WalletConnectは、デジタル資産を保護するために強力なセキュリティを使用します。

@WalletConnectは、ウォレットとdAppsの間のブリッジ以上のものです。資産、キー、プライバシーを保護するために設計された複数のセキュリティ層で構築されています。ここでは、Web3の一般的な脅威からユーザーを守るための重要なセキュリティメカニズムと機能を紹介します。

第一に、プライベートキーは決してあなたのウォレットを離れません。WalletConnectは、秘密の保存ではなく、通信のためのプロトコルです。あなたのウォレットをdAppに接続すると、dAppは取引リクエストを送信しますが、署名はウォレット内でローカルに行われます。つまり、dAppはあなたが何をしたいのかを見ることができますが、あなたのプライベートキーやシードフレーズにアクセスすることは決してありません。

ウォレットとdApp間の通信はエンドツーエンドで暗号化されています。WalletConnectは強力な暗号プロトコルを使用しているため、輸送中のデータ(セッションデータ、署名リクエスト、メタデータ)は中間者や可能な盗聴者にさらされることはありません。例えば、暗号化/認証は、Diffie-Hellman方式で生成された対称および非対称鍵ペアを使用して行われます(x25519)、ペイロードの認証済み暗号化(AES-256-CBC + HMAC-SHA256)、そしてアイデンティティ/認証鍵(Ed25519などを使用します)。

もう一つの強力なガードは、アイデンティティキーシステムです。各ウォレットアカウント ( または各デバイス ) は、それぞれのアイデンティティキーを持っています。ユーザーは、自分のブロックチェーンアカウントのメインキーでメッセージ (CAIP-122) に署名することで、そのアイデンティティキーを承認します。時間が経つにつれ、これによりプロトコルはメインキーを常に要求することなく、メッセージやセッションを検証できるようになります。これにより、露出が減少し、デバイスの分離が助けられ、dApp やクライアントが主張することが本当にあなたであることが保証されます。

フィッシング、なりすましサイト、または誤解を招くドメイン名に対抗するために、WalletConnectはVerify APIを開発しました。これにより、ウォレットアプリはdApp接続リクエストのドメインを信頼できる検証済みのドメインのレジストリと照合できます。ドメインが疑わしい場合や、dAppが主張するものと一致しない場合、ウォレットは警告を発することができます。これにより、悪意のある偽者に誤って接続してしまうのを防ぐことができます。

各重要なステップでのユーザーの同意は中心的なテーマです。接続が確立された後でも、WalletConnectを通じて開始されたすべての取引やアクションは、ウォレットで手動で承認する必要があります。金額、ターゲットアドレス、取引の詳細が表示され、明示的にそれらを受け入れる必要があります。この手動確認により、意図しないことを誤って承認することがないようにします。

WalletConnectは、強力なキー管理も利用しています：(認証キー、アイデンティティキー、暗号化キー対)など、さまざまな種類のキーが使用されています。一部のキーは(アイデンティティ/認証)のために保持され、他は(メッセージ暗号化)のために一時的です。この関心の分離により、たとえ1つのコンポーネントやデバイスが侵害されても、損害の範囲は制限されます。

さらに、WalletConnectのライブラリは、安全なコンテンツおよびネットワークポリシーを採用しています。たとえば、コンテンツセキュリティポリシー(CSPs)に関するガイドラインを提供し、スクリプト、画像、または接続がどこから来るかを制限しています。また、エンドポイントが容易に偽造されたり攻撃されたりしないように、TLS / WebSocketセキュリティ(を使用した安全なリレーサーバー)の使用を義務付けています。

要約すると、WalletConnectは、暗号設計(キー、暗号化、アイデンティティ)、実行可能なユーザー同意、フィッシング対策のためのドメイン検証、そして安全な通信チャネルの組み合わせを通じて資産を保護します。プライベートキーを保持せず、ユーザーがコントロールを保持することを保証するため、リスクはユーザーのデバイスセキュリティとdAppの慎重な使用にシフトします。安全なウォレットを使用し、ドメインを確認し、常に手動で取引を承認すれば、WalletConnectは多くの一般的なWeb3の脅威に対して強力な防御を提供します。 $WCT #ウォレットコネクト