Web3では「署名」はDAppとの基本的なやり取りです。しかし悪意のある署名は2024-2025年の主要な暗号資産窃盗手段となっています。
署名の種類
- personal_sign:DAppログイン。低リスク。
- eth_signTypedData:オフチェーン認可。中〜高リスク。
- eth_sign:ブラインド署名。極めて高リスク。
- eth_sendTransaction:オンチェーン取引。内容次第。
悪意のある署名の手口
Permit攻撃:ガス不要のオフチェーン署名でトークン移転を許可。Seaport攻撃:NFTを極低価格で出品。eth_sign:読めない16進データで全資産移転。setApprovalForAll:全NFTの承認。
識別方法
- eth_sign = 即座に拒否
- 内容を確認(Permit、approval、setApprovalForAll)
- ソースを確認
- シミュレーションツール使用(Pocket Universe、Fire、Blowfish)
セキュリティのヒント
- 署名リクエストを注意深く読む
- シミュレーションプラグインをインストール
- MetaMaskのeth_signを無効のまま維持
- ブックマークからDAppにアクセス
- 実験用に別ウォレット使用
- 疑わしければ拒否
大額資産は安全な環境に。Binance公式サイトやBinanceアプリ(iOSはガイド参照)でマルチレイヤーセキュリティを活用。