隠されたバックドア:なぜ承認(Permissions)を取り消さなければならないのか
要約:ウォレットをウェブサイトから切断しても、そのサイトが資金を動かすことは 防げない。ほとんどのDeFiアプリは、トークンを使うために「無制限の許可」を要求する。このガイドでは、Revoke.cashを使用して、これらの開けっ放しのドアを閉じる方法を説明する。
1. バレーパーキングの例え
レストランに行って、係員(バレー)に車の鍵を渡すと想像してほしい。あなたは彼らが車を駐車し、戻ってくることを期待する。
しかしDeFiにおいて、Uniswapのようなサイトで取引するとき、あなたは鍵を渡すだけではない。あなたはしばしば次のような契約書に署名している:
「この係員は、いつでも私の車を持ち出し、売り払い、現金を永久に保持することを許可される。」
これを 無制限の承認(Unlimited Allowance) と呼ぶ。
開発者は利便性のためにこれを行う。取引のたびに許可署名をする必要がないようにするためだ。しかし、もしそのサイトがハッキングされたり(あるいは悪意に変わったり)した場合、彼らはこの許可を使用して、たとえ数年間サイトを訪れていなくても、あなたのウォレットを空にすることができる。
2. 神話:「ウォレットを切断する」
多くのユーザーはこう考えている:「MetaMaskで『接続解除(Disconnect)』をクリックしたから安全だ」と。
間違いだ。
切断は、サイトがあなたの 残高 を見るのを防ぐだけだ。あなたが署名した 許可 をキャンセルするわけではない。「無制限の承認」は、取り消すまでブロックチェーン上で永遠に有効なままだ。
3. 解決策:Revoke.cash
自分のウォレットの「セキュリティ監査」を行う必要がある。
ステップ1:ウォレットをスキャンする
Revoke.cash にアクセスする。
(ブックマークのルールを思い出して:URLを慎重に確認せよ!)。
ウォレット(Ledger/MetaMask)を接続する。
ステップ2:「無制限(Unlimited)」を探す
使用したすべてのサイトのリストが表示される。
「承認(Allowance)」 の列を探す。
- 「Unlimited USDT」 や 1.15e+59 のような巨大な数字がある場合、それはリスクだ。
- 「使用者(Spender)」がもう使っていないサイトである場合、それは 高リスク だ。
ステップ3:取り消す(Revoke It)
「Revoke」 ボタンをクリックする。
少額のガス代(通常1〜5ドル)がかかる。この取引はブロックチェーンにこう伝える: 「契約書を破棄せよ。このサイトはもはや私の資金に触れることはできない。」
さらに詳しく: これらの承認はどこから来るのか? しばしば アイスフィッシング や、サプライチェーン攻撃 によって侵害されたフロントエンドからやってくる。
結論
優れたセキュリティ衛生とは、積極的に使用していないアプリの許可を「取り消す」ことだ。正面玄関に鍵をかけるだけでなく、勝手口も確認するようにしよう。
関連記事
ロング・コン(豚の屠殺):彼らはいかにしてあなたの心と財布を盗むか
それは「間違い電話」のテキストメッセージから始まる。そして退職金の喪失で終わる。「豚の屠殺(Pig Butchering)」詐欺の心理的台本の解剖。
遊ぶ場所でトレードするな:専用クリプトデバイスのすすめ
あなたのゲーミングPCは隙だらけだ。あなたのスマホは追跡者(トラッカー)でいっぱいだ。なぜ200ドルで専用の「銀行用デバイス」を買うことが、最高の保険なのか。
ブックマークのルール:フィッシングに遭わずにWeb3を閲覧する方法
Google広告は危険だ。DiscordのDMは毒だ。偽サイトからウォレットを守るための「ゼロトラスト」ブラウジング戦略。