2023年、Chainalysisのデータによると、ハッカーは取引所とDeFiプロトコルを標的とした攻撃により17億米ドル以上の暗号資産を盗みました。これらの損失の大部分は、2段階認証の有効化、資金の自己管理ウォレットへの出金、主要なプラットフォームで無料で利用できるセキュリティ設定など、基本的なセキュリティレイヤーの有効化を怠ったユーザーに影響しました。問題になることは稀に 取引所自体です。ほとんどの場合、アカウントの開設や運用時にユーザーが行う(または行わない)決定の結果です。
簡潔な回答: 暗号資産取引所のセキュリティとは、不正なアクセスからあなたのアカウントと資金を保護するために設計されたメカニズムのセットを指します。資産を保護するには:(1) 認証アプリを通じて2段階認証を有効にし、決してSMSを使用しない;(2) 短期間で取引する予定がない場合は資金をコールドストレージに移す;(3) 出金アドレスのホワイトリストを設定する;(4) 固有のパスワードを使用し、ログイン前には常にドメインを確認する。
暗号資産取引所のセキュリティとは何か、なぜブラジルのトレーダーにとって重要なのか
暗号資産を取引所に預ける時、あなたは第三者に資産の管理を委託しています。預金保険制度が破産時の損失を部分的にカバーする従来の銀行とは異なり、ブラジルの暗号資産市場は取引所に保有される資金に対する同等の保護なしに運営されています。
取引所のセキュリティには2つの異なるレイヤーが含まれます:
プラットフォームセキュリティ - 取引所が処理する側:準備金コールドストレージ、独立監査、機関保険カバレッジ、緊急資金、インフラストラクチャアーキテクチャ。定期的に 準備金証明を公開するプラットフォームは、検証可能な透明性の追加レイヤーを提供します。
アカウントセキュリティ - あなたが個人的に制御するもの:2段階認証、パスワード、認証デバイス、出金ホワイトリスト、ログイン習慣。
最も成功した攻撃は第2のレイヤーを悪用します。フィッシング、SIMスワップ攻撃、認証情報の総当たり攻撃は、主要な取引所インフラストラクチャへの直接的な侵害よりもはるかに一般的な攻撃ベクターです。これを理解することで、アプローチが完全に変わります。プラットフォームが「すべてを処理する」ことを期待するトレーダーは、彼らが認識しているよりも多くのリスクにさらされていることがよくあります。
取引所での2段階認証の仕組み:タイプと保護レベル
2段階認証(2FA)は、パスワードを超えた第2の認証レイヤーを追加します。誰かがあなたのパスワードを取得したとしても、第2の認証要素なしにはアカウントにアクセスすることはできません。
ブラジルの取引所で利用可能な主要な3つのタイプがあります:
SMSベースの2段階認証
設定が最も簡単で、最も脆弱なオプションでもあります。認証コードが登録された携帯電話番号に送信されます。問題は、SIMスワップ攻撃により犯罪者が通信事業者を説得してあなたの番号を彼らの管理下にあるSIMカードに転送できることです。これが発生すると、彼らはあなたの認証コードを受信できます。
ブラジルのトレーダーにとって、これは特に関連性があります:GSMAの2022年レポートによると、ブラジルはSIMクローン詐欺の発生率が最も高い国の一つにランクされています。
認証アプリ2段階認証(TOTP)
Google Authenticator、Authy、Microsoft Authenticatorなどのアプリは、30秒ごとに更新される6桁のTOTP(Time-based One-Time Password)コードを生成します。これらのコードはデバイス上でローカルに生成されるため、通信事業者がプロセスに関与することはありません。これにより、SIMスワップ攻撃のベクターが効果的に排除されます。
これは、意味のある残高を持つアカウントに推奨される最低セキュリティ基準です。 BingXで2段階認証を有効にする段階的ガイドをご覧ください。
物理セキュリティキー(ハードウェアトークン / FIDO2)
出典:Yubico
YubiKeyやGoogle Titan Keyなどのデバイスは物理認証器として機能します。アクセスを確認するためにデバイスを接続またはタップする必要があります。これは現在利用可能な最高レベルの保護を表し、デバイスが応答する前にウェブサイトドメインを検証するため、リモートフィッシング攻撃に対してほぼ免疫があります。
ブラジルでこの方法を現在サポートしている取引所は限られていますが、普及は着実に増加しています。
取引所エクスポージャーレベルの計算方法
資産をどこに保存するかを決定する前に、簡単なエクスポージャー分析を実行する価値があります:
取引所エクスポージャー式:
エクスポージャー(%)=(取引所残高 / 総暗号資産保有額)× 100
実例:
あるトレーダーが取引所に50,000レアルの BTCを、自己管理ハードウェアウォレットに30,000レアルの ETHを保有しています。
エクスポージャー =(50,000 / 80,000)× 100 = 62.5%
これは、トレーダーの暗号資産ポートフォリオの62.5%が取引所のセキュリティに依存していることを意味します。アクティブな取引目的では、保有額の20%から30%を取引所に保持することが一般的に合理的です。単に資産を保有するだけでアクティブな取引を行わない投資家にとって、理想的なアプローチはプラットフォーム上の残高を可能な限り低く維持することです。
リスク参照表:
|
取引所エクスポージャー |
リスクプロファイル |
備考 |
|
20%まで |
低リスク |
長期保有者に理想的 |
|
20%から50% |
中程度のリスク |
アクティブトレーダーに適している |
|
50%から80% |
高リスク |
強力な2段階認証と出金ホワイトリストがある場合のみ正当化される |
|
80%以上 |
重大なリスク |
どのプロファイルでも推奨されない |
コールドストレージ vs ホットウォレット:それぞれを使用する場合
コールドストレージという用語は、暗号資産をオフラインで保存するあらゆる方法を指します。インターネットへの露出が低いほど、攻撃対象が小さくなります。
ホットウォレット
取引所または Web3ウォレットで保持される資金は、 MetaMaskやPhantomなどのブラウザに接続されたWeb3ウォレットのように、ホットウォレットと見なされます。即座にアクセスを提供し、頻繁なトレーダーには不可欠ですが、オンライン攻撃ベクターに継続的にさらされています。
コールドストレージ:主要な3つのオプション
ハードウェアウォレット - Ledger Nano X、Trezor Model T、Coldcardなどの物理デバイス。秘密鍵はデバイスから出ることはありません。取引に署名するには、ハードウェアウォレットを物理的に所有する必要があります。平均コスト:400から1,500レアル。選択する前に 市場で最高のハードウェアウォレットをご確認ください。
ペーパーウォレット - 紙に印刷された秘密鍵。機能的ではありますが、脆弱です:紙は劣化し、偶然に撮影され、盗まれたり、火災や水によって破壊されたりする可能性があります。主要な保存方法ではなく、二次的なバックアップとしてのみ意味があります。
エアギャップウォレット - インターネットに接続されたことのないコンピュータまたはデバイスで、ローカルにインストールされたウォレットソフトウェア。ハードウェアウォレットに匹敵するセキュリティレベルを提供しますが、操作の複雑さは大幅に増加します。
アクティブに取引しながら長期的な準備金を維持するブラジルのトレーダーにとって、最も実用的なワークフローは、週間の取引活動に必要な資本のみを取引所に保持し、残りをハードウェアウォレットに転送することです。戦略に最適なモデルを決定する前に、 管理型と非管理型ウォレットの違いを理解してください。
プラットフォーム別のセキュリティツール:詳細な比較
BingX
BingXプラットフォームは、ユーザーダッシュボードから直接アクセスできる強固なセキュリティ制御セットを提供します。認証アプリベースの2段階認証は、特定の閾値を超える出金に対して必須であり、注意の浅いユーザーにも最低限のセキュリティレイヤーを強制します。
プラットフォームは出金アドレスホワイトリストを提供し、事前承認されていないアドレスへの出金をブロックします。これは、アカウントが侵害された場合でも機能します。新しいアドレスを追加した後のクールダウン期間(通常24時間)は、疑わしい活動が検出された場合にユーザーがアクションをキャンセルするための応答ウィンドウを作成します。
BingXのアンチフィッシングシステムでは、ユーザーがすべての公式プラットフォームメールに表示される個人コードを設定できます。このコードのないメールは偽物です。大量のメールを受信するトレーダーにとって、この機能はフィッシング攻撃を識別するのに特に効果的です。
BingXはまた、IP、地理的位置、デバイス情報を含む詳細なログイン履歴と、任意のログインまたは出金活動に対するメールとアプリ経由のリアルタイム通知を提供します。プラットフォームの保護ファンドは特定のセキュリティ関連インシデントをカバーし、取引所は100%カバレッジで月次 準備金証明を公開しています。
出金については、BingXは認証ベースの2段階認証、メール確認、場合によってはモバイル生体認証をサポートしています。
Binance
Binanceは認証ベースの2段階認証、物理セキュリティキー(YubiKey)、出金アドレスホワイトリストシステムをサポートしています。
Coinbase
認証ベースの2段階認証と物理セキュリティキーをサポートしています。歴史的な弱点は、アカウント侵害の場合のカスタマーサポートです。米国外のユーザーにとって、回復プロセスが遅い場合があります。
Bybit
他の主要取引所と同様のセキュリティフレームワークを提供:認証ベースの2段階認証、出金ホワイトリスト、アンチフィッシングコード、デバイス管理制御。
出金ホワイトリスト:最も過小評価されているセキュリティ機能
取引所で利用可能なすべてのセキュリティ設定の中で、出金アドレスホワイトリストは最も低い設定労力で最高の追加保護を提供します。
そのメカニズムは簡単です:出金が許可されたウォレットアドレスを登録します。リストにないアドレスへの出金試行は、攻撃者があなたのパスワードと2段階認証コードを持っていても自動的にブロックされます。
これは一般的な攻撃シナリオを軽減します:フィッシングによりアカウントが侵害されたユーザーでも、宛先アドレスが承認されていないため、攻撃者は依然として資金を出金できません。
BingXでは、ホワイトリストを設定でき、各新アドレス追加後にクールダウン期間があり、不正アクセスの場合の追加キャンセルウィンドウを作成します。 USDTや他の高価値資産について、大きな預金を行う前にこれを設定することは、利用可能な最高のセキュリティ慣行の一つです。
取引所でフィッシングを識別する方法:実用的なチェックリスト
フィッシングは取引所アカウント侵害の主要な原因です。これらの攻撃は、認証情報を盗むために公式プラットフォーム通信を模倣します。
任意のページでパスワードまたは2段階認証コードを入力する前に、確認してください:
- ドメインが正確に公式のものである(例:bingx.com、bingx-login.comやbingX.comではない)
- SSL証明書がアクティブである(アドレスバーの南京錠アイコン)
- メールに設定されたアンチフィッシングコードが含まれている
- URLに疑わしいサブドメインが含まれていない
- Google広告経由でページにたどり着いていない(一般的な攻撃ベクター)
「緊急にアカウントを確認する」または「疑わしい活動を確認する」ように直接リンク付きでメールを受信した場合、クリックしないでください。常にブラウザに公式URLを手動で入力して取引所にアクセスしてください。
段階的設定:BingXアカウントのセキュリティ確保
- アカウントダッシュボードのセキュリティ設定セクションに移動
- Google AuthenticatorまたはAuthyを介して2段階認証を有効にし、QRコードをスキャンして、バックアップコードをオフラインで安全に保存
- 出金アドレス管理に移動し、管理するアドレスのみを追加
- アンチフィッシングコードを有効にする:正当なメールで認識する文字と数字の組み合わせを選択
- 認証デバイスを確認し、認識できないものを削除
- メールとモバイルアプリ経由でログインと出金通知を有効にする
このプロセスには15分もかからず、アカウント侵害のリスクを大幅に削減します。まだ本人確認を完了していない場合は、利用可能なすべてのセキュリティ機能のロックを解除するために BingXでKYCを完了してください。
FAQ:暗号資産取引所のセキュリティ
1. 2段階認証とは何ですか?なぜ暗号資産取引所で有効にすべきなのですか?
2段階認証(2FA)は、パスワードを超えた追加の確認レイヤーです。誰かがあなたのパスワードを取得したとしても、認証アプリによって生成される一時的なコードなしにはアカウントにアクセスできません。アプリベースの2段階認証を有効にすることは、簡単さと保護の観点で最も効果的なセキュリティ対策の一つです。
2. 暗号資産投資家にとってコールドストレージは必須ですか?
いいえ、しかし即座の取引アクセスを必要としない重要な金額を保有するユーザーには強く推奨されます。アクティブに取引されない10,000レアル以上の暗号資産保有については、 ハードウェアウォレットにより取引所からの管理リスクが排除されます。
3. SMSまたは認証アプリ:どちらの2段階認証がより安全ですか?
常に認証アプリを優先してください。SMSベースの2段階認証は、犯罪者が通信事業者を騙してあなたの番号を彼らの管理下にあるSIMカードに転送するSIMスワップ攻撃に脆弱です。ブラジルはこの種の詐欺の発生率が高い国です。
4. 認証アプリの入った電話を紛失したらどうなりますか?
だからこそ2段階認証を有効にする前に、バックアップコード(認証シード)をオフラインで安全に保存することが重要です。このコードがあれば、新しいデバイスで認証を復元できます。これなしでは、取引所を通じたアカウントの回復に数日かかり、書類が必要になる場合があります。
5. 大手取引所は小規模取引所よりも安全ですか?
インフラストラクチャの観点では一般的にそうです。大手取引所は通常、監査、保険、緊急資金により多くのリソースを持っています。ただし、アカウントのセキュリティは主にプラットフォームのサイズに関係なく、あなた自身の設定に依存します。取引所が 準備金証明を公開し、ブラジルで規制された VASP基準に従っているかどうか常に確認してください。
6. 暗号資産を長期間取引所に保有するリスクは何ですか?
主なリスクは取引所の破綻ではなく、フィッシングや認証情報の漏洩によるアカウント侵害です。長期的な保有については、コールドストレージを使用し、アクティブな取引のみのために取引所を維持することが最善です。必要な時に法定通貨に変換するために BingX P2P市場を使用し、プラットフォーム上の残高を最小限に保つことができます。
7. 出金ホワイトリストはアカウントがハッキングされても保護してくれますか?
はい。完全なアカウントアクセスがあっても、攻撃者はホワイトリストにないアドレスに資金を出金することはできません。これは暗号資産トレーダーの間で最も効果的でありながら十分に活用されていないセキュリティ機能の一つです。
8. 保護ファンドとは何ですか?
サーバーハッキングなどプラットフォームレベルのセキュリティインシデントの場合にユーザーの損失をカバーするために取引所が維持する準備金です。個別アカウント侵害(フィッシング、SIMスワップ)による損失はカバーせず、これらはユーザーの責任のままです。BingXは保護ファンドを維持し、月次 準備金証明レポートも公開しています。
要約:アカウントを保護するために今日すべきこと
- 使用するすべての取引所で アプリベースの2段階認証(SMSではない)を有効にする
- 出金アドレスホワイトリストを直ちに設定する
- メール用のアンチフィッシングコードを有効にする
- 取引所での暗号資産エクスポージャーを計算し、リスクプロファイルと一致しているかを評価する
- アクティブな取引ニーズのない10,000レアル以上の暗号資産を保有している場合は、 ハードウェアウォレットを検討する
- 認証バックアップコードを物理的に安全な場所に保存し、決して電話の写真やメールファイルとして保存しない
- 認証デバイスとアクティブセッションを月次で確認する。取引ポジションだけでなく、運用ルーティンの一部として適切な リスク管理を使用する