08/16/2021 | ボールト
Ledger Swapを使用すると、LedgerLiveで簡単かつ安全にコインを交換できます。 コインの交換は、トランザクションを送信するのと同じくらい簡単です。 最先端のセキュリティを強化しながら、アドレスの検証は必要ありません。
Ledgerスワップは、LedgerLiveとLedgerハードウェアウォレットに組み込まれているエンドツーエンドのセキュリティの力を示しています。
スワップとは?
スワップにより、ユーザーはある暗号資産を別の暗号資産にすばやく交換できます。 最初に資金を取引所に移動してから、サポートされているペアで資産を取引する必要はありません。
代わりに、スワップを使用して、交換したい暗号資産をXNUMXつのトランザクションで送信し、その後、別のトランザクションを受け取ります。 これはすべて、ウォレットから直接単一のスワップトランザクションを送信することによって発生します。
スワップはどのように機能しますか?
一般的な原則は非常に単純です。 スワップをサービスとして提供するサードパーティがあります。 ユーザーがBTCをETHに交換したい場合、サードパーティは手数料を含むその交換のレートを提供します。 たとえば、0.05BTCを0.14ETHに交換することを提案する場合があります。
オファーを受け入れるには、ユーザーはETHを受信するアドレスを提供し、スワッププロバイダーによって提供されたアドレスに0.05BTCを送信する必要があります。
セキュリティ分析
ユーザーの観点からは、スワップは次のもので構成されます。
- 発信トランザクションへの署名(BTCの送信)
- 受信アドレスの提供(受信ETH)
ほとんどのハードウェアウォレットユーザーは、これらXNUMXつの操作が機密性が高いことを知っています。 最適なレベルのセキュリティを確保するには、基本的なチェックが必要です。
- スワップトランザクションを検証する前に、デバイスでスワッププロバイダーアドレスを確認する必要があります。 実際、ウォレットインターフェイス(コンピューター、スマートフォン)に表示される情報は信頼されるべきではありません。
- プロバイダーが交換したコインを送信するユーザーのアドレスは、共有する前にデバイスで確認する必要があります。
BTCをETHと交換する際の主な問題は、アドレスがウォレットインターフェイス(Ledger Liveなど)によってフェッチされることです。 したがって、このウォレットが侵害された場合、攻撃者はアドレスのXNUMXつを自分のアドレスに置き換える可能性があります。
ユーザーのアドレスはLedgerLiveによってスワッププロバイダーに自動的に送信されるため、ユーザーはハードウェアウォレットのアドレスを確認する手段がありません。 対策がなければ、ユーザーは悪意のあるアドレスの置き換えから保護する方法がありません。
この問題は、ハードウェアであるかどうかに関係なく、すべてのウォレットに共通しています。 どうすれば安全かつユーザーフレンドリーな方法でアドレスを交換できますか?
この問題を解決するために、エンドツーエンドのセキュリティを備えた世界初のスワップ統合を開発しました。
エンドツーエンドのセキュリティと交換
全体的なメカニズムは非常に単純で、次の手順で説明します。
1-スワップ操作は、スワッププロバイダーAPIと通信して為替レートを取得するLedgerLiveによって開始されます。 「0.005BTCのETHはいくらですか?」
2-スワッププロバイダーはスワップオファーで答えます:「0.14BTCに対して0.005ETH」。 その後、ユーザーはオファーを受け入れて、スワップの確認を続けることができます。
3-Exchangeアプリをデバイスで開く必要があります。 ここで、トランザクションの安全な部分が発生します。SecureElementは、トランザクションIDを生成し、スワップ要求情報を実行するために必要な情報とともに、トランザクションIDをスワッププロバイダーに送信します。
outgoing currency,outgoing amount,provider addressreceiving currency,receiving addressこの情報はLedgerLiveに送信され、LedgerLiveはそれをスワッププロバイダーに転送します。
4-プロバイダーはスワップオファーで応答します。 スワップの最終情報を含むペイロードを構築します。
Outgoing crypto,outgoing amount,provider address(BTC)receiving crypto,receiving amount,user address(ETH)Transaction IDSignatureこのペイロードの
プロバイダーはこれを送り返します signed payload Ledger Liveに転送され、LedgerLiveはそれをハードウェアウォレットに転送します。
5-受け取った後 signed payload、Secure Element内で実行されているExchangeアプリは、 signature プロバイダーのを使用したペイロードの public key と transaction ID。 この public key は元帳によって認定されており、この証明書がExchangeアプリに保存されていることを確認するための公開鍵があります。
- 署名は、ペイロードがプロバイダーによって実際に送信されたことを保証します(否認防止の原則)。
-
transaction IDリプレイ攻撃を回避します
6- Exchangeアプリは、ユーザーがスワップトランザクションの金額を検証できるように、スワップトランザクションの金額を表示します。 バックグラウンドで、アプリケーションはユーザーのイーサリアムとビットコインのアドレスが実際にデバイスによって管理されていることを自動的に確認するため、ユーザーはそれらを手動で確認する必要はありません。 プロバイダーの暗号署名のおかげで、プロバイダーのアドレスは信頼されています。
7-最後に、スワップ操作を実行できるようになりました。 Exchangeアプリは、ビットコインアプリを呼び出して、トランザクションの署名を計算し、それを返します。
8-スワッププロバイダーがBTCを受信すると、ETHを送り返し、すべての操作の詳細がLedgerLiveに表示されます。
そして、ボイラ、あなたはちょうどスワップを実行しました しっかりと!
まとめ
Ledger Liveのスワップ操作にエンドツーエンドのセキュリティを実装すると同時に、ユーザーエクスペリエンスを向上させる方法を示しました。
- ユーザーがアドレスを確認する必要がないため、セキュリティとユーザーエクスペリエンスが大幅に改善されています。
- 今日の設定では、送信アカウントと受信アカウントの両方が同じ回復フレーズでバックアップされている場合にのみ、ユーザーは暗号を交換できます。
- この目標を達成したので、将来的に分散型スワップを保護することを検討します。
- 私たちの仕事で他の財布に刺激を与え、一緒にセキュリティと使いやすさの基準を引き上げることができることを願っています。
出典:https://www.ledger.com/raising-the-bar-for-security-with-ledger-swap
