今日はハードウェアウォレット(HWW)各社による製品改善や囲い込み目的の工夫が将来的に共通規格を廃れさせて行くのではないか?という話をします。
先週は他のHWWとはかなり違う、特殊な作りをしているTapsignerについて記事を書きましたし、今年のはじめにはTrezorが開発した20単語の独自シードフレーズ規格:SLIP39も取り上げました。
画面もなく、バックアップも単語型ではないカード型HWW:Tapsignerのクセはセキュリティ対策だった
ハードウェアウォレット(HWW))を選ぶ際の注意点として、ハードウェアウォレット自体に画面がついているものを選ぶというのがあります。ハードウェアウォレット側で実際に署名するトランザクションの内容を確認することで、スマホやPCに表示されているトランザクションとは別の、悪意のあるトランザクションに署名することを防げるためです。 2月に起きたBybitのコールドウォレットからの流出も、トランザクションの内容をHWW側で確かめることができなかったのが直接的な原因の1つとなっています。 不正なトランザクションに署名させる攻撃の手法と対策今週、Bybitが史上最大となる2000億円規模のハッキングを受けたことが話題になりました。これを受けてBybitでは大規模な引き出しラッシュが起こったことからも、この事件をきっかけに取引所に預けている姿勢を見直したユーザーもかなり多かったのではないでしょうか。 喉元すぎれば暑さ忘れる、というようにほとぼりが冷めたら再入金するユーザーもけっこういるのかもしれませんが。 今回の事件で特徴的だったことの1つは攻撃手法が割とすぐに明らかになったことでした。昨年5月末
加藤 規新
20単語のシードフレーズ?Trezor社が採用するBIP39ならぬSLIP39とは
最近新しいTrezorハードウェアウォレットに触れる機会があり、驚いたことがありました。初回セットアップでシードフレーズを生成するとき、既定の設定が12単語でも24単語でもなく、20単語のシードフレーズだったのです。 読者の皆さんもおなじみのシードフレーズは、一般的には12単語もしくは24単語、そして選択肢として存在するものの実際に選んでいる人を全く見ない15/18/21単語という選択肢があります。これはエントロピーを生成してシードフレーズへと変換するBIP-39という規格に沿ったものですが、近年TrezorはSLIP-39という別の規格を推進しているようです。 BIP39の2048単語からなるワードリストはこちら。英語以外の表記も存在しますが、対応ウォレットが非常に少ないのでおすすめしません。また、SLIP39ではこのワードリストとは異なる、1024単語からなるワードリストを使用します。 単語数やワードリストの違いからもわかるようにBIP-39とSLIP-39に互換性はありません。今日はそんなSLIP-39について軽く調べてみました。 ・Trezorはシャミア秘密分散法を使用
加藤 規新
このように直近で改めていろんなHWWに触れる機会があり感じていたことですが、HWW業界には明らかなトレンドを感じます:製品改善のために様々な工夫が行われた結果、異なるハードウェアウォレット間のユーザー体験の異質性が高まっているのです。
数年前までと違い、12/24単語のシードフレーズを作成し、ローカルなPINコードで保護し、好きなPCやスマホ内のウォレットと接続して、あるいは、エアギャップで使う、という形を取らないウォレットが増えてきました。
セットアップのために抱き合わせの自社ウォレットソフトを使わせたり、シードフレーズの規格を替えたり、PINコードの仕組みを複雑化したりするなど、各社様々な工夫をしていて、特に昔からHWWを使い慣れているほど新しいHWWの取り扱いに戸惑うという状況になっています。例えば、WindowsユーザーがMacに戸惑い、iPhoneユーザーがAndroidに戸惑うのに近い雰囲気です。
このようなHWWの進化がトータルで見てユーザーを利するものか否かは判断が難しいところですが、今日はこのHWW業界のトレンドについていくつか例を挙げ、どちらかというと悪影響のほうに光を当てていきます。
・例:コンパニオンアプリへの依存
・例:マルチシグの強要
・比較的使いやすさを保っているウォレットは?
・初心者にはどちらを勧めたらいいのか