中学生でもわかる知っておきたいDeFiのリスク管理(7か条)

こんばんわ。minicooheiです。

仮想通貨/DeFiには、儲かるチャンスもありますが、その反面、リスクもたくさんあります。そこで今回はDeFiを触る前に抑えておきたい/知っておきたいリスク管理の基本のキを、中学生でもわかるように説明して行きたいと思います。

1.自分の資産は自分で管理する

まず、DeFiとかの前に、仮想通貨/暗号資産の大前提は「自分の資産は自分で管理する」(管理できる)です。この意識がない場合は本当に危険です。

実際、取引所に置いてあるあなたの仮想通貨は、あなたのものではありません。

CEX(取引所)は「ブロックチェーンではない」のです。

日本の取引所ならダイジョブだろう?

いえ大丈夫ではありません信じてはいけません。

凍結されるかもしれませんし、実際に550億もの大金が昔とられましたし、過去にも何回も攻撃を受けています。創業者が死んだことにして奪い取ってしまうケースもありました。

したがって、基本的に取引所においてある仮想通貨は、「自分のものではなくなる可能性がかなりある」と思って行動しましょう。(広義の意味では、カウンターパーティーリスクともいえます)

ブロックチェーンの性質上、その資産を秘密鍵を持っていることを証明できなければ、資産を持っていないのと同じであるということを肝に命じましょう。

サイドチェーンとかL2とか言われてる場合も、コントラクトへの署名で資産を出すことができない仕組みが確約されてなくて何らかのトラストが必要な場合は、それは実際、自分の資産とはいえません

「取引所を使ったばあい、トレードしたら、出しておく」これはかのチャーリー・リーがBitThumbのGoxの際にツイートしていた基本中のキです!

なお、管理はハードウェアウォレットが最もおすすめです。ガチャガチャ動かす場合でも基本的には大金はハードウェアウォレットで管理しましょう。

2.秘密鍵は誰にも教えない&なくさない



次もめちゃくちゃ大事です。

秘密鍵(Private Key)は誰にも教えない!
これはもう絶対に頭の中に入れておきましょう。

ニーモニックワード(24と12個の単語のフレーズ)/KeyStore(tokenPocketなどで使っている保存形式)、生の秘密鍵にしていてもいずれにせよ同じです。

秘密鍵を知られたら、1秒後には盗まれると肝に命じましょう。(ちなみに昔ツイッターで実験したのですが30秒くらいでまじで取られます。

関連して、「秘密鍵を生でなんかのストレージサービスとかに保存する、貼り付ける …etc」 これも、絶対、絶対、絶対にしてはいけません。evernoteならOKとかdropBoxならOKとかありません。(KeyStoreはパスワードが複雑なものにセットしておけば、バレても盗られることはありません。)

秘密鍵はいわば、銀行通帳と実印と身分証明書が同時にあるようなものです。さらにニーモニックワードの場合はそこから関連するウォレット全部とられるので、銀行通帳と実印と身分証明書を複数とられます。

tokenPocket内で、秘密鍵のインポート機能を提供していてこんなことをいうのもあれですが、基本的に、自分でソースコードから作ってないなら秘密鍵のインポート機能を使うのは愚かです。

さらに、誰にも教えてはいけない以上、パスワードや秘密鍵をなくしたら当然誰も助けてはくれません。なので絶対に忘れないようにしましょう。(ソーシャルリカバリーとかは今後充実していくと思いますが、いずれにせよ忘れないようにしましょう)

3.コントラクトはバグがあると考える


ソースコードを読めればバグがないことを確認できるかもしれませんが、人間が書いたものですから、読めたとしてコントラクトにバグがまったくない(悪用できない)ということはなかなか証明ができないはずです。

そういった意味でも、どれだけロック額が大きかったり(過去に300億円とかでもたった一行のコードミスで死んでます=Parity)、トラックレコードがしっかりしていたり、しっかりと監査されているとしても、コントラクトにバグが存在するリスクは意識しましょう。

下記はコントラクトの抜け穴を狙った攻撃の例。
こんなの想定して作れてない可能性が高いです。



ネイティブトークンであるETH以外のあらゆるトークンは基本的にはコントラクトを利用して発行されているということも念頭においておきましょう。(特に独自の規格を使っている場合、いきなり大量のMintされたり、バーンされたり、停止されたりする危険性もあるので気をつけましょう)

特に、何をやっているのかわからない等の場合は、そのわからない量に比例して攻撃リスクがあがるくらいの感覚でいたほうが良いと思います。

4.むやみにApproveしない



EthereumではERC20をコントラクトが自由に扱うには、approveという行為をしないといけません。このapproveですが、「そのコントラクトに対してどのトークンをどの程度の金額自由にさせることを許すか?」という命令になります。

ガス代がもったいなくてつい無限大でセットしがちですが、コントラクトに動かすのを許すということはそのコントラクトを悪用された場合、該当トークンについては無限大に取られるということになります。なので極力、むやみなapproveは避けましょう。

たくさんapproveしてしまった場合 revokeするか
https://tac.dappstar.io/#/address/0xccb82218c6f82a2b750cf0d65e21ae6eae14070c

やdebankの approveタブからDeclineしておきましょう。





5.流動性提供はXでYを買っているということを忘れない





Liquidity Miningを過信しない。これが大事です。

UniswapでのLiquidity Miningなどをしようと思う場合、「基本的にステーブルコインとペアで預けていたらILはあるものの、大幅な価格変動からは逃れられる」という言説を聞いたことがあるかもしれません。

ここに構造上の罠があります。

uniswapではx * y = k という(ほかもだいたい似たような数式)数式で交換レートが定まっており。y の価値が暴落した場合、 x * y = k で一定ですから yの量が爆発的に増加することになります。

例: x * y = k x= 100 で y= 100000 であるとk = 1,000,000
ここで、yの価値が1/100に暴落したとすると、x:y = 1:100が x:y = 1:10000となり、

x * y = 1,000,000 より、 x = 1、 y=1,000,000

みたいになります。これは、「y をxで大量に購入している」という構図にほかなりません。結果的にほとんど無価値になったyをあなたは大量に抱えることになります。

「売れるはずでしょう?」 いえいえ、売れ逃れたら誰も無価値のトークンを買おうとはしないのでUniswap上では価値があるようにみえますが、事実上あなたは売れないゴミトークンを大量に抱えることになります。 そういった意味でステーブルコインとLMしていたら価格リスクはないというのはある面では正しいですが、盲信は危険です。

6.何を担保に貸しているかを意識する

レンディングプロトコルに資金を預けると、債権トークンがもらえて金利がもらえる。プロトコル上で貸し出しする際に、借りての担保資産以上は貸し出さなく、清算が走るので、焦げ付きリスクは低い。と見えます。

担保資産が唯一である場合は、上記の論理はよほど高速で相場がクラッシュしない限りは成立します。ただ、近頃のレンディングプロコルはMAKERも含めて、複数の資産を担保勘定しています。

このときに注意しておかなければならないのは、誰が何を担保に借りているかです。つまり、特定の無価値になってしまうようなトークンが担保として追加されていたり、無限に発行できてしまうトークンの担保額が高価にセットされている場合、ゴミであなたの資産が借りられていくことになります。

これは、いってしまえば「円天みたいなオレオレ通貨であなたの100万円分のBTCを貸してくれないか?と頼まれて貸してしまっているみたいなもの」なのですが、レンディングプロトコルに入れると資産が合成されることもあり、その意識が薄れてしまいます。

最終的に何が起きるかというと、あなたの貸し出している通貨が100%借りられてしまいます。本来は即時償還できますが、当然担保資産が全て借りられている場合は償還できません。(よく攻撃されている大半はこういうのです。)

Creamなどは大量のトークンを担保に入れれる代わりに、それぞれのトークンが攻撃ポイントになるのでリスクがどんどん高くなっているということを知っておきましょう。

7.URLをしっかりチェックする(Google検索結果から飛ばない)



Google検索結果に広告で詐欺サイトがでていることがあったり、メールから来たURLが書き換わっていたり、もっと昔だとそもそもDNSが書き換えられていたり(これはもうどうしようもないけど)ということがあります。

基本的にGoogle検索結果から直接飛ぶなどというときは、詐欺サイトでないか気をつけましょう。DeFiPulse.com のようなサイトから飛んだり、bookmarkをしておいてそこから遷移するということを意識するようにしましょう。


いかがだったでしょうか?

上記の7つを少なくも抑えていない状態ですと、本当にいつ資産やトークンが手元からなくなってもおかしくありません。かもがネギを背負っているよりもっとひどい状況ですんおで最低でも抑えておきましょう。


実際、まだまだ気をつけていないといけないことはたくさんあります。(コントラクトアドレスが正しいかを確認するや、コントラクトで怪しげなメソッドがないかなど)

このあたりは、ソースコードが読めなければ検証できない部分なのですが、正直ある程度は読めたほうがより、安全なのは間違いありません。頑張りましょう(コントラクトを公開していないなどはもってのほか)


tokenPocketはできるだけ、自分で管理でき、かつ全くオンライン/オフラインともに生の秘密鍵を保存していない、安全なウォレットとして提供しておりますが、それでも信用しすぎてはいけません。(僕は自分でコード確認できるので安心してつかえますが、上記を読んでいただければ秘密鍵を渡す行為は基本的に非常に危ない行為だということを忘れないようにしてください。)

最後にこの言葉を贈りたいと思います。

Don’t Trust. Verify.

記事をご覧いただきありがとうございます。

DeFiPocketは、Dappsブラウザ & Ethereum ウォレットで国内市場シェアNo.1のtokenPocket社による、DeFi(Decentralized Finance)の解説メディアで

tokenPocketを利用して、DeFiで楽しく仮想通貨を使って遊ぶ体験を紹介していきまDeFi Pocketでは「日本で一番シンプルなDeFi」のサイトとして、各DeFiの使い方の紹介や、どんなシーンで使えるか、そしてどんなリスクを気をつけないといけないか、などを説明していきます。

tokenPocketは以下からダウンロード可能です。

iOS
https://apps.apple.com/jp/app/tokenpocket/id1288636393
Android
https://play.google.com/store/apps/details?id=com.tokenpocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です