2024年だけで、暗号資産ユーザーおよびプロトコルから38億ドル以上が盗まれており、その損失の大部分は単一の障害点に遡ることができます:ウォレットです。スマートコントラクトの悪用やオラクルの操作ではなく、秘密鍵の保管、管理、保護方法における単純な過ちです。Bitcoin BTC$71,883BTC$71,88324h+1.12%7d+7.44%30d+2.75%1y-12.96%MCap: N/AVol: N/Avia Statilityは今までで最も硬い通貨になることができ、Ethereum ETH$2,200ETH$2,20024h+0.46%7d+6.96%30d+8.02%1y+31.82%MCap: N/AVol: N/Avia Statilityは完全に分散化された経済全体に力を与えることができますが、誰かがGoogle Docに保存したシードフレーズのためにウォレットを空にしてしまった場合、これらはすべて無駄になります。

このガイドは、暗号資産を保護するために必要なすべてのことをカバーしています:ウォレットの種類、シードフレーズ管理、人々が実際に被害を受ける攻撃ベクトル、および今日実行できる実践的なチェックリストです。

ホットウォレット、コールドウォレット、ハードウェアウォレットの比較

最初の決断は、秘密鍵がどのように保管されるかです。すべてのウォレットは利便性とセキュリティの間のスペクトラムのどこかに位置しており、トレードオフを理解することは必須です。

Wallet Types Compared

TypeExamplesKeys StoredInternet ConnectedBest ForRisk Level
Hot WalletMetaMask, Phantom, Trust WalletOn your device (browser/app)YesDaily transactions, small amountsHigher
Cold WalletPaper wallet, air-gapped computerOfflineNoLong-term storageLower
Hardware WalletLedger, Trezor, KeystoneDedicated secure chipOnly when signingBalancing security and usabilityLowest
Custodial WalletCoinbase, Kraken, BinanceExchange holds keysYesBeginners, fiat on-rampsDepends on exchange

ホットウォレットはブラウザ拡張機能またはモバイルアプリで、インターネット接続されたデバイスに鍵を保持しています。MetaMask★★★★★4.5MetaMaskbrand★★★★★4.5/54 AI reviewsMetaMask is a premier non-custodial cryptocurrency wallet and browser extension, supporting Ethereum and EVM-compatib...via RexiewのようなウォレットはDeFiプロトコルとの相互作用と迅速な取引には便利ですが、マルウェア、フィッシングサイト、ブラウザの脆弱性にさらされています。ホットウォレットはポケットの中の現金のようなもので、日々の支出に役立つものの、人生の貯蓄を保管する場所ではありません。

コールドウォレットは秘密鍵を完全にオフラインに保ちます。ペーパーウォレットは最もシンプルなバージョンです:秘密鍵を紙に書いて安全な場所に保管します。インターネットに接続しないエアギャップされたコンピュータも別のオプションです。コールドストレージはリモート攻撃に対して最大限安全ですが、頻繁な取引には面倒で、物理的な損失や損傷に対して脆弱です。

ハードウェアウォレットはほとんどの人にとって最適なポイントです。Ledger★★★★★4.4Ledgerbrand★★★★★4.4/55 AI reviewsLedger provides hardware wallets for securing cryptocurrencies in DeFi and Web3. Products like the Ledger Flexâ„¢ fea...via RexiewLedgerおよびTrezor★★★★★4.5Trezorbrand★★★★★4.5/54 AI reviewsTrezor provides top-tier hardware wallets, including Trezor Safe 5, Model T, and Model One, for secure crypto storage...via RexiewTrezorのようなデバイスは、秘密鍵をコンピュータに決して公開しない専用チップに保存します。取引に署名するとき、ハードウェアウォレットは詳細を独自の画面に表示して確認し、内部で署名して、署名済みの取引のみをコンピュータに送信します。PCが侵害されても、鍵は決してデバイスから離れません。

カストディアルウォレットは誰か他の人が鍵を保有することを意味します。通常は取引所です。これは少額またはオンランプには問題ありませんが、取引所のセキュリティ、支払能力、および誠実さを信頼しています。FTXはその最も高額な方法でその教訓を証明しました。

シードフレーズ管理:ルール

シードフレーズ(通常は12語または24語)はウォレット内のすべての資産への主要鍵です。それを持っている人は誰でも資金を管理できます。回復はなく、カスタマーサポートもなく、取引を逆転させることもできません。ルールはシンプルで絶対的です。

すべきこと

  • 物理的なメディアに書き留めます。紙で構いません。メタルバックアッププレート(CryptosteelやBillfoldlなど)は火と水に耐えます。必要に応じて両方を使用してください。
  • 少なくとも2つの異なる物理的な場所に複数のコピーを保管します。自宅の防火金庫と銀行の貸金庫は一般的なセットアップです。
  • シードフレーズが機能することを確認します重要な資金を送信する前に、別のデバイスで復元することで。
  • Shamir's Secret Sharing(SSS)を使用してフレーズを分割することを検討してください。ここでは、シードを複数の部分に分割し、再構築に閾値が必要です(例:3-of-5)。Trezorはこれをネイティブにサポートしています。
  • パスフレーズを追加します(時々25番目の単語と呼ばれます)ハードウェアウォレットがサポートしている場合。これは24語を見つけた誰かでもアクセスできない隠されたウォレットを作成します。

決してしないこと

  • 決してデジタルで保管しないでください。メモアプリではなく、クラウドストレージではなく、メール下書きではなく、パスワードマネージャーではなく、スクリーンショットとしても。インターネットに触れたら、原則として侵害されます。
  • 決してウェブサイトに入力しないでください。正当なサービスは決して完全なシードフレーズを求めません。そうするサイトはフィッシング詐欺です。期間。
  • 決して誰かと共有しないでください。サポートスタッフではなく、「ウォレット検証」ボットではなく、「何かを確認する必要がある」という暗号友人ではありません。
  • 決して潜在的に侵害されたデバイスでそれを生成しないでください。ハードウェアウォレットを新しく設定し、クリーンな環境で、メーカーから直接ダウンロードされたファームウェアを使用します。

一般的な攻撃ベクトル

人々が実際に暗号資産をどのように失うかを知ることは、抽象的なセキュリティ理論よりも重要です。これらは一貫して機能する攻撃です。

フィッシング。最も効果的な単一の攻撃。MetaMask、Uniswap UNI$3.15UNI$3.1524h+0.96%7d-0.72%30d-18.00%1y-41.74%MCap: N/AVol: N/Avia Statility、または他の人気のあるdAppsと同じに見えるフェイクウェブサイト。「Ledgerサポート」からのフェイクメール。エアドロップを提供するフェイクDiscord DM。目標は常に同じです:シードフレーズを入力させるか、悪意のある取引に署名させることです。最もよく使用するサイトをブックマークして、メール、DM、またはソーシャルメディア投稿からのリンクをクリックしないでください。

クリップボードマルウェア。あなたのクリップボードをサイレントに監視し、コピーされたウォレットアドレスを攻撃者のアドレスに置き換えるマルウェア。自分のアドレスをコピーして貼り付けます。貼り付けたアドレスは誰か他の人に属しています。確認前に、任意のアドレスの最初と最後の数文字を常に確認してください。

ソーシャルエンジニアリング。サポートスタッフ、プロジェクトチームメンバー、または友人になりすまし攻撃者。緊急性を作成します(「ウォレットが侵害されている、今すぐ行動してください」)または機会(「独占的なホワイトリスト、ウォレットを接続してください」)。正当なプロジェクトが最初にDMで接触してウォレットを接続したり資金を送信したりするよう求めることはありません。

SIMスワップ攻撃。攻撃者が携帯電話キャリアに自分の電話番号を攻撃者のSIMカードに転送するよう説得します。その後、SMS ベースの 2 要素認証をバイパスし、取引所のパスワードをリセットし、アカウントを空にするために使用します。暗号のためのSMS 2FAは安全ではありません。代わりにハードウェアセキュリティキー(YubiKey)または認証器アプリ(電話番号に結びついていない)を使用してください。

承認悪用。DeFiプロトコルと相互作用するとき、あなたはそれがあなたのトークンを費やすことを承認します。時々無制限の許容量で。そのプロトコルが侵害されている場合(またはそもそも悪意があった場合)、それらの承認により攻撃者はいつでもウォレットから承認されたトークンを排出できます。これは数億ドルの損失につながっています。

トークン承認をどのように取り消すか

すべてのアクティブなトークン承認は、スマートコントラクトが資金を移動するための継続的な権限です。不要な承認を取り消すことは、実行できる最も影響の大きいセキュリティアクションの1つであり、約5分かかります。

  1. Revoke.cashまたはEtherscanのToken Approval Checker(etherscan.io/tokenapprovalchecker)に移動します。
  2. ウォレットを接続します。
  3. すべてのアクティブな承認を確認します。無制限の許容量、認識されていないコントラクトへの承認、使用しなくなったプロトコルへの承認を探します。
  4. アクティブに必要としない承認を取り消します。各取り消しには少額のガス代がかかります。
  5. これを毎月の習慣にします。

今後、プロトコルが無制限のトークン承認を要求するとき、代わりにカスタム支出制限を設定します。その取引に実際に必要な金額のみを承認します。

マルチシグウォレット:重大な資産保有のためのセキュリティ

マルチシグ(マルチシグネチャ)ウォレットは、取引を認可するために複数の秘密鍵が必要です。1つの鍵がすべてを制御する代わりに、2-of-3または3-of-5の署名が必要な場合があります。これは単一の障害点を排除し、DAO、プロトコルトレジャリー、および重要な金額を保有している誰にとっても標準です。

Safe(以前はGnosis Safe)はEthereumおよびEVMチェンで最も広く使用されているマルチシグで、1000億ドル以上の資産を保護しています。セットアップは簡単です:Safeを作成し、コサイナーのアドレスを追加し(ハードウェアウォレットできます)、閾値を設定します。すべての取引は実行される前に指定された数の承認を必要とします。

個人の場合、2-of-3セットアップがうまく機能します:1つのキーをハードウェアウォレットに、1つを別の場所にある別のハードウェアウォレットに、1つを信頼できる家族メンバーまたは安全な保管庫に保有します。任意の2つで取引でき、1つのキーを失っても機能停止しません。

最大のウォレット関連のハック

歴史は理論よりも良く教えます。これらは最も重要なウォレットと鍵管理の失敗の一部であり、各ケースで何が間違っていたかです。

Notable Wallet Security Incidents

IncidentYearLossWhat Went Wrong
Ronin Bridge (Axie Infinity)2022$625M5-of-9 multisig compromised — 4 keys held by one entity, 1 from a stale Axie DAO approval
Atomic Wallet2023$100M+Private keys likely extracted from the app; root cause never fully disclosed
Slope Wallet (Solana)2022$8M+Seed phrases logged in plaintext to a centralized server
Wintermute2022$160MHot wallet private key compromised via Profanity vanity address vulnerability
Bybit2025$1.4BMultisig signing process exploited via compromised UI during routine transfer
Ledger Connect Kit2023$600K+Supply chain attack — compromised NPM package injected malicious code into dApp front-ends

パターンは繰り返されます:集中された鍵管理、多くの値を保有するホットウォレット、隠されたロギングを伴う第三者ソフトウェア、暗号フローを持つ虚栄アドレスジェネレータ、および名前でのみマルチシグであるマルチシグセットアップ。Roninハックは特に有益です。9人の署名者は安全に聞こえますが、1つの組織が5つを制御することに気付くまで。2025年のBybitハックは、署名インターフェース自体が侵害されたときに、署名者が何を承認しているかを操作する攻撃者を使用してマルチシグセットアップを損なわせることができることを示しました。

セキュリティチェックリスト

これを印刷します。今週これを通します。各アクションは意味のあるようにリスクを減らします。

  1. 長期保有をハードウェアウォレットに移動します。アクティブな取引またはDeFiに必要な金額のみをホットウォレットに保管します。
  2. シードフレーズバックアップを確認します。実際に復元できますか?2つの異なる物理的な場所に保管されていますか?紙だけではなく金属で作られていますか?
  3. Revoke.cashで不要なトークン承認を取り消します使用するすべてのチェーン用。
  4. SMS 2FAをハードウェアキー(YubiKey)または認証器アプリに置き換えますすべての取引所アカウント上で。
  5. 携帯キャリアに電話してSIMロック/ポートフリーズ/アカウントPINを追加してSIMスワップを防止します。
  6. 使用するすべてのdAppと取引所の実際のURLをブックマークします。メール、DM、ソーシャルメディア投稿からのリンクをクリックしないでください。
  7. 暗号用に専用ブラウザまたはプロファイルを使用します。ランダムな拡張機能はなく、気軽なブラウジングもありません。
  8. DeFiプロトコルと相互作用するときに無制限の承認ではなく支出制限を設定します。
  9. マルチシグ(Safeウォレット)を検討します1つのキー侵害から失う余裕がある以上に保有している場合。
  10. Pocket UniverseやBlowfishなどのツールを通じてトランザクションシミュレーションを有効にします署名する前に。これらは、承認する前に取引が何をするかを正確に表示します。

結論

暗号セキュリティは妄想ではなく、単一の障害点を排除することです。ほとんどの損失は洗練されたゼロデイエクスプロイトが原因ではありません。デジタルに保存されたシードフレーズ、急いでクリックされたフィッシングリンク、数ヶ月前に忘れられた無制限のトークン承認、決してSMS ベースの 2FA 置き換えられないことが原因です。上記のチェックリストのすべてのアイテムは、実際の人々に実際の金銭を費用させた実際の証明済みの攻撃ベクトルに対処します。

テクノロジーはあなたに資産に対する完全な主権を与えます。それが約束です。トレードオフは、誰もあなた自身の間違いからあなたを救うことができないということです。基礎を正しく取得する時間をかけてください。そして、壊滅的な損失の確率はゼロに近くなります。

暗号では、あなたが自分の銀行です。つまり、あなたはあなた自身のセキュリティ部門でもあります。それに応じてスタッフ。

暗号プラットフォーム、取引所、およびDeFiアプリを探していますか?私たちの厳選されたディレクトリを参照してください: