Web3セキュリティー

最初編集日 4/29

▸概要

私自身を含め周りのほぼ全ての人がWeb3で詐欺にあったことがあり、本当に危険だと思います。今回の記事を熟読した上、自分のウォレットを保護してください。

▸検索

サーチエンジンでそのまま自分のアクセスしたいプロジェクトを検索するのではなく、必ずツイッターを通して検索し、フォロワーが多いアカウントでかつ、自分の信用する人がフォローしているところからリンクを飛んでください。

例えば下記のスクショをみていただくと一見全く一緒の二つのアカウントであっても間違ったものに飛んだら資金が奪われます。

ピンク色はユーザネームが微妙に違い、知人の誰からもフォローされていないことで偽物判定。

よく使うところであればそのまま記憶しておくこともお勧めします。

例えば私が今すぐ思いつくドメイン名は

orbiter.finance
aave.com
metamask.io
revoke.cash
　などあります。

▸Revoke（レボーク）

revokeとはよく聞く言葉であるが、実際の意味は許可や権限をを取り消すことです。

Web3のホットウォレットでは基本基軸通貨（ガス代となるネイティブトークン、Ex.ETH、Matic、Solなどなど）は使用権限を与えることなく、そのまま使いますが。他の全ての通貨は使用権限をDappsに与えないと使えない状態でホットウォレットの中に存在します。

これらのトークンを使う時は下記のスクショのように上限額を設定しておく必要があります。

この時Maxを押しがちな方たくさんいると思いますが、自分の使う額をのみ手入力してください。例えばUniswap.orgで$USDCを5ドル$ETHにスワップしたいのであれば5.1ドルを入力してください。

例え本当のホームページからアクセスした本物のDappsであっても、今後スマートコントラクトがエクスプロイト(バグを不正利用)された時、使用を承認してしまった額は盗られると思った方がいいです。

大金を取られないようにするために上限額(Spending Cap)を使う額だけ設定してください。

※設定した上限額は使い切ってしまったら自動的にRevokeされます。例えば先の例ではUSDC5ドルを許可しました。UNIで5ドルをETHにスワップした場合、設定した上限額を全て使い切ったとなるので、もう一度Revokeする必要はありません。

revokeする際、お勧めのサイトはrevoke.cashです。

使い方も簡単で、ウォレットを接続したらRevokeできます。それぞれのチェーンによって違ってきますので、チェーンを変更すると別チェーンの権限をRevokeできます。

▸どれをRevokeするのか

Sushiがエクスプロイト(バグを不正利用)される前までは大手のDappsであればさほど気にする必要がないように感じていましたが、やはりそれも危険です。基本UnlimitedとなっているトークンはRevokeしておきましょう。

なお、OpenseaなどでNFTを出品している場合はRevokeすると出品が自動的に終わってしまいますので、注意してください。

▸Extention

悪意のある使用許可を求めてくるサイトにどうしても出会ってしまうことがあると思いますが、こういう時それを察知してくれるエクステンションアプリが役に立ちます。同じくRevoke.cashのExtentionをクリックしたら自分のChromeやお使いのブラウザーにインストールできます。

▸ウォレットのdisconnect

ウォレットをDisconnectすることはなんの意味もないです。

トークンの使用を許可している場合Revokeしないとディスコネクトした場合も持続的にトークンが奪われます。

逆にいうとウォレットを悪意のあるサイトに繋ぐだけであれば問題はないです。なにかを承認するとまずいことになります。

と言っても悪意のあるサイトを訪ねるのは危険なのでOfficial Linkを踏んでください。

▸フィシングサイトに引っかかった場合

まず自分のウォレットが今どういう状態というかを確定する必要があります。

下記の表を参照してください。

①：悪意のあるサイトの許可を承認したと思われます、取られたトークンの全ての許可をRevokeしたらそのウォレット自体は安全です。

②：NFTマーケットプレイスでよく見られるSignatureスキャムと思われます、Revokeしたらウォレット自体は安全になります。下記のスクショのような読めないものに署名を求めてくるものは一切サインしないでください。

③：シードフレーズが漏れたのでそのウォレットを廃棄してください。

④：ETHを一度のみ取られるなにかをサインしたと思われます、危険性が高いですが、一応ウォレットを使い続けても大丈夫です。

⑤：ETH及び別のトークンが取られるスキャムをサインしたと思われます。Revokeしたらウォレット自体は一応安全といえます。

要するに、ネイティブトークンと別のErc-20 規格のトークンとは質的な違いがあり、ETHを承認する必要なくもETHを使うことができます。そのため、もしETHが知らないアドレスに本人の許可なしに送られた場合ウォレットを廃棄した方が一番安全です。他のトークン、例えばUSDT,USDCなどが取られただけであればその二つのトークンに関わる使用権限を全てRevokeすればウォレットは安全といえます。