Crystal Clear教育シリーズ 10: Safety First!

分散型金融(DeFi)は、ユーザーの資金に比類のないパワーを提供します。ブロックチェーン技術が可能にする経済的自由は、他のどの技術よりも優れていますが、格言にもあるように、大きな力には大きな責任が伴います。

ここでは、セキュリティに関するベストプラクティスの簡単なヒントをいくつか皆さんに提供し、その後スマートコントラクトのやり取りにおけるセキュリティリスクについてより詳細な説明をしていきます、これらを学ぶことにより皆さんがスマートコントラクトを利用する際に、より多くの情報を得ることができるようになります。

Top Tips

Smart Contracts

スマートコントラクトとは、ブロックチェーンを動かしているコンピュータプログラムで、特定のパラメータが満たされたときにと特定の行動を自ら実行することができます。スマートコントラクトとブロックチェーンの詳細については、こちらをご覧ください。

At a glance, one can see how this creates inherent risk, when you are sending your tokens to these contracts, as a number of things can happen to your funds. We’ll go over a few security risks, how to identify a shady dApp,

ざっと見ると、スマートコントラクトがどのように固有のリスクを生み出すかを理解することができます。ここでいう固有のリスクというのは、これらのコントラクトにトークンを送信する際に、あなたの資金(トークン)に様々なことが起こる可能性があるというリスクです。ここでは、いくつかのセキュリティリスクと、怪しいdAppの見分け方について説明します。

承認の段階でのSCAMの例

最初にdAppとのやり取りを始める際には、Pool/Farm/Swapなどそれぞれに対してユーザーの”承認”が必要であることが表示されます。
これは、スマートコントラクトがあなたの資金を使用することをはっきりと許可する必要があるということです。

ここに、私の資金を盗んだTransactionの例があります。
(くれぐれも自分で試さないようにしてください。ユーザーがこのウェブページにアクセスするのを防ぐために、一部情報を隠してあります）

このような詐欺はさらに進んで、あなたが自分のトークンAの支出を承認するかのように欺いて、他のトークンBも承認させようとしてくることがあります。下図を見ていただくと、このdAppではユーザーが”evident rug”というトークンを承認するときに、勝手に”amDAI”というトークンを引き出そうとしていることが分かります。。

ここで起こっていることは、dAppがあなたのウォレットのトークン残高をスキャンし、最も高い残高のトークンをどこかに送らせるコントラクトを許可するようにあなたを騙そうとしているのです。

このような方法で資金を失うユーザーを見てきましたが、非常に悲しく、DeFiへの誤解を招く行為です。悪い雰囲気を醸し出しているdAppsとはやり取りしないでください。

取引の承認と同様に、JDIYieldのようなサービスを使って承認を解除することもできます。

確認すべき項目

一般的に、怪しいdAppsは見た目から怪しいものです。中には非常に説得力のあるものもありますが、大抵は彼らもSCAMMERが気付いていない穴を見つけることができます。先ほどのdAppでは、SNSへのリンクをすべて試してみましたが、ほとんどがまったく関係のないページにリンクされていました。これは危険信号です。

一般的なルールとして、もしdApp開発者がリンクが動作するか確認するために十分な努力をしていなければ（最悪の場合、まったく関係のないページにつながるリンクであれば）、そのdAppには手を出さないほうがいいでしょう。

このように、ウォレット内の取引を実際に確認し、ウォレット内で確認できる情報や、暗号化された署名が、実行したい行為に対して実際に意図した方法で正確に行われているかどうかを確認することが、安全性を確保するのに役立ちます。

上の例のように、Transactionを”承認したかっただけ”（何も売っていない）なのに、意図していない”Send(資金の移動)”のTransactionになってしまったり、自分の意図していないトークンが承認されてしまったりすることがあります。実際の情報を見て、自分がやろうとしていることと実際に行われようとしていることが合っているのかをその都度、自分自身に質問をすることで、このような事態を防ぐことができます。

Wrapping up

DeFiは新しい産業であり、90年代後半から00年代前半にかけてのインターネット詐欺のように、私たちのおばあちゃん世代が”アンチウイルス”ソフトに何百ドルも費やしたような、今まさにその段階にあるのです。自分の資金を自分で管理できるという素晴らしさは、裏を返すと最大のリスクでもあります。怪しいdAppとのやりとりは、あなた以外の誰にも止められませんので、気を付けてください。

特にまだ信用のない新しいdAppの場合は、本当に注意しなければなりません。自分のウォレットに勝手にエアドロップされたトークンを売ろうとしたり、知らない人に自分のウォレットに対する権限を与えるような取引を知らずに承認したり、”無料エアドロップ”に参加しようとしたり、その他多くのSCAMMERによる行動により、トークンを騙し取られた人を数多く見てきました。このようなことが起きると、だまし取られたものを取り返す手段は今のところありません。

これらのちょっとした情報が、皆さんが詐欺に遭わないようにするための理解に役立つことを願っています。近い将来、より多くのセキュリティに関するヒントや記事を提供していく予定です。

翻訳元：https://polycrystalfinance.medium.com/crystal-clear-education-10-safety-first-d7181e5de893