NFTも盗まれるんだw(私有鍵の漏洩以外で盗まれたんだったらどんだけポンコツなスマートコントラクトなんだwww)
@zundan
偽サイト作ってウォレットの権現を奪うのが多いみたいです。
こればかりは偽サイトにクレカ番号を打たせるのと同じリスク度合いなので、NFTや暗号通貨の独特のリスクというわけではないでしょうけど金額が……
@fujii_yuji ええぇ…。フィッシングサイトに私有鍵預けちゃう人が居るなら補填のあるかもしれないクレカ番号を漏洩しちゃうのとはリスクの大きさが桁違いなのを理解していないユーザーの認識不足もなんとかしたいところ(もちろん窃取するやつがいちばん悪い)だし、NFTマーケットサイトのログインを奪われてそこまでの被害が起きちゃうなら
@fujii_yuji NFT要らないじゃんっていう結論にしかならなさそうですw
@zundan
NFTのいる/いらないは、まあいらないんですけどw
ウォレットの持ち主のミスもある(ウォレットのパーミッションを"set approval for all"で渡しちゃうとか)んですけど、NFT独自の問題ではないと思うのですね
@fujii_yuji こんだけ文句言ってるのに取引したことない(取引所へのドルの送金からして難しかった)のでよく知らなくて申し訳ないのですが、取引所に私有鍵も預けておいて取引所にログインしていればトランザクションが成立するようにしてる人が多い感じなんでしょうか?もしそうなら、みんな()の大好きなブロックチェーンの非中央集権ですら危ういってことになりますねwwww
@zundan
Matamaskの権限を取引のためにNFTマーケットプイレスに接続するわけですが、そこがフィッシングサイトだと権限を攻撃社に渡しちゃう、という単純だけど防ぐのが意外にムズいやつです。
@fujii_yuji うわあ…。スマートコントラクトの実行に必要な署名はウオレットの所有者がその都度作成する(のはかなり面倒そうだけどしょうがないと妄想してました)のではなく、スマートコントラクトごとに事前に作成してどこかに保存しておけるし、それが一般的ということでしょうか?もしそうなら僕の妄想をはるかに超えてポンコツなんですね…。
@zundan
GoogleアカウントやTwitterアカウントの権限をアプリに渡すのと同じような感じだと思いますね。
(カード会社の補償のようなものはないですが)ECサイトでクレジットカード番号を渡したら、それがフィッシングサイトだったというのが一番近いと思います。
@fujii_yuji んー、非中央集権を標榜しつつスマートコントラクトの胴元に認可を集中させる実装が一般的ならもう笑うしかないです。それならおっしゃる通りoAuthでログインしたオークションサイトで何かを取引するのと本質的な差がないことになっちゃうw
クレジットカードの場合は、一応は窃用された場合の補填を取引を認めたクレカ会社側がするということになっているので、取引の可否をしっかりしなくちゃというインセンティブが働くようになっている点が違いそうに見えます。