CoinPostで今最も読まれています

Web3ウォレットMetamask(メタマスク) 利用上の注意点を解説

画像はShutterstockのライセンス許諾により使用

目次
  1. dAppsの権限(Permission)
    1-1. ウォレットの接続(Connect)
    1-2. コントラクトの承認(Approve)
    1-3. コントラクトの署名(Sign)
    1-4. 承認(Aprove)のリスクと対策
    1-5. 署名(Sign)のリスクと対策
  2. コントラクト対話時のチェックリスト
    2-1. 接続を切断する方法
    2-2. 承認を取り消し(Revoke)する方法
    2-3. 署名のパラメータ調整方法
  3. 代表的な詐欺の手口

①dAppsの権限(Permission)

dApps(分散型アプリケーション)を利用するために、「Metamask(メタマスク)」を初めとする暗号資産ウォレットを接続する必要があります。

分散型取引所UniSwapやNFT(非代替性トークン)マーケットプレイスOpenSeaなどを開くと、メタマスクなどのポップアップが表示され、何らかの「権限(Permission)」を要求された経験をした方は多いでしょう。

出典:Consensys

こうした権限の付与は、dAppにユーザーが保有するトークンへのアクセスを可能にするために必須なプロセスです。dApp上のアクションはトークンの入金・送信に関連しており、ウォレット使用の許可を得なければ何も実行しません。

一方で、悪意のあるコントラクトやdAppに不用意に権限を与えたばかりに、資産の不正流出につながるハッキング事例も多発しています。

この記事では、dAppsの利用時に必要になる「権限(Permission)」について解説。及び、メタマスクのセキュリティ対策についてご紹介します。

1-1. ウォレットの接続(Connect)

dAppを使用する際、最初にウォレットと「接続(Connect)」することになります。これは、 DeFi(分散型金融)、ブロックチェーンゲーム、NFT(非代替性トークン)マーケットプレイスも同様です。

出典:ConsenSys

接続(Connect)の権限を得たdAppは、ユーザーアドレス(つまり保持している資産内容)を見ることができるようになります。しかし、まだトークンにアクセスして移動することはできません。

dAppsに接続する必要があるのは1回だけであり、過去に接続したサイトは「接続済みサイト(Connected Sites)」で一覧表示されます。接続したサイトの切断方法については、後ほどご紹介します。

1-2. コントラクトの「承認(Approve)」とは

DeFi、ブロックチェーンゲーム、NFT購入を含むdAppsを利用する場合、スマートコントラクトとやり取りするには、トークンへのアクセス権限を承認する必要があります。

「Approve(承認)」トランザクションはその一つで、UniswapやCompoundのようなDeFi(分散型金融)アプリケーションの利用時に、以下のようなポップアップを見た人は多いでしょう。

出典:Consensys

出典:Consensys

ユーザーは、トークンへのアクセスを「承認(Approve)」するトランザクションを発行した後、スワップや流動性提供などのトランザクションを発行できるようになります。

つまり、DEX(分散型取引所)で新たにトークンを交換したい時、最低2回のトランザクションを要すので、それだけガス代がかかることになります。(なお、イーサリアム:ETH自体の操作にこの承認は必要ありません。)

1-3. コントラクトの「署名(Sign)」とは?

すべてのトークンが、承認トランザクションを要求するわけではありません。このメカニズムは、 EIP-3009を実装するトークンには不要であり、その代表例がステーブルコイン「USCCoin(USDC)」です。

出典:@Korpi87

EIP-3009では、承認(Approval)トランザクションの代わりに、「許可(Pernmit)トランザクション」を使用します。これは、承認と送信を1つのトランザクションにまとめるので、承認のガスコストはかからず、トークンの送信時にのみガスを支払います。

「署名(Sign)」は、前述の承認トランザクションをウォレット内の「メッセージ」データ内の署名に置き換えることで、ユーザーエクスペリエンスを向上します。

承認と同様に、署名(Sign)はユーザーのウォレットからトークンをアンロックするために使用されており、トレードやデポジットに使用されています。

1-4. 承認(Aprove)のリスクと対策

トークンの承認(Aprove)は、詐欺の一般的な攻撃経路となっています。悪意のあるdAppsにトークンの無制限のアクセス許可を与えてしまうと、ユーザーの資産を自由に移動することが出来てしまいます。

出典:Metamask

これを防ぐ一つの方法は、MetaMaskで表示される承認画面の「Edit Permission」から、上限を調節することです。下図の場合、Uniswapは「stETH」への無制限のアクセスを要求しています。実績の少ないDEXを利用する際などには「Custom Spend Limit」フィールドを使ってこのアクセス権に制限を設けましょう。

出典:Metamask

このように、メタマスクではトークン数量のアクセス承認を管理できるので、dAppsに必要以上にアクセスを許可したり、新しいプラットフォームを試すために不要なリスクを負う必要はありません。

1-5. 署名(Sign)のリスクと対策

トランザクションを一つカットできる「署名」は便利ですが、資産が盗まれるリスクは承認と同様にあることを覚えておく必要があります。

承認トランザクションをウォレット内の「メッセージ」データへの署名に置き換えているとはいえ、怪しいdAppに無制限のアクセスを許可していれば不正流出のリスクに晒されます。

8月には「署名(Sign)」が原因となって、DeFiトレーダー「Joe (仮名)」のウォレットから約7,000万円(50万ドル)相当のUSDC(USDCoin:米ドル連動型ステーブルコイン)が流出する事例が報告されました。

約7,000万円(50万ドル)相当のUSDCが奪われたJoe (仮名)の場合は、事件の10分前に悪意のあるコントラクトに署名(Sign)した事が、行動履歴から明らかになっています。

出典:@Korpi87

ユーザーの署名があれば、攻撃者はPermit関数を用いてターゲットのトークンを送信できてしまいます。これを悪用して、闇市場ではメタマスクを介して簡単なメッセージに署名するだけでウォレットから資産を盗む「NFT Drainerツール」なるものが販売されているそうです。

時々、署名リクエスト画面で「この署名がアカウントと資産の乗っ取りをもたらす可能性がある」とMetamaskによる警告メッセージが表示されることもありますが、万全ではありません。そのため、ユーザーは承認と同様に、新しいdAppに必要以上にアクセスを許可することを避ける方が懸命です。

⑦コントラクト対話時のチェックリスト

dAppsからの「許可リクエスト」は、特定の数量に限定されたものから、完全に無制限のものまで様々です。無制限アクセス自体に問題がある訳ではありません。

大手DEXなどの信頼できるプラットフォームの多くが利便性を高めるためにこの機能を使用しています。問題は、トークンを盗む目的で無制限アクセスを要求するdAppsがあることです。

dAppsにトークンへのアクセス権限を許可する前に、以下のようなチェックリストでリスクを評価しましょう。

  • そのプロジェクトの評判は?
  • いつから稼働しているか?
  • Discord、Telegram、Twitterに正当なコミュニティチャネルがあるか?
  • 開発者/オーナーに透明性があり、公に連絡が取れる状態になっているか?
  • 第三者によるスマートコントラクト監査を受けているか?
  • ブロックエクスプローラーでコントラクトアドレスを確認する。

許可リクエストに表示された「Granted to」項目から、承認を求めているコントラクトアドレスをコピーし、ブロックエクスプローラーでその正当性を検証することができます。Etherscanなどのエクスプローラでは、ユーザー向けの報告窓口があり、不正なコントラクトに警告フラグを立てられます。

2-1. 接続(Connect)を切断する方法

メタマスクには、ウォレットがこれまでに「接続(Connect)」してきたサイトを一覧表示する機能があり、それらを切断することもできます。

出典:Metamask

出典:Metamask

出典:Metamask

出典:Metamask

接続を切断しても、そのdAppで行ったトークンの承認は取り消されません。つまり、dAppを切断しても、トークンにアクセスされて移動される可能性があります。承認の取り消しの詳細については以下の項目を参照してください。

2-2. 承認(Approve)を取り消し(Revoke)する方法

Etherscan、BscScan、Polygonscanなどのブロックエクスプローラーにある「承認チェッカー」で、これまでに承認(Approve)してきたdAppsを一覧表示し、それらを取り消し(Revoke)することもできます。

出典:Metamask

また、次のようなウェブサイトでも同様の作業が可能です。

トークンの承認はオンチェーントランザクションで行われるため、承認の取り消しもまたオンチェーンで実行され、ガスコストが発生する点に留意する必要があります。

2-3. 署名(Sign)のパラメータ調整方法

EIP-3009を初め、トークンによって署名(Sign)をサポートしているものとそうでないものがあります。この判別はブロックエクスプローラーの各トークンの「Contract」タブで確認できます。下図は1inchトークンの「Contract」タブであり、7番に「Permit」ファンクションが確認できます。

出典:1inch

1inchの場合

署名(Sign)の採用例として、DEXアグリゲーター「1inch」の利用手順と、パラメータの調節方法をご紹介します。

以下の図は、取引したいトークンのペアを設定する場面で、Permit方式をサポートする「You Pay」トークンのアクセス許可を付与する場面です。1inchスマートコントラクトに初めて許可を与える場合、UI上に「permit and swap」オプションが表示されるので、これをクリックします。

出典:1inch

出典:1inch

署名後、1inchに「You Pay」トークンへのアクセス許可が30分間有効になります。ユーザーはこの時間内にスワップを実行できます。

出典:1inch

この許可のパラメータを調整するには、スワップ画面の「設定アイコン」をクリックし、次に「Sign Permit」オプションをクリックします。

次の画面では、3つの許可証のオプションが表示されています。「Ask each time」を選択することで、スワップの度に1inchがアクセスできる数量を設定できます。不必要に多額アクセス許可を提出することなく、1inchを利用できるのです。

出典:1inch

③代表的な詐欺の手口

「承認(Approve)」や「署名(Sign)」を踏まえて、詐欺のリスクを防ぐために一般ユーザーができる最も簡単な方法は、悪意のあるコントラクトに接続しないこと。そのためには、不正なサイトの利用を避けるための知識を備えることが重要です。代表的なフィッシング詐欺とDNS詐欺について、ご紹介します。

3-1. フィッシング詐欺

SNSのアカウントIDを偽装した投稿や、なりすましメール内のリンクでユーザーを偽のサイトに誘導し、コントラクトの署名を引き出すフィッシング詐欺の手口が報告されています。

例えば、有力な投資案件や高額給与のオファーをEメールで送付して関心を誘ったり、人気通貨のエアドロップに参加できるとしてリンクをクリックさせて、悪意のあるコントラクトが立ち上がるといった事例が該当します。

関連:ApeCoinエアドロップなど偽装、有名Twitterアカウントを乗っ取るフィッシング詐欺が発生い

フィッシング詐欺自体は個人情報を詐取する目的で、横行してきたサイバー犯罪の手口です。偽リンクから利用者を騙し、偽のホームページに誘導して、認証情報やクレジットカード番号、口座情報(ユーザID、パスワード等)を奪います。

ブロックチェーンユーザーがフィッシング詐欺を防ぐため、見知らぬサイトで不用意にコントラクトに署名しないこと、Eネールの送信元アドレス全体を確認すること、不審なメールが届いた際に別のSNSチャネルで公式が関連するアナウンスを行っているかどうか確認することなどが推奨されています。

3-2. DNS詐欺

dAppsのフロントエンドを操作して、ユーザーから資産を奪う盗難被害も増加しています。フロントエンド攻撃は、ウェブサイトがハッキングの対象となるものです。

代表例は、偽のDNSレスポンスをキャッシュさせることで、ユーザーのアクセスを攻撃者が用意したサーバーに誘導する、「DNSキャッシュポイズニング」という手法です。

22年8月には、ステーブルコインを含む同価値資産の取引サービスに特化する「Curve Finance」のフロントエンドサイト「Curve Fi」で、DNSハッキングにより7,500万円相当のETHが不正流出しました(その後バイナンスらが資金の大半を回収しています)。

犯人はドメイン名とIPアドレスを紐づけるDNS(ドメイン・ネーム・システム)を改ざんし、ユーザーを偽サイトへ誘導し、悪意のあるコントラクトを承認させました。

3-3. リカバリーフレーズを要求する事例

ディスコードなどのSNSなどでなりすましのIDを作成し、運営サイドの公式サポートを装って問題を解決するためにリカバリーフレーズや秘密鍵を引き渡すよう求める事例が発生しています。

攻撃者にリカバリーフレーズや秘密鍵を渡してしまえば、ウォレット上の資産をねこそぎ奪われる可能性があります。リカバリーフレーズや秘密鍵は絶対に口外しないことは、Metamask使用上の最低限の基本知識です。

フィッシング詐欺もDNS詐欺も、基本的には攻撃のプロセスです。その時点で資産の流出に直結する訳ではありません。最終的には訪問先のウェブサイトで、リカバリーフレーズを提出したり、不審なコントラクトに接続しないよう気を付けることで資産保護につながります。

関連:「MetaMask(メタマスク)」とは|月間2000万人超が利用の仮想通貨ウォレット

ビットコイン投資の始め方はこちらをチェック

様々な仮想通貨を購入したい方は、取引所別の取り扱い銘柄を確認してみてください。

ビットコインETF特集
CoinPost App DL
注目・速報 相場分析 動画解説 新着一覧
03/29 金曜日
17:08
HSBC銀行がトークン化されたゴールド商品を香港で提供開始
HSBCは香港の個人投資家に向けて、オンラインバンキングとウェブサイトを通じたトークン化されたゴールド商品のアクセスを提供開始した。トークンはHSBC Orionプラットフォームで発行され、リテール向け、HSBCオンラインバンキングおよびHSBC香港モバイルアプリを通じて提供される。
15:30
Filecoinステーキング大手、Glifがポイントプログラム開始
暗号資産(仮想通貨)ファイルコイン(FIL)の、ステーキング・プロトコルGlifがポイントプログラムを開始した。FILトークン保有者は流動性プールにFILを預けることで、Glifのネイティブ・リキッド・リース・トークンである「iFIL」を受け取り、運用できる。
14:34
イーサリアム共同創設者ブテリン氏、Dencun後の改善点を語る
仮想通貨イーサリアムの共同創業者ヴィタリック・ブテリン氏は、Dencunが完了した今後の技術的な改善点を提案した。
14:11
CoinTradeがソラナ含む4銘柄の取扱い開始、ステーキングサービスにSOL追加
暗号資産(仮想通貨)販売所CoinTradeがソラナを含む4銘柄の取り扱いを開始。ステーキングサービスにSOLを追加した。条件をクリアすることでSOLをプレゼントするキャンペーンを開催中。ジパングコイン(ZPG)など三井物産デジタルコモディティーズも新規で取り扱う。
12:55
日本DAO協会4月1日に立ち上げ 府令改正も同日公布
日本DAO協会が4月1日に設立される。DAOの自主規制や健全なエコシステムづくりを推進していくもので、協会自体の運営もDAOで行う計画だ。
12:24
ビットコイン7万ドル台で高止まり、ブラックロックの新規ファンド好調でRWA関連銘柄買われる
暗号資産(仮想通貨)市場ではビットコインが7万ドル台新高値をうかがう展開。アルト相場ではブラックロックのトークン化ファンド「BUIDL」絶好調の影響で、ONDOなどのRWA関連銘柄が買われた。
11:30
Googleサーチ、ビットコインやArbitrumなどのアドレスで資産残高を確認可能に
全ての資産を表示するわけではなく、残高は各ネットワークのネイティブトークン(ETHやARB、OPなど)のみを表示。
10:50
5月のローンチ目指す、香港でビットコイン現物ETF申請のVSFG
仮に香港で承認された場合、アジア初の事例となり、今後日本でのビットコインETF上場や発行にも追い風になりうるとみられる。
10:00
FTXのサム前CEOに懲役25年の判決 カリフォルニアで服役へ
米国地方裁判所の判事は28日、破綻した仮想通貨取引所FTXのサム前CEOに対して懲役25年、および最大1.7兆円の資産没収という判決を言い渡した。
08:40
2.6兆円相当のBTC保有数到達、ブラックロックのビットコイン現物ETF
純流入再び加速 ブラックロックのIBIT・ビットコイン現物ETFの運用資産は初めて、250,000 BTC(2.6兆円)を超えた。1月11日の取引開始からわずか11週間で2兆円…
08:10
Wormholeの仮想通貨「W」、取得開始日明かす
Wormholeは、今月7日に、Wトークンのエアドロップアロケーションや適合対象アドレスを公開。ソラナ、EVM系、Sui、Aptos、Osmosis、Injectiveといったネットワークでのユーザーや、ソラナNo.1NFTコレクションである「Mad Lads」のホルダーを対象としている。
07:40
米投資会社、マイクロストラテジーの株はBTCより割高と指摘
マイクロストラテジーの株価から概算する仮想通貨ビットコインの価格は17万ドル超であると米ケリスデールが分析。同社の株は、ビットコインに対し正当ではないプレミアムがついて取引されているとの見方を示した。
07:20
アバランチ財団「Codebase」、最初の支援プロジェクト15社を選出
アバランチではすでに「Colony Lab」という分散型アクセラレーターが活動しているが、今回Codebaseと連携し支援対象への資金提供を拡大し、1プロジェクトにつき、100万ドルを超える金額を提供する可能性がある。
06:45
5月承認の可能性低いもBitwiseらがイーサリアム現物ETFの上場申請行う
イーサリアムETFが現在の多くの申請の最終期限となる5月に承認される見込みは、SECがイーサリアム財団を調査しているとの報道などを受け大幅に後退している。1月には70%あったが、現在は20%程度まで低下してきた模様だ。
05:50
Bybit、ソラナミームコイン「POPCAT」の永久先物提供
ソラナの仮想通貨ミームコインへの需要は未だ高い。代表的な犬系ミームコイン「WIF」は29日過去最高値を更新し、前日比で20%上昇している。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
イベント情報
一覧
2024/04/06 ~ 2024/04/09
香港 香港コンベンション・アンド・エキシビション・センター3FG
2024/04/09 14:00 ~ 16:00
その他 オンライン
2024/04/13 ~ 2024/04/14
東京 東京都港区
2024/04/13 10:00 ~ 17:00
その他 オンライン
重要指標
一覧
新着指標
一覧