イケハヤです。
ぼくは2018年からDeFiを追っている、超古参組です。CompoundのTVLが$10Mとかの頃に触ってるので、回顧的エアドロを期待してます。
最近DeFiがかな〜〜〜り流行ってきて、うちのメール講座も2万人近いユーザーが登録しています。ありがとうございます。
が!
その反面、めっちゃ事故が多いです。お金なくす人、マジで多いです。
というわけで、DeFiの攻撃手法を徹底的に!まとめていきます。これマジで必読でお願いします。
よくあるパターン:セルフGOX(自爆)
ハッキング云々の被害より多いのは、いわゆる「セルフGOX」です。これほんと気をつけてください。
- 秘密鍵、シードフレーズを紛失してしまった
- トークンの送付先アドレスを間違えた(回収不可能です)
- 一部のネットワークで求められる「Memo」を添付し忘れた(これは問い合わせれば回収できることがあります)
- ネットワークを間違えて送金してしまった(BSCに送るはずが、Polygonに送ってしまったなど)
- コントラクトアドレスに送金してしまった(原則的に回収できません)
- レートが非常に悪いのに気づかず、トークンをスワップしてしまった
上記はいずれも完全に自己責任で、ほとんどの場合、被害を受け入れるしかありません。
ブロックチェーンの基礎知識がない素人ほど、セルフGOXはやらかします。
最近聞いたなかで「うわ……」と思ったケースとしては、Metamaskのスワップで、間違えてLPトークン自体をBNBと交換してしまった……とか怖いですね。
このスワップ、Price Impactの警告でないんですよね……。意味がわからないなら、まず使わないほうがいい機能です。
とにかく自爆には気をつけましょう。
ブロックチェーン操作に慣れるまでは、必ずテストで少額送金をするようにするだけで、だいぶ被害は減らせるはずです。
秘密鍵・シードフレーズを偽サポートに盗まれた!
大原則として、シードフレーズや秘密鍵は絶対に第三者に渡してはいけません。これは金庫の鍵なので、盗まれたらマジで終わりです。
DeFi素人はこの理解すらないケースがあり、しばしば「シードフレーズを渡してしまいました」という相談があります。正直、ごめんなさい、勉強不足すぎます……。
シードフレーズを盗む手法としてよくあるのは、「偽サポート」ですね。
ツイッターで「Metamaskの使い方を教えてください」とか書き込むと、一瞬で偽物がリプ&DMを飛ばしてきて笑えます。これとか偽アカウントですね。
偽アカウントは懇切丁寧にあなたにサポートを提供し、その過程で秘密鍵やシードフレーズを入力させ、あなたの資産を奪います。
Telegramやオープンチャット、ツイッターなどの公共の場で「どう考えてもド素人な質問」をすると、すぐに偽サポートに食われるのでご注意ください。DYOR!!
DNSハイジャックでシードフレーズ出しちゃった!
もう少し巧妙なケースだと、パンケーキスワップも被害にあった「DNSハイジャック」がありますね。
DNSハイジャックは、「ドメインはそのままで、サイトの中身が入れ替わる」というハッキングの手法です。ブックマークしていたとしても、飛んだ先は偽サイトになる……という恐ろしい手法です。
パンケーキの件では、サイトが微妙に入れ替わっており、秘密鍵の入力を求める仕様になっていました。基本的な知識があれば引っかかることはないんですが……やられた人はちらほらいたようです。
この手法は割と恐ろしくて、悪意あるコントラクトに中身がすり替わっていたりすると、慣れている人でもやられかねません。
パンケーキのSyrup Poolにお金を入れたら、入金先のコントラクトがすり替わってぜんぶ持っていかれた……とかありえます。
さすがにパンケーキはDNSハイジャックの対策ができていると思いますが、他のプロジェクトは相当危険性が高いと思ったほうがいいですね。
偽ウォレットをインストールしてしまい、お金が盗まれた!
これもよくある手法ですが、MetamaskやTrust Wallet、SafePalなどなどのウォレットアプリには、しばしば偽物が登場します。
パッと見は本物っぽいので、騙されてインストールしてしまう人がいるんですよね……。
ウォレットはセットアップ時にシードフレーズを入力するので、もちろん、偽アプリに引っかかるとシードフレーズが盗まれ、資産もぜんぶ抜かれます。
ウォレットをインストールする際は、必ず公式サイトからダウンロードしましょう。
なお、公式サイトにも偽物があるのでご注意ください。検索広告で偽のサイトが上位表示されることは、非常によくあります。
マルウェアに感染してお金が盗まれた!
これ非常に怖いです。ぼくがお金盗まれるなら、マジでこれかなと思ってます……。
仮想通貨を狙ったマルウェア(いわゆるコンピューターウイルス)は増加しています。
かなり守りを強くしていても、セキュリティをすり抜けて感染するケースが見受けられます。ウイルス対策ソフトは必ずしも反応しないので、安心するのは禁物です。
仮想通貨業界では信頼できるDEGさんですら、過去にハードウェアウォレットを狙ったマルウェアに感染しています。
ぼくはこの記事を読んでマジで恐怖に震えましたw 必読です!DEGさんレベルのリテラシーで引っかかるとか、無理ゲーですね。
関連記事:ハードウェアウォレットを狙ったマルウェア感染に注意!
完璧に対策するのは困難ですが……
- 怪しいファイルは絶対に開かない
- 怪しいサイトにはアクセスしない
- セキュリティ対策ソフト(有料)を入れる
- DeFi専用のPCを用意する
- 定期的にクリーンインストールする
- 公衆無線LANには繋がない(接続するならVPNを使う)
なんてところでしょうかね……。どこから感染するかマジでわからないので、各自最大限の注意を払ってインターネットを利用しましょう。
公衆無線LANで仮想通貨を取引していたら、ID/PASSが盗まれた!
これも怖いので知っておくといいですね。
いわゆる「公衆無線LAN」はセキュリティ的には非常に脆弱で、通信がかんたんに盗み見られてしまいます。ホテルやカフェ、コワーキングスペースなどの無線LANには注意しましょう。
たとえば、公衆無線LAN経由で、BinanceやFTXにログインしてしまうと、ID/PASSが盗まれる恐れがあります。
二段階認証をしていればハッキングは防げるので、まだ設定していない人は、急いで二段階認証を導入しましょう。
シードフレーズをウェブウォレットに入力する場合も、サクッとハッキングされる恐れがあります。
ぼくがガチのハッカーなら「仮想通貨投資家向けのカフェ」を作って、そこの無線LANからID/PASS、シードフレーズを盗みまくるでしょうね……。
完全に安心するのは危険ですが、VPNを使えば、いくぶんセキュリティ対策は強化できます。ホテルのLANを使うときは、VPNを通して使うといいでしょうね。ぼくはNordVPNに課金してます。
スマホをカフェで盗まれて、仮想通貨も盗まれた!
これは2017年の仮想通貨バブルのときに、実際に被害報告がありましたね……。
基本的に、スマホで仮想通貨は触るべきではありません。
ぼくも自分のスマホには、一切、資産を入れていません。
スマホを落としたら、そのスマホでBinanceにログインされて、見知らぬアドレスに資産が送られていた……とか、めっちゃ普通にありえますからねぇ。怖い怖い。
偽のトークンセール(IDO)に参加してお金が盗まれた!
これもよ〜〜〜くあります。
注目度の高い銘柄は、ほとんど必ず、偽のトークンセールが行われます。Solstarter(SOLS)とか何度見かけたことか……w
トークンセールに参加するときは、必ず公式サイトからアナウンスを確認しましょう。
ちなみに、「過去に参加したエアドロ系Telegramが、途中からアイコンと名前を替えて公式に化けて、偽のトークンセールを案内する」とかも定番手法です。
IDOにかぎらず、「公式サイトから」各種のアナウンスにアクセスすることを徹底しましょう。
ラグプル(運営持ち逃げ)に遭った!
これもまぁ………残念ながら自己責任。
APRが30000%くらいあるような新興銘柄(新台)は、そこそこ高い確率で、運営が資金を持ち逃げします。
特にBSCは、ほぼ毎日、なんらかのラグプル(rug-pull)が発生していますね。リスト化することすら困難ですw
ラグプルというのは、「じゅうたんをズッ!と引っ張って全員をすっ転ばせる」という程度の意味合いです。日本語でいえば「はしごを外される」が近いでしょうね。
明らかにヤバそうな新台に入るときは、ラグられる前提でいきましょう。ぼくもスキャム転がしは好きなんで、たまに遊んでますw
勝手にトークンが送られていた!(AllowanceのRevoke忘れ)
魔界の新台を触ったあとは、必ず、Revokeをしておきましょう。
このRevoke、普通に知らない人も多いんですよね……。
ブロックチェーン上のコントラクトを利用する際には、トークンの送付許可(Allowance)を与えることになります。
こちらから許可を与えてはじめて、トレードやファーミングが可能になります。こういうやつですね。
で、悪意あるコントラクトに許可を与えると、トークンがいつの間にか知らないアドレスに送られて、取り返せなくなることがあります。
この許可を取り消す作業が「Revoke(リボーク)」で、BSCなら「Unrekt」というツールで管理できます。
許可はトークン単位で与えられています。BUSD、BTCB、ETH、BNBなどの主要トークン(とLP)の許可は、厳格に管理しましょう。
もうゴミになっているトークンについては……わざわざRevokeするほどでもないですねw
もちろん、十分に信頼できるコントラクトについては、Revokeする必要はありません。
なお、間違えて取り消した場合については、また許可を求められるだけなので、気にすることはありません。
利用プロトコルがハッキングされた!(自演含む)
ここ最近めっちゃ増えてますが、悪意あるハッカーにプロトコルが攻撃されることがあります。
自分が利用しているプロトコルが攻撃された場合は、無論、預け入れた資産が盗まれる可能性が高いです。ほとんどの場合、補償は期待できないです。
直近であった事件と被害額をまとめると……
- Uranium(2021年4月29日):60億円
- Spartan(2021年5月3日):33億円
- ValueDeFi(2021年5月8日):15億円
いずれもコードのバグを突かれたかたちです。
UraniumとValueDeFiは複数回ハッキングを受けてます。
んでもって、Uraniumについては「自演なんじゃね?」という指摘もされていますし、ぼくもそれを疑ってます。資金はすでに洗浄されています。運営は匿名なので、自演だとしてもわからないんですよね……。
真偽はともあれ、運営側はハッキングを自作自演する可能性は十分すぎるほどあることは、よく理解しておきましょう。
ちなみに、監査(Audit)とか無意味なのでご注意ください。ValueDeFiも監査通ってましたよね、たしか。監査通った直後にラグったプロジェクト(MonsterSlayer)もあったくらいですし……。
利用プロトコルがエコノミック・アタックを受けた!
いわゆる「エコノミック・アタック」についても書いておきましょう。
これはハッキングとは微妙に違い、各種のプロトコルを複雑に組み合わせて、パラメータを恣意的に歪ませて利益を盗み取る、いわば「バグ技」です。
エコノミック・アタックでよく使われるのは「フラッシュローン」です。
イーサリアムではフラッシュローンを使った攻撃が頻繁に起こっていたのですが、BSCでも、ついにSpartanがフラッシュローン攻撃やられましたね。
関連記事:Spartan DeFi Suffers $30M Loss in BSC Flash Loan Attack
フラッシュローン攻撃については、あえて詳しくは説明しません。DYORでお願いします。これをよく理解できない人は、DeFiちょっと早すぎます。
利用プロトコルがやらかした!
ハッキングやエコノミック・アタックだけでなく、利用しているプロトコルが「やらかす」こともあります。マジ勘弁してくれ!!!って感じですw
ぼくが経験したのは、レンディングプロトコル「Venus」のやらかしです。
「え、クソかよ!」と思わず口をついたレベルですw Venusはユルサナイヨ
Venus事件(2021年1月)の経緯をざっくりまとめると……
- Venusが突然「CAN」という謎トークンを担保資産に追加(Voting実装前)
- プライベートセールに参加した大口によって、CANが大量に担保として供給される
- 流動性の低いCANの価格を、大口が操作
- 謎トークン「CAN」が莫大な担保価値を持った
- CANを担保に、大口ホルダーがBTCB、ETHなどを全力で借り入れ
- ほぼ100%まで借りられたので、投資家たちが預けた担保資産が引き出せなくなり大混乱
- Venus運営が大口ホルダーを説き伏せ、借りていたBTC, ETHなどが無事返済
あのまま大口ホルダーが「借り逃げ」してたら、Venusはほんとうに終わっていました……。
いきなり謎トークンを担保扱いで上場させるとか、振り返ってもマジで信じがたいです……。アナウンス一切なかったんですよ……w 逃げようがないw
詳しくはNinaさんのブログをどうぞ。読み物として面白いですw
Venus自体は、あれからだいぶマシになったので、さすがに二度目のやらかしはない……。
と思いたかったのですが、Venusはそのあとも「突然の仕様変更」をぶちかまし、AutoFarmらを事故らせています。もっとも、これはAutoFarm側にも落ち度はありますが……。
関連記事:21 April 2021 — Venus Vaults Post-Mortem
もひとつぼくが経験したのは、故・Nyanswopの「nyacash」です。こっちも流れを整理すると……。
- Nyanswopが新プロジェクト「nyacash」を発表
- 事前期待で関連トークンが盛り上がる
- nyacashがついにリリース!
- ……した瞬間に、トークン価格が大暴落!
- 運営側の設定ミスで、特定のパラメータが本来の「100倍」の数字になっていたことが判明
- 始まった瞬間にプロジェクト終了
いや、お前、間違えて100倍ってw できない子すぎるだろw ぼくはちなみに400万円ほど失いましたw
Venusはまともそうな顔をしてかなりヤバいので、ここに大量の資金を置くのは割と危険だと思ってます。またやらかしそうですね……。
他のプロトコルにも同じことがいえますが、運営の采配がどうにも微妙な場合は、利用を控えるか、動向を常にチェックするのが大事です。
サンドウィッチトレードで搾取された!
これ気づいていない人が多いと思います。
ブロックチェーンの取引はいわゆる「フロントランニング」が可能で、イーサリアム、BSCともに頻繁に「サンドウィッチトレード」が見受けられます。
これ、実際にサンドウィッチトレードで搾取されている例です。
解説すると、
- 「GROW」をパンケーキスワップで購入
- 自分の直前に50BNBでGROWを大量購入しているウォレットが存在(これによってGROW価格は上昇)
- 自分は上昇したあとの価格($292)でGROWを購入している
- その直後に、52BNBのGROW売却が発生している
- トークン価格は$272に下落
- 20ドル近く割高な値段で買わされてしまった
なんて流れです。狙った取引を悪意ある売買で挟むので、「サンドウィッチ攻撃」とも呼ばれます。
もちろん人間がやっているわけではなく、取引機会を狙ったbotが巡回しており、けっこうな被害が出ているようです。
サンドウィッチトレードを防ぐには、
- 1inchなどのDEXアグリゲーターを使う
- スリッページを下げる(1%以下)
- 大量にトレードせず、少しずつ売買する
といった対策が挙げられます。
面白い話で、サンドウィッチbotを狙った「サルモネラbot」なんてものも開発されていますw 開発者は24時間で130ETHも、逆に攻撃者を搾取することができたとか。
高値掴みして焦って損切りしてお金なくなった!
これは事故ではないんですが、多いので書いておきます……。
プロジェクト運営やインフルエンサーの煽りで、高値づかみをしてしまい、焦って損切りをして養分になる人……かな〜りいます。
で、こういうトークンは、あとで値段が回復することもあるんですよね。ガチのゴミ銘柄だと、そのまま消えていきますが……w
養分にならないための投資マインドをざっとまとめると、
- 投資対象のトークンの適正価値を自分なりのロジックで推計する
- 明らかに過大評価なら投資をスルー
- 推計した価値をもとに、自分なりの参入・利確・撤退ラインを明確にする
- 利確ラインに達したらサクッと利確
- 予想を外れたときはおとなしく損切り
- 中長期で握る場合は、自分の頭で将来性を確信できる銘柄以外は買わない
「誰かがおすすめしていたから買う」とかだと負けます。必ず自分の頭で判断しましょう。
こんなのは当たり前のことなんですが、自分の頭で考えず、よくわからないまま投資をしている人が多くてビビります……。
まとめ。
というわけで、DeFiがいかに怖い世界か、おわかりいただけたと思います。
ぼくらはこういうリスクを冒しながら「日利1%」みたいなバグ利回りを享受しているのですw
DeFiに置いてあるお金は、いつゼロになっても不思議ではありません。
攻撃手法も多様化、高度化しているので、完璧なセキュリティ対策はありえません。
リスクを取れない方は、おとなしくBinanceのステーキングやLiquid Swapあたりを利用するのをおすすめします。これも普通に利回りいいですからね。
「それでもDeFiという魔界で戦っていきたい!」という勇気ある方は、イケハヤ仮想通貨ラボでお待ちしております。
なお、各種ハッキング被害についても、迅速に分析を提供しています。ハッキングにあった場合は、ぼくができる範囲でサポートもしております(勉強も兼ねて)。
The post 【お金失う人多すぎ】DeFiの利用リスクとハッキング手法を徹底的にまとめます。 first appeared on イケハヤ大学【ブログ版】.
引用元: まだ仮想通貨持ってないの?