DeFi セキュリティ

DeFiの個人投資家としてできるハッキング対策

Thursday, November 25, 2021

数億ドルの仮想通貨がハッキングされて盗まれた・・・なんてニュースはすでにたくさんでていて驚きもしません ^^;

が、こういったニュースがあると個人としてはリスクが大きく感じてしまってなかなかDeFiに参入しづらいです。

しかしDeFiはまだ始まったばかりですが進化のスピードも速いです。

DeFiをすでにやっている人もこれからやってみたいという人も、個人でできるハッキング対策は心得ておきたいところ。

この記事ではこれまでの僕の個人的な経験や学んだことをもとに、DeFiでのハッキングや資産損失リスクへの対策を書きます ^^

DeFiユーザーへのハッキング被害

DeFiユーザーが直接ハッキング被害にあうものとしては

  • 仮想通貨取引所アカウントとウォレット
  • DeFiウォレット(MetaMaskなど)
  • カード情報(トークンをカードで直接買うときなど)
  • SNSのアカウント(エアドロップをもらうときなど)

実際に多いものとしてはやはりDeFiウォレットのハッキング被害です >_<

ウォレットのパスワードやプライベートキーなどを詐欺サイトに入力してしまったりすると、ウォレットにあるトークンをすべて盗まれる可能性があります。

スマートコントラクトを承認したら実はスキャムサイトで、ハッカーに自由に自分のウォレットの資金を移動させられてしまう、ということもあります。

なので自分で直接的に防げることは最低限やっておきたいところです ^^;

DeFiプラットフォームのハッキング被害

DeFi (Decentralized Finance) は分散型金融のことで、中間業者や組織が存在せずにPeerToPeer(個人感の取引)で成り立つようにしています。

けど実際には開発チームがいて、そこには人がいます。なので人的ミスはおこるし、さらにコードが公開されているのでハッカーがコードの穴を見つけて攻撃してくるわけです ^^;

  • Venus
  • CREAM
  • Poly Network
  • PancakeBunny

などなど、ある程度の規模があってもハッキング被害に遭ってます。抜き取られたトークンはブロックチェーン上で送金履歴を辿れますが取り返せるわけではないので泣き寝入りになるケースもあります。

ハッキングされたプロジェクトによっては資金を捻出して補填してくれるものもあり(PancakeBunnyなど)、運が良ければお金が返ってきます。

ですがハッキングされたプロジェクトのトークン(ガバナンストークン)の価値が暴落するので結果的に大損することになるかもしれません。

こうした間接的なハッキングの被害に遭わないようにするために個人でできることを考えていきましょう ^^

  • DeFiプラットフォームのセキュリティチェック
  • 身の回りのDeFiハッキング対策

の2つの視点でみていきます ^^/

DeFiプラットフォームのセキュリティチェック

まずはDeFiプラットフォームが安全なのかをチェックするためにできることをチェックしていきます。

どれも安全性を約束するものではないですが、指標としては使えるはずなので参考にしてみてください ^^

ハッキングだけでなく詐欺プロジェクトを避けるためにも参考になるかと思います ^^

  • サイトのドメインが正しいか確認
  • ウェブサイトがオリジナルかコピペか
  • 監査を受けているか確認
  • RugDocのレートを確認
  • バグバウンティーの有無
  • ホワイトペーパーのチェック
  • TVLの量を確認
  • 現実的な金利かどうか判断
  • 開発チームと経歴がまともか
  • コミュニティの質を確認
  • 信用できるプロジェクトとの関わり
  • バブルの崩壊

全部ちゃんと解説したらかなり長くなるので一言ずつ加えていきます。(別記事にするかもです ^^)

サイトのドメインが正しいか確認

「https://pancakeswap.finance/」と「https://pancakesswap.finance/」よ〜く見ないと気づかないですよね ^^; Google検索ででてきたリンクでもURLを確認しましょう ^^

ウェブサイトがほぼコピペかオリジナルか

ウェブサイトのコードが公開されているので、コピーしてデザインをちょっとだけ変えればすぐに模倣サイトをつくることができます。なのでコピペサイトは基本的に信用度を少し下げた方が無難かと思います。

監査を受けているか確認

もし興味があるDeFiプラットフォームが第三者(Certikなど)による監査を受けていなければ要注意です >_< 「Audited by ~」と書かれているかチェック・本当に監査されているのかチェック、です ^^

RugDocのレートを確認

RugDocはバグや悪意のある(詐欺ができそうな)コードをチェックしている団体です。気になるDeFiプロジェクトを検索して安全性のレーティングをみてみましょう ^^

バグバウンティーの有無

ホワイトハッカーにコードの脆弱性を見つけてもらうためバグバウンティーを実施しているプロジェクトはハッキング対策に意欲的でかつコードの安全性も高くなる可能性があります。

ホワイトペーパーのチェック

DeFiプロジェクトは目標としていることや解決しようとしている問題があるはず。そしてそれらを達成するためのマイルストーンや中間目標をホワイトペーパーにまとめています。これの内容がしっかりしているか、将来性があるか、しっかりと計画がされているか、英語が変じゃないかなどをみると参考になりそうです。

TVLの量を確認

Total Value Lock (TVL) はDeFiプラットフォームのLP(流動性プール)にいくら($)のトークンが預けられているかを表しています。このTVLはユーザーが信用しているかどうかと関連性があることが多いので指標の1つとして使えます ^^ ($1B以上あればけっこう信用されている気がします)

現実的な金利かどうか判断

DeFiでは「APY 17,394,908,297%」とかごろごろあります ^^; が、もちろん非現実的な金利はワナであることが多いです。たとえ詐欺やハッキングプロジェクトでなくてもトークン価値が爆下がりするのは必然でしょう。

開発チームと経歴がまともか

開発チームの経歴が公開されていて信用できそうであれば少なくとも詐欺プロジェクトである可能性は低くなると思います。が、プロジェクトが成功してトークン価格が上がるかどうかは神のみぞ知る、です ^^;

コミュニティの質を確認

ほとんどのDeFiプロジェクトはTelegramやDiscordでコミュニティを運営していますが、参加メンバーの質が悪いとプロジェクトが破綻する可能性があります。例えばBotだらけのスキャムプロジェクトや、メンバーがテイカーだらけで開発チームに文句を言ったり暴言を吐いてるようなToxicなコミュニティだとプロジェクトの寿命は長くないでしょう ^^;

信用できるプロジェクトとの関わり

基軸プロジェクトから紹介やフォローされていると信用度がグンと上がります。Binanceのような取引所がパートナーになっていたり、Avalancheのような公式のDeFiチームが紹介するようなプロジェクトは比較的信用できるかと思います ^^

バブルの崩壊

仮想通貨全体もしくはプロジェクトのトークン価格の暴落とともに、開発チームが燃え尽きる・やる気を無くす・賢者タイム・ついでにコミュニティも荒れるということが起こって闇に消え去ることも多くあります(ありました)。詐欺でもハッキングでもないですが大きな損失につながるので欲を出しすぎないように気をつけましょう(自戒)^^;

身の回りのDeFiハッキング対策

続いて身の回りでしておくべきハッキング対策についてです ^^

すでにやっている人も多いと思いますが、確認の意味もこめてさらっと目をとおしてみてください ^^/

  • ウォレットの管理
  • ブラウザーとセキュリティ設定
  • ログアウト
  • スマートコントラクトのRevoke
  • 資産の分散(トークンの種類・ステーキングLP・DeFiプラットフォーム・ブロックチェーンの種類・ステーブルコイン・ウォレット・取引所)
  • 少額ではじめて徐々に増やす

では一言ずつ付け加えさせてもらいます ^^/

ウォレットの管理

コールドウォレットとホットウォレットの使い分け、パスワードやプライベートキーの漏洩などはやらかしやすいので要注意 ^^;

ブラウザーとセキュリティ設定

Braveなどのよりセキュリティの強いブラウザーを使ったり、ウォレットへの接続の制限などの設定をしておくとより安心感があります ^^

ログアウト

取引所やウォレットのアカウントをログアウトせずに放置しているとハッキングリスクが高まるので気をつけたいところです。

スマートコントラクトのRevoke

DeFiステーキングやレンディングなどで何度もウォレットで「Approve」する機会があります。これらのスマートコントラクトの承認はRevoke(取り消し)しないとずっと承認されたままなので、使わなくなったコントラクトはbeefy.financeなどで取り消しておきましょう ^^

資産の分散

「卵は一つのカゴに盛るな」というのはDeFiでも同じ。トークン・LP・DeFiプラットフォーム・ブロックチェーン・ステーブルコイン・ウォレット・取引所などなど分散してすべての資産がパーにならないように対策しておきましょう。(もちろん全資産を仮想通貨に突っこむのはNG ^^;)

少額ではじめて徐々に増やす

ハッキングされた場合にダメージを減らすためにも少額で始めるのが無難です。新しいプロジェクトにINするとき、新しいトークンを買うとき、新しいブロックチェーンを使うときなどなどDeFiに慣れてきたときこそ気をつけたいところです(自戒 ^^;)

まとめ

DeFiのハッキングリスクと対策の仕方について記事にしましたが役に立てたでしょうか?

気をつけるべきことがめちゃくちゃ多いですがこれも学びと思ってやっていきましょう ^^

もちろんこれらすべてやれば絶対に安全、ではないのであしからず。あと他にもやっておいた方がいいことがあるかもしれません(誰か教えてくれるとうれしい ^^)

では自分でリスクの対策とコントロールをしながら上手くDeFiと付き合っていきましょう ^^/

記事をシェア・Likeしてくれると ^_^ です!

comments powered by Disqus
タグ
allbridge binance binance-smart-chain cronos crypto.com defi defi-kingdoms gamefi git-graph github harmony horizon metamask pancakeswap phantom solana terra terrastation ust vs-code wallet アカウント アービトラージ インカムゲイン ウォレットアセット管理 クロスチェーンブリッジ クーポン タイ ツール デルタニュートラル ノマド稼ぐ ビタミン ミネラル レンディング 仮想通貨デビットカード 仮想通貨取引所 原因と解決法 固定観念 性格 栄養 税金 種子 稼ぎ方 穀物 節約 血糖値 運用レポート 野菜の代わり 野菜嫌いの末路 食感 食物繊維
フォーム(質問・リクエストなど)