NFTも盗まれるんだw(私有鍵の漏洩以外で盗まれたんだったらどんだけポンコツなスマートコントラクトなんだwww)
@zundan
偽サイト作ってウォレットの権現を奪うのが多いみたいです。
こればかりは偽サイトにクレカ番号を打たせるのと同じリスク度合いなので、NFTや暗号通貨の独特のリスクというわけではないでしょうけど金額が……
@fujii_yuji ええぇ…。フィッシングサイトに私有鍵預けちゃう人が居るなら補填のあるかもしれないクレカ番号を漏洩しちゃうのとはリスクの大きさが桁違いなのを理解していないユーザーの認識不足もなんとかしたいところ(もちろん窃取するやつがいちばん悪い)だし、NFTマーケットサイトのログインを奪われてそこまでの被害が起きちゃうなら
@fujii_yuji NFT要らないじゃんっていう結論にしかならなさそうですw
@zundan
NFTのいる/いらないは、まあいらないんですけどw
ウォレットの持ち主のミスもある(ウォレットのパーミッションを"set approval for all"で渡しちゃうとか)んですけど、NFT独自の問題ではないと思うのですね
@fujii_yuji こんだけ文句言ってるのに取引したことない(取引所へのドルの送金からして難しかった)のでよく知らなくて申し訳ないのですが、取引所に私有鍵も預けておいて取引所にログインしていればトランザクションが成立するようにしてる人が多い感じなんでしょうか?もしそうなら、みんな()の大好きなブロックチェーンの非中央集権ですら危ういってことになりますねwwww
@zundan
Matamaskの権限を取引のためにNFTマーケットプイレスに接続するわけですが、そこがフィッシングサイトだと権限を攻撃社に渡しちゃう、という単純だけど防ぐのが意外にムズいやつです。
@fujii_yuji うわあ…。スマートコントラクトの実行に必要な署名はウオレットの所有者がその都度作成する(のはかなり面倒そうだけどしょうがないと妄想してました)のではなく、スマートコントラクトごとに事前に作成してどこかに保存しておけるし、それが一般的ということでしょうか?もしそうなら僕の妄想をはるかに超えてポンコツなんですね…。
@zundan
GoogleアカウントやTwitterアカウントの権限をアプリに渡すのと同じような感じだと思いますね。
(カード会社の補償のようなものはないですが)ECサイトでクレジットカード番号を渡したら、それがフィッシングサイトだったというのが一番近いと思います。
@zundan
その程度のものだからウオレットにNFTや大きな額の暗号通貨を入れておくな、という運用上の問題はあると思いますけどね
@fujii_yuji NFTを分割したくなりますねw
@fujii_yuji 素の暗号通貨なら私有鍵で電子署名しない限り通貨が移動しないことが原理的に保証されているので、スマートコントラクトのポンコツさを今知ってびっくりしてるところです。こんなにひどい世界だったんだw
@zundan
マーケットプレイスとウォレットの接続・コントラクトごとの処理は確かに課題なんでしょうねえ。
ここは僕もあまり詳しくないので、何か解決に向けての動きもあるんじゃないかなーという気がしますけど、現状はマーケットプレイスなどアプリ側に悪意があると「ウォレットのトークン全部抜く」ができちゃうのは問題ですね。
(ウォレット持ってる側がallで権限出すなって話でもありますが)
@fujii_yuji スマートコントラクトは、何か解決への動いがあるかもしれないと思える程度に複雑なのが、投機的な資金を集める原動力なのかもしれませんねーw
僕は、スマートコントラクトは、うまくすればoAuthと同じ程度には安全になるだろうとは思いますが、非対称鍵暗号とハッシュ関数のみを信用すれば不正をしないインセンティブも含めてなりたつパブリックな暗号通貨とは本質的に違って、原理的に非中央集権なわけではないと考えます。それなら既存のウェブサービスを超える利点は原理的には得られないわけで、スマートコントラクトに価値があると主張するのは詐欺にしか見えません。