2026年のベストEVMブラウザウォレット: MetaMask vs Rabby vs Rainbow vs OneKey vs Frame — ユースケース別の正直な比較
Table of Contents
2026年にイーサリアムまたはEVM互換チェーンを使ったことがあるなら、ほぼ確実にMetaMaskのポップアップをクリックした経験があるはずです。MetaMaskは月間アクティブユーザーが約3,000万人と報告しており、Web3への単一最大の入口です。しかし、そのポップアップをオンチェーン世界の3分の1に届けることには代償があります。フィッシングと承認ドレイナー攻撃はセルフカストディユーザーにとって最大の盗難経路となり、Chrome拡張機能の表面そのものも、2025-12-24に悪意あるTrust Walletアップデートv2.68が48時間以内に2,520のウォレットアドレスから850万ドルを流出させた事件で侵害されました。
教訓は「ブラウザウォレットが安全ではない」ということではありません。ブラウザウォレットは必要不可欠です。地球上のすべてのdAppは、注入されたEIP-1193プロバイダーを期待しています。教訓は、どのブラウザウォレットを選び、それをdAppにどう接続するかが、次のサプライチェーン攻撃を生き延びられるかどうかを決めるということです。本ガイドでは、2026年に重要な5つのEVMブラウザウォレット(MetaMask、Rabby、Rainbow、OneKey、Frame)を、セキュリティ、UX、チェーン対応範囲、ハードウェア統合、手数料の透明性の観点で比較します。最後に10分で完了する5ステップの署名前ワークフローを紹介し、これがあればTrust Walletドレイナー被害者の100%が攻撃を阻止できたことを示します。
EVMブラウザ拡張ウォレットとは何か?
EVMウォレットとは、イーサリアム互換のブロックチェーン(イーサリアムメインネット、Base、Arbitrum、Optimism、Polygon、BNB Chain、Avalancheなど100以上)の秘密鍵を保管するアプリケーションのことです。EVMは「Ethereum Virtual Machine(イーサリアム仮想マシン)」の略で、これらのチェーンが共有するバイトコード環境です。イーサリアムで動くウォレットは、ワンクリックですべてのEVMチェーンで動作します。
ブラウザ拡張機能型ウォレットは、Chrome、Firefox、Brave、Edgeに拡張機能としてインストールされ、window.ethereumオブジェクトを公開してdAppが署名を要求できるようにする、そのサブセットです。これがDeFiを動かすフォームファクターです。Uniswap、Aave、または任意の分散型取引所が「Connect Wallet(ウォレット接続)」ボタンを表示するとき、注入されたプロバイダーに前へ進むよう求めているのです。
ブラウザ拡張機能だけがEVM dAppとやり取りする方法ではありません。Trust WalletやCoinbase Walletなどのモバイルウォレットは内蔵ブラウザを経由します。Frameのようなデスクトップウォレットは、ブラウザ外からOSレベルで注入します。ハードウェアウォレット(Trezor、Ledger、OneKey Pro)は、ブリッジとして機能するブラウザ拡張機能を通して署名します。本ガイドでは、「ブラウザウォレット」とはブラウザ内に存在し、EVM dAppのトランザクションに署名するソフトウェアを指します。
2026年に注目すべき5つのEVMブラウザウォレット
30以上の拡張機能から5つに絞り込みました。除外理由は、ブラウザ拡張機能が後付けのモバイル優先ウォレット(Trust Wallet、Coinbase Wallet)、後にEVMを追加したSolana優先ウォレット(Phantom、Backpack)、デプロイ手数料が必要なエンタープライズ級のスマートコントラクトウォレット(Safe単体 — EX-6: ホット vs コールド vs マルチシグで扱う)、そして2026年に活発なメンテナンスがされていないウォレットです。
| ウォレット | 形態 | ソース公開状況 | 独自機能 | 適したユーザー |
|---|---|---|---|---|
| MetaMask | ブラウザ拡張機能 + モバイル | 段階的プロプライエタリ(2020年8月以降) | 普遍的なdApp互換性 | 初心者(フィッシング訓練付き) |
| Rabby | ブラウザ拡張機能 + モバイル + デスクトップ | 完全オープンソース(RabbyHub/Rabby) | 署名前のトランザクションシミュレーション | DeFiパワーユーザー |
| Rainbow | ブラウザ拡張機能 + iOS + Android | 完全オープンソース(rainbow-me/rainbow) | ネイティブENS、洗練されたUX | イーサリアムネイティブユーザー |
| OneKey | 拡張機能 + モバイル + 自社ハードウェア | O-SSLライセンスによるオープンソース | ソフトウェア ↔ ハードウェアを単一スタックで | ハードウェア統合を重視するユーザー |
| Frame | デスクトップOSレベルアプリ(拡張機能ではない) | 完全オープンソース(floating/frame)、Cure53およびDoyensec監査済み | ブラウザ拡張機能の攻撃面なし | フィッシングを極度に警戒するユーザー |
MetaMask — 3,000万ユーザーのデフォルト(とその隠れたコスト)
MetaMaskはすでにご存じのウォレットです。ConsenSysがリリースしており、すべてのdAppが接続モーダルで最初にMetaMaskを表示し、月間アクティブユーザーは約3,000万人がMetaMaskを経由しています。Uniswapでトークンをスワップしたり、NFTをミントしたりする初心者にとって、MetaMaskは最も抵抗の少ない経路です。
同時にMetaMaskは地球上で最も魅力的な攻撃対象でもあります。MetaMaskフィッシングキットはTelegramで200ドル未満で売られており、偽のMetaMask Chrome拡張機能は2024年第3四半期にも、削除されるまでに数十万のインストールを獲得してChrome ウェブストアに登場しました。
MetaMaskについて広く誤解されており、訂正する価値のある2つの事実:
- MetaMaskは厳密にはオープンソースではありません。 プロジェクトは2020年8月にMITライセンスから段階的プロプライエタリライセンスへ移行しました。コードは公開されており監査可能ですが、月間アクティブユーザー10,000人を超える商用再利用にはエンタープライズ契約が必要です。正確な用語はソース公開(source-available)です。
- ハードウェアウォレットのシードフレーズをMetaMaskにインポートしてはいけません。 MetaMaskはUSB経由でTrezorに、USBまたはBluetooth経由でLedgerに接続します。デバイスが署名し、MetaMaskはリクエストを転送するだけです。ハードウェアシードをMetaMaskにインポートすることは、ハードウェアが存在する理由そのものを台無しにします。(はい、24単語をMetaMaskに入力する技術的選択肢は存在します。やめてください。)
MetaMask Swapは、ネットワークガス代とDEXルーター手数料に加えて0.875%のサービス手数料を課金します。10,000ドルの取引では87.50ドル、多くのユーザーにとってガス代そのものより高額です。パワーユーザーはMetaMask Swapを無効にして、1inch、Cowswap、またはUniswapに直接ルーティングします。Pectraアップグレード(2025-05-07)以降、MetaMaskはEOA向けのEIP-7702アカウント抽象化をサポートし、通常のアドレスで一時的なスマートコントラクト動作を可能にしています。これはバッチトランザクションや手数料スポンサーシップに有用です。
Rabby — DeFiパワーユーザーの選択肢
RabbyはDeBankチームが構築しており、これはEVMチェーン向けの最大のポートフォリオトラッカーを運営する同じグループです。その血統が現れています。Rabbyは2026年時点で141のEVMチェーンとテストネットをサポートし、競合のどれよりも多く、他の主要なブラウザウォレットには見られない3つの機能を備えています:
- トランザクションシミュレーション。署名前に、Rabbyはフォークされた状態でコントラクトを呼び出し、資産の差分を表示します:「+ 0.5 ETH、− 1,200 USDC、− 0xabcへの承認…」。悪意あるdAppがUSDCをドレインしようとした最初の瞬間、Rabbyは正規UIには表示されない9,800ドルの流出を表示します。既知の承認ドレイナーコントラクトパターンに対してRabbyをテストしたところ、フィッシングUIが無料ミントとして表示していた悪意ある無制限承認をシミュレーションが浮き彫りにしました。署名コミット前に攻撃を捕捉できる単一のポップアップでした。
- GasAccount。USDTまたはUSDCで残高を事前にチャージしておくと、Rabbyはあらゆるネットワーク間でガス代の支払いに使用します。「Arbitrumに0.001 ETHしかなくて動けない」状態がなくなります。GasAccountはセキュリティ機能ではなくUX機能ですが、新規ユーザーがDeFiを諦める最も一般的な理由を取り除きます。
- フィッシングサイト検出。 Rabbyはキュレーションされた許可リストと未知サイトのヒューリスティックを維持し、コミット前にタイポスクワットされたURLからの署名にフラグを立てます。
RabbyはGitHubで完全にオープンソース(RabbyHub/Rabby)で、Rabby Mobileは2024年10月に別途オープンソース化されました。ブラウザ拡張機能、モバイルアプリ、デスクトップアプリは同じセキュリティモデルとチェーンサポートを共有しています。週に5時間以上DeFiに費やすなら、Rabbyのトランザクションシミュレーションだけで切り替えを正当化できます。
Rainbow — イーサリアムネイティブUXのチャンピオン
Rainbowは2019年にNFT愛好家向けのiOS専用イーサリアムウォレットとしてスタートし、数年後にブラウザ拡張機能をリリース、その後Androidアプリを重ね、2026-02-05にネイティブトークンRNBWを初期ユーザー向けのポイントからトークンへの変換とともに開始しました。
Rainbowが正しくやっているのはデザインの規律です。ENS名がファーストクラス扱いです。0xd8dA...の代わりにvitalik.ethと入力でき、プロフィール写真とプライマリ名がどこにでも表示されます。トークン承認は人間が読める量で表示されます(「10000000を承認」ではなく「10 USDCを承認」)。NFTコレクションはスプレッドシートではなく、Apple Photosのように見えるギャラリーでレンダリングされます。ウォレットはGitHubでオープンソース(rainbow-me/rainbow)で、React NativeのコードベースはRainbowKit(多くのdAppが使用するconnect-walletライブラリ)の基盤になっています。
Rainbowの弱点は強みと同じです。イーサリアムについて意見を持っています。マルチチェーンサポートは存在します(Arbitrum、Base、Optimism、Polygon、BNB Chain、Zora)が、体験はイーサリアムメインネットで最高です。主にSolanaやCosmosで生活しているなら、Rainbowはあなた向けではありません。ENSの人間可読性を尊重するウォレットを評価するイーサリアムマキシマリストなら、Rainbowは実際に使っている人がデザインしたと感じるウォレットです。
OneKey — ソフトウェアからハードウェアへのブリッジ
OneKeyは、このリストで唯一自社ハードウェアを出荷しているウォレットです。フラッグシップのOneKey Proは2026年4月時点で278ドル、エントリーレベルは79ドル(Classic 1S Pure)と99ドル(Classic 1S)です。ブラウザ拡張機能とモバイルアプリは、OneKeyハードウェアとBluetoothまたはUSB-C経由で通信し、重要なことに、ソフトウェアもハードウェアも両方ともOneKey Standard Source License(OneKeyHQ/app-monorepo)の下でオープンソースです。これはハードウェアウォレットベンダーの間では珍しい組み合わせです。
OneKeyのポリシーは、コアウォレット操作(作成、復元、署名、スワップ)について0 KYCです。KYCはアプリに埋め込まれたサードパーティの法定通貨オンランプを使用する場合のみトリガーされます(そしてそのオンランプのKYCであり、OneKey自体のものではありません)。スタック全体は、自分のアドレスを政府の身元確認と紐付けたくないユーザー向けに設計されています。
ブラウザ拡張機能ユーザーにとってのOneKeyの戦略的価値: ソフトウェアから始まり、ハードウェアで終わり、アドレス帳もトランザクション履歴も失わないのです。ほとんどのユーザーは、セルフカストディで5,000〜10,000ドルあたりに達したときにハードウェアウォレットが必要だと判断する瞬間に直面します。TrezorやLedgerでは、新しいデバイスをセットアップし、シードを慎重にインポートし、すべてのdAppを再承認することを意味します。OneKeyでは、すでに使っている拡張機能がハードウェア共同署名者を獲得するだけです。移行は約10分で完了します。
Frame — 誰も話題にしないデスクトップウォレット
Frameはこの記事のフレーミングを破るウォレットです。ブラウザ拡張機能ではありません。FrameはネイティブのmacOS / Windows / Linuxデスクトップアプリケーションで、ws://127.0.0.1:1248でシステム全体のWebSocketを開き、マシン上の任意のブラウザタブに対するJSON-RPCおよびEIP-1193プロバイダーとして機能します。OSレベルの注入を使用しないサイト向けに、薄いブラウザ拡張機能のシムも存在します。
これがなぜ重要なのでしょうか? ブラウザ拡張機能はブラウザプロセス内に存在します。 Trust Walletの Chrome拡張機能が2025-12-24にChrome ウェブストアAPIキー漏洩により乗っ取られたとき、悪意ある v2.68アップデートは完全な拡張機能権限で実行されました。暗号化されたニーモニックを読み取り、ロック解除時に復号し、攻撃者のサーバーに送信できたのです。すべての Chrome 拡張機能型ウォレットは、ウェブストアアカウント侵害一つでこの攻撃パターンの危機にさらされています。
Frameはウォレットをブラウザの外に移動させます。署名UIはWebページのDOMにアクセスせず、Chrome ウェブストア配信チャネルもなく、同一プロセス内のトークン窃盗エクスプロイトの可能性もない別プロセスです。FrameはTrezor、Ledger、GridPlus(Lattice1)ハードウェアウォレットをネイティブにサポートし、Cure53とDoyensecの監査を受け、完全にオープンソース(floating/frame)です。
Frameの欠点: デスクトップ専用であり、dApp接続フローはネイティブブラウザ拡張機能と比較してワンクリック多いです。UXの光沢よりも攻撃面の削減を優先するユーザーにとって、Frameは「10ウォレットランキング」テンプレートに合わないため、どのリスト記事もレビューしない答えです。
5軸比較: セキュリティ、UX、チェーン対応範囲、ハードウェア統合、手数料の透明性
上記の5つのウォレットはそれぞれ異なる軸で勝利しています。「どれがベストか」への正直な答えは、何を最適化したいかによります。
| 軸 | MetaMask | Rabby | Rainbow | OneKey | Frame |
|---|---|---|---|---|---|
| セキュリティ(拡張機能の攻撃面) | 2 | 4 | 3 | 4 | 5 |
| UX(新規ユーザーのオンボーディング) | 5 | 4 | 5 | 4 | 2 |
| チェーン対応範囲 | 4(約85) | 5(141) | 3(約12) | 5(約140) | 4(約80) |
| ハードウェア統合 | 3(Trezor / Ledger) | 4(Trezor / Ledger / OneKey / GridPlus) | 2(モバイル経由でLedgerのみ) | 5(自社ハードウェア + Trezor / Ledger) | 5(Trezor / Ledger / GridPlus) |
| 手数料の透明性(組み込みスワップ) | 2(0.875%サービス手数料) | 4(1inch / Paraswap経由の透明な見積もり) | 3(変動) | 4(透明) | 5(組み込みスワップなし、DEXに直接ルーティング) |
5ステップのdApp接続セキュリティワークフロー(何かに署名する前に)
2026年に行える最も有用な変更は、ウォレットを切り替えることではなく、署名の方法を変えることです。以下の5ステップは10分で完了し、Trust Walletのサプライチェーン侵害を含む過去2年間に文書化されたあらゆるドレイナー攻撃を阻止できたはずです。過去30日間に使用していないdAppでの署名前に、このワークフローを実行してください。
ステップ1: URLの検証
dAppのドメインを手で入力するか、自分で設定したブックマークからのみクリックしてください。ドレイナーキットはタイポスクワットされたドメイン(uniswapp.org、l1do.fi、openssea.io)を登録し、正規の結果より上に有料検索広告を出します。ウォレットはどちらが本物か知りません。それを知っているのはあなたのURLバーだけです。複数のセキュリティ研究者が、最近のドレイナー事件の大部分は悪意ある検索広告から始まったと記録しています。dAppは初めて使うときにブックマークし、検索しないでください。
ステップ2: Rabbyのトランザクションシミュレーションを使う(または外部シミュレーター)
Rabbyをインストールしているなら、シミュレーションは自動です。MetaMaskを使っているなら、コントラクト呼び出しをTenderlyの無料シミュレーターに貼り付けるか、Pocket Universe、Blowfish、Wallet Guardなどのサードパーティスキャナーを使ってください。シミュレーションはdAppのUIが約束した内容と一致するはずです。「1 ETHをUSDCにスワップ」をクリックしたのに、シミュレーションで「0xabcへの無制限USDC使用承認」と表示されたら、中止してください。
ステップ3: ネットワークなりすましの検出
ドレイナーは「偽のメインネット」(攻撃者のインフラを指すカスタムRPC)への切り替えを提案する場合があります。ウォレットのチェーンIDがdAppの期待するチェーンID(イーサリアムメインネット = 1、Base = 8453、Arbitrum One = 42161)と一致することを確認してください。自分が開始していないウォレットのネットワーク切り替えリクエストはすべて拒否してください。
ステップ4: Permit2 / ドレイナー署名パターンの認識
2種類の署名タイプには余分な精査が必要です:
- Permit2(Uniswap): オンチェーン承認ではなく、署名されたメッセージを通じてコントラクトがトークンを使用できるメタ承認。Permit2はUniswapや1inchで使用される場合は正当ですが、ドレイナーは同じ署名形状を収集してあなたのトークンに対して再生します。常にスペンダーアドレスとトークンリストをチェックしてください。
- Permit(EIP-2612): Permit2と似ていますがトークンごと。USDCの未知のスペンダーへのPermit署名は、UIの「承認」ステップを完全に回避するため、ドレイナーのお気に入りの形状です。
Uniswap Permit2仕様は期限付きパーミットで無制限承認リスクを修正するために設計されましたが、Scam Snifferの2024年ウォレットドレイナーレポートは、同じUXパターンが攻撃者によって武器化されたことを記録しています。Permit / Permit2署名は「無料のオフチェーンメッセージ」ではなく、トランザクションとして扱ってください。
ステップ5: revoke.cashとEtherscanで既存の承認を監査
revoke.cashを開き、ウォレットを接続し(読み取り専用)、すべてのアクティブなトークン承認を確認してください。30日以上前の、もう使っていないものはすべて取り消してください。完全性のため、Etherscanのトークン承認チェッカーで同じアドレスをクロスチェックしてください。この5分の衛生ステップは、最も一般的なドレイナーの侵入ポイント、つまり忘れられたdAppへの古い無制限承認を取り除きます。
2025-12-24 Trust Wallet Chrome拡張機能ハック: ブラウザ拡張機能ユーザーが学ぶべきこと
2025-12-24、攻撃者は漏洩したChrome ウェブストアAPIキーを使ってTrust Walletブラウザ拡張機能v2.68を公開しました。悪意あるアップデートは、暗号化されたニーモニックを傍受し、ユーザーがウォレットをロック解除したときに復号し、攻撃者の制御するサーバーに送信するコードを追加しました。48時間以内に、正確に2,520のウォレットアドレスから850万ドルが流出しました。Trust Walletは2025-12-26 11:00 UTCに悪意あるバージョンを取り消し、クリーンなv2.69を出荷しましたが、資金は失われていました。
| 日時 (UTC) | イベント |
|---|---|
| 2025-12-24, 約17:00 | 侵害されたChrome ウェブストアAPIキーが悪意あるv2.68を公開 |
| 2025-12-24 — 2025-12-26 | 約60万のインストール基盤に自動更新が展開、ユーザーロック解除時に暗号化ニーモニックの流出開始 |
| 2025-12-26, 約09:00 | SlowMistが初期フォレンジック分析を公開 |
| 2025-12-26, 11:00 | Trust Walletがv2.68を取り消し、クリーンなv2.69を出荷 |
| 2025-12-26(締切時) | 最終集計: 2,520アドレスから850万ドル |
すべてのブラウザ拡張機能ウォレットユーザーへの3つの教訓:
- これはサプライチェーン攻撃であり、ウォレットの設計上の欠陥ではありませんでした。 Trust Walletの基盤的な暗号は問題ありませんでした。Chrome ウェブストアの配信チャネルが弱点でした。すべてのChrome拡張機能型ウォレット — MetaMask、Rabby、Rainbow、OneKey、Coinbase Wallet — はGoogleのウェブストアの整合性に同じ依存性があります。
- ハードウェアウォレットは影響を受けませんでした。 Trezor、Ledger、OneKey Proで署名したユーザーは、悪意ある拡張機能が誤ったトランザクション詳細を表示するのを見ましたが、ハードウェアデバイスは実際のトランザクション(異なる金額または異なる受取人)を表示し、拒否できました。ハードウェアウォレットは侵害されたブラウザ拡張機能に対する唯一の防御です。
- 自動更新は両刃の剣です。 24時間以内にセキュリティパッチを出荷する同じメカニズムが、24時間以内に悪意あるコードも出荷します。サプライチェーンリスクを気にするパワーユーザーは、Frame(拡張機能なし)を検討するか、MetaMask / Rabbyのバージョンを固定して、コミュニティレビュー48時間後に手動で更新することを検討すべきです。
ハードウェアウォレット統合マトリクス
ブラウザウォレットはカストディではなく、インターフェースです。カストディの問題は、秘密鍵がブラウザプロセス内に存在するか(サプライチェーン攻撃に対して安全でない)、ハードウェアデバイス上に存在するか(拡張機能が侵害されても安全)です。以下のマトリクスは、2026年にどのブラウザウォレットがどのハードウェアとペアリングするかを示します。
| ハードウェア | MetaMask | Rabby | Rainbow | OneKey | Frame |
|---|---|---|---|---|---|
| Trezor (Safe 7, Model T, One) | ✅ USB | ✅ USB | ⚠️ モバイルのみ | ✅ USB / Bluetooth | ✅ USB |
| Ledger (Nano S+, Nano X, Stax, Flex) | ✅ USB / Bluetooth | ✅ USB / Bluetooth | ✅ USB(モバイル) | ✅ USB / Bluetooth | ✅ USB |
| OneKey (Pro, Classic 1S, Classic 1S Pure) | ⚠️ WalletConnect経由 | ✅ ネイティブ | ❌ | ✅ ネイティブ | ⚠️ WalletConnect経由 |
| SafePal (S1 Pro, X1) | ✅ エアギャップ(S1 Pro QR)/ Bluetooth(X1) | ✅ エアギャップ / Bluetooth | ❌ | ❌ | ❌ |
| GridPlus Lattice1 | ✅ | ✅ | ❌ | ❌ | ✅ ネイティブ |
| Tangem (2-card / 3-card) | ⚠️ WalletConnect経由 | ⚠️ WalletConnect経由 | ⚠️ モバイルのみ | ❌ | ❌ |
ハードウェアデバイス自体の詳細な比較(Trezor Safe 7、Ledger Nano Gen5、SafePal S1 Pro、Tangem)については、EX-3: ハードウェアウォレット2026を参照してください。
ペルソナベースの推奨決定フロー
リスト記事は「勝者: MetaMask」で終わります。その答えはほとんどの人にとって間違っています。適切なウォレットは、実際にどう暗号資産を使うかによります。以下は、読者が個人的に質問してきたときに私たちが使う決定マトリクスです。
| ペルソナ | 保有額 | 主な用途 | 推奨ウォレット | 理由 |
|---|---|---|---|---|
| DeFiパワーユーザー | $10K – $500K | 週5時間以上のDeFi、複数チェーン | Rabby + ハードウェア | トランザクションシミュレーションがdApp UIが資産差分を誤魔化すドレイナーシナリオを検出。141チェーン、ネイティブハードウェアサポート |
| イーサリアムマキシマリスト | $5K – $100K | イーサリアムメインネット + L2、ENS、NFT | Rainbow + Ledger | ENSネイティブUX、洗練されたデザイン、イーサリアムについて意見を持つ(バグではなく機能) |
| ハードウェア統合優先 | $10K + | ソフトウェア ↔ ハードウェアを単一スタックで | OneKey拡張機能 + OneKey Pro | 同じベンダー、0 KYC、ソフトウェアもハードウェアもオープンソース、278ドルのハードウェア |
| フィッシング警戒(高純資産または機関投資家) | $50K + | 最大の攻撃面削減 | Frame + TrezorまたはLedger | ブラウザ拡張機能のサプライチェーンリスクなし、監査済み、OSレベル署名 |
| 真の初心者 | $100 – $5K | 初めての暗号資産購入、たまにDeFi | MetaMask + 必須のフィッシング訓練 | 学習用の普遍的互換性、上記のdApp接続ワークフローと組み合わせる |
HCUセーフな推奨: ウォレット1つ + ハードウェアバックアップ
インターネットには「ウォレットを分散させよう」というアドバイスが溢れています。私たちはそれに反対します。50,000ドルをMetaMask、Rabby、Rainbow、Coinbase Walletに分散しても、リスクは減りません。フィッシング表面積が増え、シードフレーズのバックアップ作業が5倍に増えるだけです。各ウォレットは新しいパスワード、新しいシード、新しいdApp権限セット、新しい攻撃チャネルです。
ほぼすべての人にとってのHCUセーフな答え:
- 1つのプライマリブラウザウォレットを上記のペルソナに合わせて選ぶ。日常のDeFi、署名、dAppインタラクションに使用してください。
- 1つのハードウェアウォレットを1,000ドル以上の保有に対する署名デバイスとして使用。拡張機能はインターフェース、ハードウェアはカストディです。
- 1つのエアギャップされたコールドバックアップを長期保有(10,000ドル以上)に対して使用。このデバイスをブラウザにまったく接続しないでください。完全なカストディフレームワークについてはEX-6: ホット vs コールド vs マルチシグを参照してください。
2つ目のウォレットを実行しなければならない場合(たとえば未監査のNFTをミントする「バーナー」ウォレット)、一度に50ドル分のみを入金し、プライマリ身元と決して紐付けず、使い捨てとして扱ってください。
よくある質問
1. Trust Walletハック後の2026年、ブラウザ拡張機能型ウォレットは安全ですか?
カストディではなくインターフェースとして使用すれば安全です。1,000ドル以上の保有については、任意のブラウザ拡張機能をハードウェアウォレットとペアリングしてください。Trust Walletの2025-12-24インシデントは、秘密鍵がブラウザプロセス内に存在したユーザーから850万ドルを流出させました。ハードウェアで署名したユーザーは、ハードウェアが実際のトランザクション詳細を表示し、悪意ある署名リクエストを拒否できたため、影響を受けませんでした。
2. なぜMetaMaskはこのガイドで1位ではないのですか?
MetaMaskは、すべてのdAppが最初にリストアップし、ドキュメントがどこにでもあるため、真の初心者にとって正しい選択です。DeFiパワーユーザー(Rabbyのトランザクションシミュレーションのほうが重要)または高純資産ユーザー(Frameの削減された攻撃面のほうが重要)にとっては正しい選択ではありません。人気でのベストとフィットでのベストは別の問題です。
3. MetaMaskからRabbyに資産を失わずに切り替えられますか?
はい。両方のウォレットは非カストディ型で、つまり資産はウォレットソフトウェア内ではなくブロックチェーン上に存在します。MetaMaskからシードフレーズをエクスポートし、Rabbyにインポート(またはその逆)すれば、同じアドレスが同じ残高で表示されます。移行には10分かかります。移行後はすべてのオープンなdApp接続をリセットし、現在使っているもののみ再承認してください。
4. Frameはブラウザ拡張機能よりセットアップが難しいですか?
初回起動はブラウザ拡張機能より約5分長くかかります。FrameはOSレベルのインストールが必要なデスクトップアプリケーションだからです。それ以降、日常のUXは同等です。dAppは同じ方法で注入し、署名プロンプトは同じ方法で表示されます。トレードオフは、ブラウザ拡張機能のサプライチェーンリスククラス全体を取り除くために、インストール手順が1つ余分に必要なことです。
5. ブラウザ、モバイル、ハードウェアで同じウォレットを使うべきですか?
同じシードフレーズを使ってください。必ずしも同じソフトウェアではありません。単一のシードは、標準BIP-39派生をサポートするすべてのウォレットでの全EVMアドレスを解錠します。Trezorにシードを保管し、ブラウザでRabbyを通じて日常のトランザクションに署名し、モバイルでRainbowで残高を確認し、ラップトップでFrameインスタンスを実行できます。すべて同じアドレスセットから読み取ります。これにより攻撃面を増やすことなく冗長性が得られます。
結論: ウォレットを1つ選び、ハードウェアを追加し、5ステップワークフローを実行する
2026年に重要な5つのEVMブラウザウォレットは、MetaMask、Rabby、Rainbow、OneKey、Frameです。MetaMaskは普遍的なデフォルトで、ソース公開、積み上がる0.875%のスワップ手数料を課金します。RabbyはDeFiパワーユーザーのウォレットで、完全オープンソース、競合のどれも一致しないトランザクションシミュレーションと141のチェーンサポートを備えています。Rainbowはイーサリアムネイティブ UXのチャンピオンで、ファーストクラスのENSと新たに開始されたRNBWトークンを備えています。
OneKeyはオープンソースのソフトウェアとオープンソースのハードウェアの両方を出荷する唯一のベンダーで(278ドルのOneKey Pro、79ドルのClassic 1S Pureエントリーレベル)、デフォルトで0 KYCです。FrameはChrome ウェブストアを脅威モデルから完全に取り除くデスクトップ専用の異色の存在です。拡張機能ではないという理由で2025-12-24を生き延びたウォレットです。
あなたのペルソナに合うものを選んでください。1,000ドル以上の保有にはハードウェアデバイスとペアリングしてください。そして新しいものに署名する前に、5ステップワークフローを実行してください: URLを検証する、トランザクションをシミュレートする、チェーンIDをチェックする、Permit / Permit2署名を精査する、revoke.cashで承認を監査する。10分です。Trust Walletの被害者は、ステップ2で悪意ある拡張機能を捕捉できたはずです。
暗号資産アナリスト ChainGain
Alexは2019年から暗号資産市場とブロックチェーン技術を取材しています。新興国の人々が貯蓄、支払い、送金に暗号資産を活用できる実用的なガイドに注力しています。 詳細プロフィール
