Trust Walletが200M+ユーザーのためにより安全なUXとツールでトークン承認リスクに取り組む方法を発見しましょう。Trust WalletのCISO、Eve Lamによる。
あなたのウォレットに潜む目に見えないリスク
トークン承認はWeb3で最も見過ごされている脅威の一つです。ウォレットを接続してdAppにトークンへのアクセスを許可するたびに、無期限のアクセス権を付与していることがよくあります。時間が経つにつれ、これらの承認はバックグラウンドで静かに蓄積されていきます。ほとんどのユーザー様はその存在すら知らず、実際、Revokeによると2020年以降、報告された承認ハックと悪用により4億7500万ドル以上が盗まれています。これは私たちの目には技術的なギャップ以上のものです。むしろユーザー体験の失敗とセキュリティーの盲点であり、Web3に参入する次の波のユーザー様にとって、背負う必要のないリスクなのです。
安全性におけるリーダーシップは、あらゆるウォレットプロバイダーの中核的責任です—そして月間アクティブユーザー1500万人以上、ダウンロード数2億以上を抱えるTrust Walletは、その責任を全面的に受け入れています。トークン承認問題の解決はその取り組みの一部であり、私たちに依存するすべての人々により強力な保護を確保し、より安全なWeb3エコシステムの構築を支援します。
なぜ無限承認が標準になったのか
分散型アプリケーション(DApp)を使用する場合、トークン承認トランザクションを通じて許可を与えない限り、トークンを移動することはできません。承認によりスマートコントラクトがあなたの代わりにトークンを使用できるようになります。ほとんどのDAppは毎回承認する必要がないよう無制限の承認を求めます。一度付与されると、これらの承認は取り消すまでオンチェーンでアクティブなままです。
この利便性にはコストがかかります:トークン承認はデフォルトで静かで、永続的で、リスクを伴います。ユーザー様は気づかないうちにDAppに無制限のアクセスを与えています。ウォレットはこれらの許可を表示したり説明したりすることはほとんどありません。攻撃者はそれらを悪用します—多くの場合、承認が付与されてから長い時間が経過した後に。
承認リスクが時間とともに構築される方法
現実世界の脅威はしばしばこれらのパターンに従います。悪意のある行為者が有害なコントラクトへの無制限の承認を付与するよう騙すかもしれません。その時点でウォレットが空であれば問題ないように見えるかもしれません。後で資金を入金すると、コントラクトは即座にそれらを流出させます。または、かつては信頼されていたコントラクトが侵害され、安全な許可が危険な脆弱性に変わることもあります。
さらに懸念されるのは、今日のほとんどのウォレットでは、トークン承認を表示または管理することが容易ではないことです。平均的なユーザー様は、どのコントラクトが自分の資産にアクセスできるかを見つけるのに苦労するでしょう。ましてやどれがハイリスクかを評価することはさらに難しいでしょう。
機会:正しい方法で構築されたネイティブツール
ほとんどのウォレットには、トークン承認をレビューおよび管理するためのネイティブでユーザーフレンドリーなインターフェースがありません。一部は第三者プラットフォームに依存したり、設定の奥深くに許可を埋め込んだりしています—もしあるとしても。その結果、ユーザー様はどのコントラクトが継続的にアクセスしているかを認識していないことがよくあります。
Trust Walletでは、このギャップを認識しており、それを埋めるために取り組んでいます。そのため、今年のQ4のロードマップにトークン承認管理を含めています:スケーラブルに構築され、注意深く設計され、セキュリティ優先の精度でリリースされます。私たちのビジョンは、複雑なブロックチェーンの許可を明確で実行可能な洞察に簡素化するスマートでユーザー中心のダッシュボードです。
EIP-7702が承認リスクを軽減する方法
ユーザー様が行う必要のある承認の数を減らすことは、それらをうまく管理することと同じくらい重要です。EIP-7702は、ウォレットが1つの安全なセッションですべての必要なアクションをシミュレートして事前承認できるようにすることでこれを支援するように設計されています。一度署名すると、リレーヤーがバックグラウンドで承認と意図したトランザクションの両方を処理します。
7702の場合:
- ウォレットは必要なすべての承認とトランザクションをシミュレートします。
- ユーザー様は1つのセッション意図に署名します。
- 承認とアクションの両方が一緒に実行されます。
- 「承認」ポップアップが少なく、残存する無制限の承認も少なくなります。
簡単に言えば、7702はリスクの高い永続的な許可の必要性を減らしながらUXを合理化します。
日常的なUXとしての承認衛生の再考
トークン承認を管理下に置くことは、オンラインで安全を保つために人々が行う他の日常的なチェックと同じくらい自然に感じるべきです。このプロセスは、ユーザー様が覚えておかなければならない別のタスクとして残すのではなく、通常のウォレット使用に統合されている場合に最も効果的です。
Trust Walletはこのメンテナンスを容易にする機能を構築しています:アクティブな承認をレビューするための控えめなリマインダー、リスクがあるか古くなっている可能性のあるコントラクトの視覚的な手がかり、非アクティブ後にアクセスを自動的に期限切れにするオプション、そして1か所にすべてのアクティブな許可を明確にリストするダッシュボード。これらの保護策が通常のフローの一部である場合、ユーザー様は余分な努力なしで保護されたままでいられます。
単なるインターフェースではなく、守護者としてのウォレット
トークン承認はより大きな問題の一部です:ウォレットはユーザー様を保護するためにどのようにしてより多くのことができるでしょうか?
Trust Walletでは、セキュリティーは私たちが構築するすべてのものに組み込まれています。私たちのセキュリティスキャナーは既知の詐欺や悪意のあるコントラクトを積極的に検出し、危険な承認やDApp接続が発生する前にブロックします。2023年以来、私たちは悪意のあるコントラクトに到達する4億5800万ドル以上をブロックし、200万ドル以上の盗まれた資金の回収を支援しました。
私たちは、ISO/IEC 27001および27701認証を取得した最初の主要なセルフカストディウォレットであり、セキュリティとプライバシーに関する国際的に認められた基準を満たしています。
同じ原則が私たちのトークン承認ツールを導くでしょう:後付けではなく、組み込まれた保護。
先を見据えて:次の2億人のための構築
私たちの責任は、すでに構築したものを維持するだけでなく、Web3の次の波のユーザー様とその直面する課題に備えることです。つまり、より良いデフォルト設定とよりスマートな自動化、拡張機能での生体認証ログイン、ユーザー様がすでに保有しているトークンでガスを支払えるFlexGasによるクロスチェーンの簡素化など、摩擦を取り除き安全性を強化する機能を継続的に展開することを意味します。
これまで説明したすべてのことを考えると、地平線上にある最も重要な開発の一つが私たちのネイティブトークン承認管理であることは言うまでもありません。これにより、すべてのユーザー様がどのコントラクトが自分のトークンにアクセスできるかを明確に把握し、潜在的なリスクを強調し、許可の取り消しや調整を迅速かつ簡単にすることができます。他のセキュリティと使いやすさの進歩と組み合わせると、何百万人もの人々がより自信を持ってWeb3を探索できるようになります。
このアプローチは、ウォレットが単なるツールではなく、本質的にWeb3のコンパニオンであるという私たちの見解に通じています。それらは複雑さを抽象化し、リスクを表面化し、ユーザー様の安全性を損なうことなく機会を可能にするべきです。
最後の考え
トークン承認は目に見えず、永続的であったり、ユーザー様が資金を失う理由であってはなりません。よりスマートなツール、より安全なデフォルト設定、組み込みの保護機能により、このリスクを過去のものにすることができます。Trust Walletでは、今日のユーザー様と次の2億人のために構築しています—なぜなら、そのスケールには先導する責任が伴うからです。
ご期待ください。より安全で、よりスマートなウォレット体験が近づいています。
投稿「あなたのウォレットに隠された危険:トークン承認の説明」はBeInCryptoで最初に公開されました。
ソース: https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
