシステムの繁栄の間接的な促進に加えて、BTC取引の底部では、主にシュノア署名とMASTテクノロジーの2つに大きな変化がありました。 そして、この2つをPSBT(Partially Signed Transactions)と組み合わせると、ハッカーがトリックを仕掛ける余地が増えます。

1つはシュノールのサイン入り。 そうです、このアップグレードにより、ホワイトペーパーのECDSA署名が入れ替わりました。 この署名の技術的特徴は、複数の署名または公開鍵が1つに集約されることです。 以前は、複数の署名を何度も確認する必要がありましたが、現在は一度だけ検証する必要があるため、署名のフットプリントが直接削減されます。

1つはMAST技術です。 前者が集約署名である場合、MASTは複数のスクリプトを「集約」するために使用されます(スクリプトの場合、ビットコインの有限の「スマートコントラクト」と考えることができます)。 同時に、検証ロック解除コストを送信するときは、使用条件の 1 つを確認するだけで済みます。 多くの条件に対する複雑なスクリプトのフットプリントを大幅に削減できます。

これら 2 つのテクノロジはプライバシーに最も大きな影響を与えますが、セキュリティ リスクの余地があることも意味します。

転送記録の場合、アップグレード後、すべてのUTXO転送は同じように見えます。 Mempoolでは、転送タイプはP2TRと表示され、アドレスはすべてbc1pで始まる同じ長さのアドレスです。

以前は、通常のアドレスへの転送 (P2PKH/P2WPKH) とスクリプト アドレスへの転送 (P2SH/P2WSH) の違いを簡単に区別できました。

さて、UTXOをどれだけの人が使っているかを見るまでは、通常のアドレスへの送金とスクリプトアドレスへの送金の違いを見分けることはできません。

スクリプトの場合、マイナー検証はスクリプトのコスト条件の1つを公開するだけでよく、他のブランチスクリプトは外部に知られません。

ビットコインエコシステムにおける新しい資産のフィッシングを防ぐための5つのヒント

明らかに、BTCの現在の資産生態学のセキュリティインフラストラクチャは、イーサリアムのセキュリティインフラストラクチャよりもはるかに強力ではなく、ユーザーが最初に理解して学ぶ必要があることがたくさんあります。

同時に、フィッシングの原理もイーサリアムの原理とは異なり、多くのフィッシング攻撃は発見されるまで市場全体でよく理解されない可能性があります。 たとえば、Atomicマーケットプレイスの*SIGNHASH_NONE署名セキュリティインシデントであるUnisat/Xverseウォレットも、後で追加されたセキュリティアラートです。

(1) 最初のメンタルテクニック:暗号化セキュリティの決まり文句の基本スキル

つまり、秘密鍵のオフラインストレージのセキュリティに注意を払い、それが信頼できるURLであるかどうかに注意を払い、トロイの木馬ウイルスなどからコンピューターを保護することに注意を払います。

しかし、FOMO市場では、新しいプロジェクトが信頼のコンセンサスを形成する前に「急ぐ」ことを望むユーザーがいる可能性があり、次のいくつかのトリックが特に重要です。

(2) 第2のメンタルテクニック:インプットとアウトプットをクリアにする

たとえば、ハッカーがすべての序数の碑文NFTを一度に釣り上げたい場合、トランザクションの入力は、すべての碑文NFTが入力されたことを間違いなく示します。 同時に、出力には、それらがすべて見慣れないアドレスに送信されたことが示されます。

たとえば、Unisatを使用して、MagicEdenにOrdinalsの碑文NFTを配置します。 MagiEdenマーケットプレイスで1つ以上の碑文NFTを注文すると、ポップアップのPSBT署名リクエストに、トランザクションの入力が1つ以上の碑文であることが示され、出力にはトランザクションが成功したときに受け取るビットコインの数が表示されます。

(3) 第3の心のテクニック:署名の種類に注意する

ビットコインの現在の署名タイプの一般的な科学をここで見ることができます(…) ）。

実際のスクリプトアドレスだとしましょう。 これは、スクリプトアドレスの完全な内容を公開するかどうかによって異なります。 コンテンツが不完全な場合、ユーザーが転送資産の使用時に正常に署名できたとしても、1つ以上の悪意のあるUTXOロック解除条件を隠すことができます。 将来、突然「ネットを閉鎖」し、すべてのUTXO資産を譲渡するかもしれません。

幸いなことに、現在のアプリケーションでは、さまざまな碑文アセットのトランザクションに複雑なスクリプトを使用する必要はなく、PSBT(Partially Signed Transaction)を使用して入力と出力を指定します。

ただし、将来のBTC L2操作では、複雑なマルチ条件ビットコインスクリプトが関与する可能性が高くなります。 たとえば、バビロン(@babylon_chain)のビットコインステーキングスクリプトには、比較的複雑なスラッシングロジックとロック解除ロジックがあります。

ビットコインスクリプトのこのネイティブステーキング方法を使用する場合は、スクリプトをオープンソース化し、セキュリティと整合性を検証することが特に重要であり、そうでなければユーザーはプロジェクトパーティーに絶対的な信頼を置く必要があります。

(5) 第5のメンタルテクニック:安全力学に注意を払い、予防に注意を払う

セキュリティ分野のトップアカウントをフォローして、最新のフィッシング手法を把握し、できるだけ早く警告を受け取れるようにしましょう。 SlowMistのCosine @evilcos、Go Plus Securityの公式@GoPlusSecurity、Scam Sniffer@realScamSniffer、OneKey公式アカウントなど@OneKeyCN。

未然に防ぐためには、セキュリティに関する教訓を他の場所から転用することができます。 例えば、イーサリアムには、表と裏が似通ったアドレスを構築し、ユーザーが誤って履歴にコピーして資産を失うというフィッシング手法があります。 また、BTCの署名トランザクションを構築する際に、出力アドレスが明確にチェックされないため、ピットを踏む可能性もあります。

Unisat / Xverseなどの主流のBTCエコロジカルウォレットでは、Taprootアドレスはbc1px… e9wh0(例)で、 bc1pはTaprootアドレスの固定された先頭です。

これは、確認のためのわずか6文字に相当します。 共通のアドレス帳機能を持ち、基本的に10桁以上を表示するイーサリアムウォレットの標準構成と比較すると、明らかに十分ではありません。

これは、ハッカーが一致するアドレスを生成することによってカスタムフィッシングを実行できる可能性が高いことを意味します(ただし、現時点ではビットコインにはあまりありません)。

したがって、それを防ぐために何かをする場合は、アドレスをできるだけ完全に確認する必要があります。

とにかく。。。。。。

**ビットコインを研究する。

**ビットコインのセキュリティを研究する。

Taprootがビットコインの新しい資産と新しいシナリオを導入するにつれて、新しい形態のセキュリティ脅威、特に進化し続けるフィッシング手法も学ぶ必要があります。

特に今は、生態系のインフラが完璧ではないため、計画的な釣りはもちろんのこと、誤操作やコインの損失、コインの燃焼さえも時々発生します。

最後になりましたが、OneKeyは常にセキュリティを第一に考え、テクノロジーの発展に遅れずについていき、セキュリティポリシーを更新して共有しています。 BTCエコシステムは、この強気相場の主役の1つであり、BTCエコシステムのセキュリティ上の課題に引き続き注意を払い、より安全な暗号資産環境を促進および構築するために協力していきます。

元の記事へのリンク