2023年、オンチェーンのフィッシング詐欺による損失は12億ドルに達し、そのうち31%のケースは偽造QRコードを使用して実施されました。この厳しい状況に対抗するために、WalletConnectはユーザーの安全性を大幅に向上させることを目的とした包括的な保護戦略を導入しました。

まず、WalletConnectは厳格なドメインバインディングメカニズムを実装しています。DAppがプロジェクトを申請する際には、httpsのホワイトリストを提供する必要があります。財布がQRコードをスキャンする際に、URI内のリダイレクトフィールドが自動的に検証されます。ドメインがホワイトリストに含まれていない場合、システムは直ちに目立つ赤い警告を表示し、ユーザーにそのサイトが未確認であることを通知します。

次に、WalletConnectはリアルタイムで更新されるブラックリスト同期システムを構築しました。毎日、WalletConnect CloudはChainabuse、ScamSniffer、Metamask Phishing Detectorの3つの権威あるソースから最新のブラックリスト情報を自動的に取得し、15分以内に更新を世界中の400のリレー・ノードに同期します。フロントエンドで追加のコード操作は不要です。

第三に、WalletConnectは革新的なアイコンハッシュ検証メカニズムを導入しました。DAppがアイコンをアップロードすると、CloudサービスはユニークなSHA-256フィンガープリントを生成し、それをURIに埋め込みます。ウォレット側はこのフィンガープリントと実際にダウンロードしたアイコンの一致を比較し、ハッカーが「ラッピング」方式で合法的なサイトをクローンするのを効果的に防ぎます。

第四に、WalletConnectは一回限りのURI技術を採用しています。各QRコードのURIには8バイトのランダムなsymKeyが含まれており、5分後に自動的に無効になります。この対策により、ハッカーが長期間有効なフィッシングQRコードポスターを作成するのを効果的に防ぎます。

最後に、WalletConnectはユーザー教育の重要性を強化しました。ウォレットのインターフェースでは「ウェブサイトを確認してください」というメッセージが強制的に表示され、3秒のカウントダウンが設定されており、ユーザーはこの警告をスキップすることができません。実際のテストでは、このシンプルで効果的な対策がフィッシング攻撃の成功率を0.9%から0.12%に大幅に低下させることができることが示されました。

これらの多層防護策を通じて、WalletConnectはユーザーのセキュリティ意識を高めるだけでなく、全体のブロックチェーンエコシステムに対してより強固なセキュリティバリアを構築しました。これらの措置の普及と改善が進むにつれて、今後のオンチェーン取引の安全性が大幅に向上し、Web3の健全な発展に対してより堅固な基盤が築かれると信じる理由があります。