暗号資産決済にはチャージバックも、間違いを取り消せるサポート窓口もありません。だからセキュリティは前段に集中します:送信前に正しく行うか、そもそも正しく行えないかのどちらかです。幸い、リスクはよく知られ、防御は単純な習慣です。
カストディ:誰が鍵を持つか
全てのセキュリティ判断はカストディから始まります。提供者が鍵を持つなら、リスクは彼らのセキュリティと支払能力、自分が鍵を持つなら、リスクは自分のバックアップと規律です。どちらも自動的に安全ではなく — リスクを別の場所に移すだけです。
カストディを金額と用途に合わせましょう。少額の運用残高は利便のため評判の良いカストディ型ウォレットで構いませんが、大きな保有は自己保管 — 理想的にはハードウェアウォレット — に置き、リカバリーフレーズはカメラやクラウドが見たことのないオフラインに保管します。
インボイス・決済ページ詐欺
よくある攻撃は、被害者がまさに支払おうとするページやメッセージの決済アドレスを差し替えるものです。正当なインボイスを支払っていると思っても、アドレスは攻撃者のものです。決済は最終的なので、確認された瞬間にお金は消えます。
重要な金額は第2のチャネルで送信先を検証して防ぎましょう:受取人に直接アドレスを確認し、チャットに貼られたアドレスではなく署名済みまたはゲートウェイがホストするインボイスを使い、土壇場の「決済情報更新」メッセージを疑いましょう。
アドレス衛生
アドレスを決して手入力せず、クリップボードを盲信しないこと — クリップボード乗っ取りマルウェアがコピーした暗号資産アドレスを静かに攻撃者のものに置き換えます。常に貼り付けた後、先頭と末尾の数文字を元と照合し、本物のインボイスのQRコードをスキャンする方を選びましょう。
アドレスポイズニングに警戒しましょう。攻撃者があなたが使うアドレスに似たアドレスからごく小さな取引を送り、後であなたが履歴からそれをコピーするのを狙います。アドレスは常に本物の元からのみコピーし、取引一覧からは決してコピーしないこと。
- 手入力ではなく貼り付け;先頭と末尾の文字を検証。
- 貼り付けたアドレスよりQRコードとゲートウェイのインボイスを優先。
- ガスのため決済が急かされないよう少額のネイティブコインを保有。
- 大きなまたは初回の決済は先にごく小さなテスト送金を実施。
アドレスだけでなくネットワークも確認
正しいアドレスでも間違ったネットワークだと資金が動かなくなり得ます。送信前に、コインとチェーンが受取人の期待と一致するか確認しましょう — 正しく見えるアドレスへERC-20トークンを間違ったチェーンで送るのは、よくある痛い損失です。
ゲートウェイは正確なコイン・ネットワーク・金額を示し、インボイスごとに新しいアドレスを生成してこのリスクを減らします。裸のアドレスではなくきちんとしたチェックアウトを使うこと自体がセキュリティ対策です。
返金と紛争を安全に処理する
チャージバックがないので返金は自分が開始する手動送金であり、それは返金要求もソーシャルエンジニアリングの表面であることを意味します。返金前に元の決済をトランザクションハッシュで検証し、本物の顧客と確認したアドレスにのみ送りましょう。
事業者はスタッフが圧力下で即興対応しないよう、これらの手順を方針に明文化しましょう。暗号資産決済の損失の大半は奇抜なハッキングではなく、チェックリストが捕まえたはずの普通の間違いと操作です。
よくある質問
間違えたら暗号資産決済を取り消せますか?
いいえ。オンチェーン決済は最終的でチャージバックはありません。だから送信前の検証 — 正しいアドレス、正しいネットワーク、正しい金額 — がセキュリティモデルの全てです。
クリップボード乗っ取りとは何で、どう避けますか?
コピーした暗号資産アドレスを静かに攻撃者のものに置き換えるマルウェアです。貼り付けた後に先頭と末尾の文字を元と照合し、QRコードを優先し、端末を清潔に保って避けましょう。
カストディ型と自己保管型のどちらを使うべきですか?
金額に合わせましょう。評判の良いカストディ型ウォレットは少額の運用残高に便利で、大きな保有はハードウェアウォレットとオフラインのリカバリーフレーズを備えた自己保管に置くべきです。
暗号資産決済を安全に返金するには?
元の決済をトランザクションハッシュで検証し、本物の顧客と直接返金アドレスを確認し、資金の入ったウォレットから送ります。検証できない後続メッセージだけで提供されたアドレスへは決して返金しないこと。