分散型金融 (DeFi) とデジタル所有権経済の爆発的な普及により、電子ウォレットが Web3 世界への最も重要なゲートウェイになりました。この文脈において、WalletConnect はオープンソース通信プロトコルとしての地位を確立しており、ユーザーは秘密鍵を公開することなく、個人のウォレットを数万の分散型アプリケーション (DApps) に安全に接続できます。ただし、このプロトコルの普及により、悪意のある攻撃者にとっては巨大な攻撃対象領域も生まれます。 Tan Phat Digital がまとめた 2025 年と 2026 年初頭の個人ウォレット侵入データの分析によると、WalletConnect プロトコル自体は強固な暗号化層を備えているものの、ユーザーの警戒心の欠如とトランザクション署名インターフェースの脆弱性により、数十億ドル相当の資産損失が発生したことが示されています。 WalletConnect の動作方法と、過剰な DApp 権限やウォレットドレインなどの潜在的なリスクを理解することは、今日の暗号通貨市場に参加するすべての事業体にとって緊急の要件です。
WalletConnect プロトコルの技術アーキテクチャとセキュリティメカニズム
WalletConnect は単一のアプリケーションとしてではなく、インフラストラクチャ層として動作します。中立的なメッセージング層として動作し、ウォレットと分散型アプリケーションの間で暗号化されたセッションを確立できます。 WalletConnect のセキュリティ設計の鍵は、アプリケーションが秘密鍵を保存する権利とトランザクションを開始する権利を完全に分離することです。ユーザーの秘密鍵は常にウォレットの安全なエンクレーブ内に安全に保管されますが、WalletConnect はエンドツーエンド暗号化 (E2EE) トランザクション署名リクエストの「キャリア」としてのみ機能します。
分散アプリケーションが WalletConnect 標準に従って URI を生成すると、接続メカニズムが開始されます。通常、デスクトップでは QR コード、モバイルではディープ リンクとして表示されます。ユーザーがこのコードをスキャンすると、リレー サーバー システム (リレー サービス) を介して接続セッションが確立されます。 WalletConnect V2 および V3 バージョンの重要な機能は、マルチチェーン セッション管理機能であり、単一セッションでイーサリアム、ポリゴン、BNB チェーンなどの複数のブロックチェーンを同時にサポートできるようになります。
主なシステム コンポーネントとセキュリティの役割:
リレー サーバー: 主な機能は、ウォレットと DApp の間で暗号化された JSON-RPC メッセージを中継することです。セキュリティの面では、リレーがメッセージの内容を読み取ることができないため、中間者 (MITM) 攻撃の防止に役立ちます。
URI/QR コード: セッションと対称暗号化キーに関する情報が含まれています。このコンポーネントにより、コードをスキャンしているエンティティのみが通信セッションに参加できるようになります。
WalletKit/AppKit: 署名 API と認証 API を提供する開発キット (SDK)。接続前にドメインをチェックする Verify API などの安全なプロセスを標準化します。
スマート セッション: 新機能により、個々の注文の承認ではなく、プログラム可能なトランザクション ルールの承認が可能になります。これは、「トランザクション疲労」を最小限に抑えるのに役立ちます。このシナリオは、攻撃者がユーザーをだましてランダムに署名させるためによく悪用するシナリオです。
詳細はこちら: フィッシング暗号通貨ウォレットは、何を?
無制限のトークン承認の脆弱性分析
Web3 エコシステムでは、最大のリスクは接続プロトコルを介した秘密キーの漏洩からではなく、ERC-20 や ERC-721 などのトークン標準の承認メカニズムから発生します。ユーザーが分散型取引所で資産を交換したい場合、アプリケーションは、スマートコントラクトにウォレットから一定量のトークンを取得する権利を与える承認トランザクションに署名するようユーザーに求めます。
問題は、ほとんどのアプリケーションがガス料金を節約するために「無制限の承認」を必要とする場合に発生します。技術的には、このコマンドを使用すると、スマート コントラクトがいつでもターゲット資産のウォレットを空にすることができます。 DApp のスマート コントラクトがハッキングされた場合、または DApp がフィッシング サイトである場合、攻撃者はユーザーからの追加の確認を求めずに、承認されたすべてのアセットを吸い上げることができます。
セッション接続と権限の承認の違い:
データ保存場所: Session Connect はアプリケーション/ウォレット キャッシュ (オフチェーン) に保存されますが、トークン承認はブロックチェーン台帳 (オンチェーン) に直接記録されます。
DApp に付与される権限: Session Connect では、ウォレット アドレスと配信変換の提案の表示のみが許可されます。承認トークンは、ユーザーに代わって資産を使用する権限を付与します。
終了方法: セッション接続は、「切断」を押すだけで終了できます。トークンの承認にはオンチェーンの取り消しトランザクションが必要であり、ガスがかかります。
ドレイン効果: セッション接続が悪用され、偽の署名リクエストが繰り返し送信されます。トークンの承認により、攻撃者は追加の署名を必要とせずに資金を自動的に引き出すことができます。
2026 年のウォレット ドレイナーとフィッシング DApps
2025 年から 2026 年のウォレット ドレイナーの進化は、非常に高い自動化レベルに達しました。 Tan Phat Digital の観察によると、今日のサイバー犯罪グループは MS Drainer などのツールキットを使用して、数秒以内に被害者のウォレットをスキャンして駆除しています。
ユーザーがフィッシング Web サイトで QR コードをスキャンすると、悪意のあるスクリプトが次の手順を実行します。
資産評価: API 経由でウォレット内のすべてのトークンと NFT の価値を自動的に決定します。
ターゲットの優先順位付け: 最も価値のある資産 (ETH、ステーブルコイン、NFT 優良チップ) を最初に出金リストに載せます。
悪意のあるトランザクションの作成: 「本人確認」または「ボーナス」を装った承認命令に署名するようユーザーに依頼します。
一連のコイン引き出し: 資産を攻撃者のウォレットに転送し、コイン混合サービスを通じて分散させます。
データによると、2025 年には 158,000 件を超えるインシデントが 80,000 人の被害者に影響を及ぼし、損失総額は 7 億 1,300 万ドルに達しました。犯罪傾向は、DApp インタラクションにおけるセキュリティ エラーを通じて個々のターゲットを攻撃することに大きく移行しています。
詳細はこちら: ホット ウォレットは初心者に適していますか
ブラインド サインによる危険性とインターフェイス情報の欠如
ブラインド署名は、最も致命的な弱点の 1 つです。 DApp が WalletConnect 経由でトランザクション リクエストを送信すると、多くの場合、データは読み取り不可能な 16 進コードとして送信されます。ウォレットのインターフェースに長い文字列の「契約のインタラクション」のみが表示される場合、ユーザーはよく理解していないアクションに署名して承認していることになります。
技術的な理由は、ウォレットが契約の ABI (アプリケーション インターフェース) にアクセスできないためです。攻撃者は、ABI に登録されていない新しいスマート コントラクトを作成することでこの抜け穴を悪用し、ユーザーが認識できないように悪意のあるコマンドを実行します。 Tan Phat Digital は、このリスクを制限するために、Rabby Wallet などの強力な復号ツールを備えたウォレットに切り替えることをユーザーに推奨しています。
App Store を介したアプリケーションの偽造攻撃と悪意のあるコードの配布
新たな危険な展開として、Google Play 上に偽の WalletConnect アプリケーションが出現しています。 「Mestox Calculator」や「Walletconnect | Web3Inbox」などのアプリケーションは、偽の 5 つ星レビューのおかげで何万ものダウンロードをだまされています。
これらのアプリケーションのメカニズムは非常に洗練されており、最初は検閲を回避するための通常の計算ツールとして機能し、次に外部サーバーからドレイナー スクリプトをダウンロードします。 Tan Phat Digital は、WalletConnect はプロトコルであり、エンドユーザー アプリケーションではないという重要な事実を強調しています。 「公式 WalletConnect アプリ」であると主張する App Store のアプリはすべて詐欺です。
次世代セキュリティ ソリューション: スマート セッションと Verify API
WalletConnect V3 では、次のプロトコルでユーザーをプロアクティブに保護するための重要な機能強化が導入されました。
スマート セッション (条件付き権限制御): ルールのセッション切り替えを定義できます。たとえば、24 時間以内に署名できるのは、最大 10 件の少額トランザクションのみです。これにより、「トランザクション疲労」を最小限に抑え、DApp が侵害された場合の被害の範囲を制限できます。
API の検証 (詐欺対策ドメイン): システムはドメイン マッチング (ドメイン マッチ) とブラックリスト チェック (詐欺チェック) を実行します。
注意すべき検証ステータス:
有効: 緑色のチェック マークが付いているアプリケーション名。アクション: トランザクションは通常の注意をもって続行できます。
無効: ドメインの不一致に関する警告。アクション: 偽の可能性が高く、すぐに切断します。
脅威: 悪意のある Web サイトに対する緊急警告が報告されました。アクション: サイトを終了し、コミュニティに報告します。
不明: 未検証のエンティティの通知。アクション: ドメイン名の古さを確認してください。
2026 年の MetaMask と Rabby Wallet のセキュリティの比較
WalletConnect のセキュリティは、ウォレットの復号化能力に大きく依存します。実際の実装を通じて、Tan Phat Digital は、Rabby Wallet が MetaMask と比べて優れたセキュリティ上の利点を持っていると評価しています。
自動ネットワーク切り替え: Rabby は DApp リクエストに従ってネットワークを自動的に検出して切り替えますが、MetaMask は転送ごとに手動での確認を必要とします。
契約リスク警告: Rabby は契約履歴と透明性を徹底的にチェックします。 MetaMask は主にサードパーティのブラックリストに基づいています。
ハードウェア ウォレットの統合: Rabby は同時に複数のアカウントをスムーズにサポートします。 MetaMask では、Ledger/Trezor などのデバイスへの接続エラーが発生することがあります。
デコード手順 (ABI): Rabby は DeBank からのデータを使用して、ほとんどの DApp をデコードします。 ABI が検証されていない場合、MetaMask は多くの場合 16 進コードを表示します。
取引シミュレーション: Rabby は取引後に正確な貸借対照表 (例: "-100 USDC、+0.03 ETH") を表示し、ウォレットが空になる危険性がある場合は非常に明確な警告を表示します。
Tan の多層防御戦略Phat Digital
資産を保護するために、Tan Phat Digital はユーザーに次の安全ルールを適用することをお勧めします。
資産分離モデル: ハードウェア ウォレット (Vault) を使用して資産の 95% を長期保存し、見知らぬ Web サイトには絶対に接続しないでください。 DApp と毎日やり取りするには、最小限の残高を持つホット ウォレット (Burner) を使用します。
定期的な承認制御: Revoke.cash などのツールを少なくとも月に 1 回使用して、未使用の DApp の支出承認を取り消します。承認トークンの量は、実際に必要な数に常に調整してください。
ドメインの黄金律: 常に個人のブックマークまたは CoinMarketCap などの信頼できるソースから DApp にアクセスしてください。メール、ダイレクト メッセージ (DM)、または Google 広告のリンクは絶対にクリックしないでください。
セッションの切断: セッション ハイジャックのリスクを防ぐため、取引完了後はウォレットの WalletConnect 設定で [すべて切断] を押す習慣をつけましょう。
WalletConnect のリスクに関する 15 のよくある質問 (FAQ)
1. WalletConnect はダウンロードする必要があるウォレット アプリですか? いいえ、WalletConnect は通信プロトコルであり、アプリケーションではありません。 「公式 WalletConnect アプリ」を名乗る App Store/Google Play のアプリは、多くの場合、資産を盗むように設計された「ドレイナー」マルウェアです。
2.切断 (Disconnect) したのに、 ウォレットからお金が引き出されたままなのはなぜですか? 「切断」を押しても、通信セッションが終了するだけです。トークンの承認権限(認可)はブロックチェーン上にまだ存在します。攻撃者は、「取り消し」トランザクションを実行するまで、いつでもこの権限を使用して資金を引き出すことができます。
3. 「無制限のトークン承認」 はどのくらい危険ですか? これにより、スマート コントラクトがウォレットからほぼ無制限の量のトークン ($2^{256}-1$) を使用できるようになります。その契約がハッキングまたは詐欺的である場合、それ以上の注文に署名する必要がなくても、そのトークンは失われます。
4. WalletConnect 詐欺 DApp を特定するにはどうすればよいですか?
兆候に注意してください: URL が数文字ずれている、異常なトークン承認リクエスト (ミント NFT サイトの USDT など)、または急ぎの「無料エアドロップ」オファーの使用。
5. WalletConnect V3 のスマート セッションとは何ですか?これは、DApp に対して特定の支出ルール (金額や時間制限など) を設定できる機能です。 DApp は、ユーザーが許可した範囲内でのみトランザクションを実行できるため、DApp が攻撃された場合でも被害を最小限に抑えることができます。
6. WalletConnect を使用するときに、Web サイトにシード フレーズを入力する必要がありますか? 絶対にいいえ。主流の WalletConnect では、QR コードをスキャンするか、ウォレットでトランザクションに署名するだけで済みます。 12/24 の回復ワードを入力するというリクエストはすべて詐欺です。
7. 「ブラインド署名」とは何ですか? なぜ危険ですか? ブラインド署名は、ウォレットがスマート コントラクト データをデコードできず、意味のない 16 進コードのみが表示される場合に発生します。通常の取引を確認しているつもりで誤って「ドレイン」注文に署名してしまう可能性があります。
8. Rabby Wallet は WalletConnect のリスクからどのように保護しますか?Rabby は取引シミュレーション ツールを統合しており、署名する前に残高がどのように変化するか (例: -100 USDC、+0.1 ETH) を正確に表示します。また、悪意のある契約を扱っている場合にも警告します。
9.誤って詐欺の疑いのあるサイトにウォレットを接続してしまった場合はどうすればよいですか?今すぐ 3 つの手順を実行してください: 1. Revoke.cash にアクセスして、すべてのトークンの承認を取り消します。 2. ウォレット設定でセッションを切断します。 3. リスクが高いと思われる場合は、新しいウォレット アドレスに資産を移管します。
10. 「Verify API」はどのように私を保護しますか?
偽のサイトにいないことを確認するドメイン マッチと、ドメインが詐欺として報告されているかどうかを警告する詐欺チェックの 2 層のチェックを実行します。
11. NFT の承認 (setApprovalForAll) にはどのようなリスクがありますか?このコマンドは、特定のコレクションの NFT 全体を移動する権限を DApp に付与します。詐欺師は多くの場合、「Free Mint NFT」を装ってこの注文に署名させ、貴重な NFT を盗みます。
12. WalletConnect を使用しているときにハードウェア ウォレットが依然として引き出されるのはなぜですか? ハードウェア ウォレットは秘密キーの公開を防ぎますが、悪意のある者のトークン承認トランザクションに「手動で」署名することを防ぐことはできません。あなたが署名すると、攻撃者はチェーン上であなたの資金を奪う法的権利を持ちます。
13. 「Mestox Calculator」とは何ですか?
これは、2025 年の Google Play の有名な詐欺アプリケーションであり、WalletConnect になりすまして、ユーザーをだまして MS Drainer マルウェアを適切なアセットにインストールしてアクティブ化させます。
14.アクティブな承認のリストを確認するにはどうすればよいですか?
Revoke.cash、Etherscan のチェッカー、Rabby Wallet の組み込み承認管理機能などのツールを使用できます。
15. WalletConnect の WCT トークンの役割は何ですか?
WCT トークンは、プロトコル ガバナンス、ネットワークを保護するためのステーキング、およびシステムを運用するウォレット/ノード パートナーへの報酬として使用されます。
WalletConnect は危険ではありません。致命的な欠陥を生み出すのは、動作メカニズムの理解の欠如です。 2026 年の時代では、Tan Phat Digital のような専門家からのサポートを受けて、トークンの承認、ブラインド署名、高度なセキュリティ ツールの使用に関する知識を身に付けることが最強の盾となります。 Web3 におけるサイバーセキュリティは静的な状態ではなく、警戒と責任ある行動の継続的な行程です。
シェア
