ディープダイアログ:オンチェーン取引におけるセキュリティリスクの防止方法とは?取引所の上場評価軸とプロジェクトリスクの識別
TechFlow厳選深潮セレクト
ディープダイアログ:オンチェーン取引におけるセキュリティリスクの防止方法とは?取引所の上場評価軸とプロジェクトリスクの識別
今回の対話では、取引所の上場リスク評価、チェーン上のセキュリティ問題、および投資家が自身の資産を保護する方法について共に議論しました。
Web3業界の深掘り報道に専念し潮流を洞察私たちはBitgetのリサーチャーTommyと、スローガンセキュリティチームの運営責任者Lisaを招き、取引所の上場リスク評価、オンチェーンセキュリティ問題、投資家が自身の資産を守る方法について議論しました。両ゲストは、新規プロジェクトの評価、既に上場されたトークンの監視、ハッキング対応などの経験を共有し、現在の暗号資産市場において投資家や機関が注目すべきセキュリティ上の危険性、および新しいツールを使ってセキュリティを強化する方法についても話し合いました。
オープニング紹介
Tommy:
こんにちは、私は暗号資産取引所Bitgetで2年半働いているリサーチャーです。Bitgetは当初、わずか2~300人のチームで、主にデリバティブ取引とコピートレードに特化していましたが、現在ではデリバティブ製品の市場シェアが約27%、月間訪問数が3,000万回以上に達し、100カ国以上で2,500万人以上の登録ユーザーを持つ、全エコシステムに対応した暗号資産取引プラットフォームへと成長しました。
私の2年以上の勤務期間中、VIP顧客向けのセミナー以外ではほとんどPPTを作成していません。私たちのチームは形式的なプレゼンテーションや煩雑な報告よりも、効率性と結果重視の文化を持っています。当社のリサーチチームには、DeFiプロダクトの設計・実装に長けたトップレベルの人材だけでなく、オンチェーンデータ分析の深い経験を持つ専門家も在籍しています。
Lisa:
こんにちは、私はスローガンセキュリティの運営責任者のLisaです。スローガンは業界をリードするブロックチェーンセキュリティ企業であり、オンチェーンおよびオフチェーンのセキュリティ分野で豊富な経験を持ち、脅威インテリジェンスにも長年にわたり取り組んでいます。スローガンは「脅威の発見から防御まで」を一貫して提供する、現場に即した包括的セキュリティソリューションを提供しており、主にセキュリティ監査とマネーロンダリング追跡(AML)の二大サービスを展開しています。「スローガン」という名前は『三体』から来ており、同作における「スローガンゾーン」は安全領域を意味し、ブロックチェーンという「暗黒森林」とも言える危険な世界の中での安全地帯を象徴しています。また、我々は「スローガンゾーン」というホワイトハッターコミュニティも構築しており、現在30万人以上が参加しています。
上場前にどのようにリスク評価を行うのか?新興プロジェクトと有名プロジェクトの評価戦略に違いはあるか?
Tommy:
Bitgetのリスク評価はリサーチ部門が主導し、監査およびリスク管理チームが協力します。まず、プロジェクトのジャンル、チームのバックグラウンド、出資元の履歴を徹底的に調査します。もしプロジェクトがBitgetのリスク管理ラインに抵触するもの、例えば違法ギャンブル、ポルノ、麻薬、政治的センシティブな要素を含む場合は、即座に拒否します。また、SEC(米証券取引委員会)からの訴訟を受けている、または悪評のあるプロジェクトも排除されます。たとえばPulsechain(PLS)はTGE直前の人気が非常に高かったものの、SECとの係争や否定的な評価があるため、当社は協力を一時保留しました。
次に、トークンの経済モデル、上場時のFDV(完全希薄化時価総額)、初期流通時価総額を評価します。これらの数値が過剰に高い場合、プロジェクトを拒否するか調整を求めます。高すぎる時価総額と低い潜在力の不一致は、一般投資家が損失を被る原因となるためです。最近では、資金調達に成功したVCトークンでも上場後に価格が90%下落するケースが見られ、こうしたトークンは今後避ける方針です。ただし、あらゆる手法を用いても将来の価格動向を正確に予測することは不可能であり、我々ができることは、可能な限りの方法論でトレーダーの損失を最小限に抑えることです。
非初回上場のプロジェクト、特に最近上場したMemecoinsについては、スマートコントラクトのリスク、保有者の集中度、LP(流動性プール)のロック状況などを特に注視します。新興プロジェクトに対してはより慎重になりますが、同時にイノベーションへの寛容性も持ち合わせています。たとえば、Bitgetが最も早く上場したUNIBOTは、当初「取引税の変更可能」「ブラックリスト/ホワイトリスト機能」など、管理者権限を保持していたため一定のリスクがありました。しかし、リサーチチームはUnibotの収益モデルを分析し、持続可能性がありRug Pull(突然の資金巻き上げ)の動機がないと判断し、最終的に上場を決定しました。その結果、トレーダーにとって良好なリターンをもたらしました。もう一つの例はORDIで、BRC-20の革新性がビットコインエコシステムを再活性化させ、採掘コミュニティの支持を得ると判断しました。
VCトークンとコミュニティトークンの評価方法とは?両者の違いはどう見るか?
Tommy:
ビジネス観点から、Bitgetの核心目標は、リスクを管理しつつ、ユーザーに多様な資産選択肢と投資機会を提供することです。一部のVCトークンはTGE時に大きな注目を集めますが、コンセプトやトークン経済設計がそのFDVを支えるほど強くない場合もあります。しかし、こうしたトークンを上場しないと、特に個人投資家や大口顧客から「なぜ取り扱わないのか?」と疑問を呈されることがあります。購入するかどうかはユーザー自身の判断であり、我々はその選択肢を提供する責任があります。時価総額の高いトークンについては、上場当日または翌日にデリバティブ取引を開始し、買い/売りの双方の需要に対応します。
内部的には、高トラフィックかつ巨大な上昇ポテンシャルを持つ「天王級」プロジェクトにはSランクを与えます。トラフィックが大きく、出資元も強力だが、製品がまだ固まっていない、あるいはコミュニティの反応が普通のプロジェクトはAランクに降格します。AランクプロジェクトはSランクほど積極的にプロモーションされませんが、取引所として上場に値すると判断されます。
上場後、どのようにプロジェクトのパフォーマンスとリスクを継続的に監視するか?
Lisa:
フルスケールの公的チェーン監査やスマートコントラクト監査とは異なり、取引所の上場評価支援においてスローガンは、資産に対するセキュリティ脅威に重点を置きます。技術面の検証が最重要です。たとえば、ソースコードの安全性を確認し、継続的なメンテナンスとアップデートが行われているかをチェックします。また、秘密鍵生成における乱数の安全性を検証し、信頼できる乱数源を使用していることを確認します。さらに、暗号アルゴリズムが業界で評価されており、成熟したコンポーネントであるかも確認します。経済モデルのリスク、たとえばピラミッド構造やデススパイラルの可能性も重視します。もちろん、チーム自体のリスクも重要で、特に特別な権限の存在やトークンの集中度が高すぎると、Rug Pullや大量売却のリスクが生じます。
取引所はハッカーの標的になりやすく、多くの場合、サーバーは防御システムの背後に配置され、資金管理のコアサービスはオフラインで保管されることもあります。しかし、ブロックチェーンシステムはデータ整合性を厳密に要求するため、悪意ある取引が周辺セキュリティをすり抜け、「偽の入金(false deposit)」を引き起こすことがあります。よくある攻撃手法の一つは「偽コイン」で、取引所が特定のコインの転送処理ロジックに脆弱性を持っている場合に利用されます。攻撃者は偽の入金取引を構築し、取引所が正当な入金と誤認してユーザーに残高を付与してしまうのです。また、ビットコインプロトコルのRBF(Replace-By-Fee)機能を利用して偽入金を行う手口も一般的で、攻撃者はより高い手数料で以前の取引を上書きし、取引所が誤って資産を承認することで損失が発生します。
なお、偽入金攻撃はブロックチェーン自体のバグではなく、ブロックチェーンの特性を悪用して特殊な悪意ある取引を構築するものです。これを防ぐには、特に高額または高リスクな取引に対して人為的な審査を行うことが有効です。また、外部APIインターフェースのセキュリティ認証と定期的なレビューを行い、未許可アクセスや潜在的な脆弱性を回避することも重要です。
Tommy:
プロジェクト上場後にリスクが発覚した場合、市場の反応は非常に迅速です。Bitget内では直ちに緊急下場の可否を協議し、ユーザー保護の措置を講じます。すべての上場済みトークンのパフォーマンスは常時監視しており、最近はこの管理体制をさらに強化しており、今後はより多くのST(特別処理)トークンが登場する可能性があります。
ST指定されたトークンが期限内に基本的な改善や流動性の向上を示さない場合、下場を検討します。多くのプロジェクトは上場後に活動を停止し、「放置」状態になり、市場の深さが悪化します。初心者ユーザーは取引時に大きなスリップページに見舞われ、体験が著しく損なわれます。この問題の解決に向け、現在積極的に取り組んでいます。
トークンリスクへの対策は、多くが上場前の段階で完了しています。第一波のMemeトークンブームの際、Bitgetは配布方法が不適切、プロジェクト側が過剰なトークンを保有、オンチェーンの保有アドレスデータが改ざんされているなど、高リスクなMemeトークンを多数拒否しました。上場料を支払う提案があっても、上場を見送りました。
スローガンが対応した代表的なオンチェーンセキュリティ事件は?
Lisa:
スローガン設立以来、多数のオンチェーンセキュリティインシデントに対応してきました。ここでは2つのタイプの事例を紹介します。一つはプロジェクト側が攻撃を受けたケース、もう一つは個人ユーザーが盗難被害に遭ったケースです。
最初に2021年のPoly Network事件を取り上げます。これは当時最大規模の攻撃事件の一つで、被害額は6.1億ドルにのぼりました。事件発生後、Poly Networkは当日20時頃に攻撃を受けたことを公表し、21時頃にはTether社がハッカーのアドレスにあるUSDTの一部を即座に凍結しました。当社は当日23時頃に、攻撃者の一部の身元情報とIPアドレスを発見し、資金の流れを追跡し始めました。翌日午後、ハッカーは資金の返還を開始しました。この事件はスローガンにとってのマイルストーンでした。これにより、迅速な対応、オンチェーンでのマネーロンダリング防止、資産のロックなど、損失を最小限に抑えるための緊急警告・防御プロセスを体系化しました。
もう一つは個人ユーザーの盗難事件です。今年2月、あるユーザーが「自分の資産が盗まれた」と相談に来ました。ハッカーは著名メディアの記者を装い、悪意のあるスクリプトを含むリンクをクリックさせ、結果としてアカウント権限と資金を盗み出しました。被害者はその後当社に連絡し、自身の体験を公開しました。当社は資金が特定の取引所に移動したことを確認後、直ちに該当取引所に連絡して一時凍結を依頼しました。捜査手続きは複雑でしたが、3か月半後、被害者は資産を取り戻すことに成功しました。これは台湾司法史上初めて、具体的な容疑者が特定されていない状況で、資金の追跡分析とウォレット所有者の証明を通じて、法執行機関の協力を得て資産の凍結・返還を実現した事例です。
これらの事例から、以下のような教訓を伝えたいと思います。もし不幸にも盗難に遭った場合、まず即座に損失を止める行動を取るべきです。たとえば、許可(approve)が盗まれた場合は速やかに取り消し、秘密鍵やリカバリーフレーズが漏洩した場合は残りの資産をすぐに移動します。PCがマルウェアに感染した場合は、ネット接続を切断するべきですが、電源は切らずに証拠保全のために残すことが推奨されます。各プラットフォームのパスワードを変更し、ウォレットも交換してください。盗難のタイムラインと詳細を記録し、第三者のセキュリティチームの支援を求め、捜査開始後は法執行機関の協力を要請しましょう。これらは個人資産を守る上で極めて重要なステップです。
どうやってトークンコントラクトやインタラクションプロジェクトの安全性を判断すればよいか?
Lisa:
最も簡単な方法はコードを確認することですが、技術に詳しくない初心者にとっては難しいでしょう。そのような方は、古典的なフィッシングや詐欺の事例を学び、その特徴や形態を理解することで警戒心を高めることができます。特に注意すべきは、「買えるが売れない」偽トークンのような罠です。プロジェクトを評価する際は、「高リターン、高利回り」は通常、高リスクを伴うことを認識してください。チームが透明性を持っており、メンバーが知られているかどうかもチェック項目です。これにより、Rug Pullや詐欺に遭う確率を下げられます。また、コードがセキュリティ監査を受けているかも確認すべきです。可能であれば、トッププロジェクトへの参加をおすすめします。仮に攻撃に遭っても、補償スキームがあることが多く、資産の安全性が比較的高いためです。
Tommy:
普通のユーザーの多くは、コードのセキュリティを自分でチェックする能力や時間を持っていないと思います。最も簡単なのは、GoPlusのような信頼できるサードパーティツールを使うことです。これは多くのチェーン、特にEVM系チェーンに対応しています。SolanaユーザーはRugCheckやgmgn aiを試してみることをおすすめします。これらはトークンのリスクを検出するのに役立ちます。オンチェーンでトレーディングする際、一部のトークンはコントラクトを公開せず、または取引税の変更権限を保持していることがあります。これにより、プロジェクト側が大量の資金流入後に売却税率を99%や100%に引き上げるといった不正行為が可能になり、まさに一種の詐欺です。
また、現在Bitget Walletなどのノンカストディウォレットにはリスク警告機能が内蔵されており、高リスクなトークン取引時に警告が表示されます。初心者ユーザーにとって非常に使いやすい機能です。DeFiでの運用を考える方には、有名プロジェクトに加えてTVL(総預入価値)にも注目することをおすすめします。あるプロジェクトのTVLが5,000万ドルを超えていれば、参加を検討できますが、それが複数のユーザーによるものか、ごく少数の大口ウォレットによるものかを確認する必要があります。数千万ドル以上の大きなプールであれば、仮に倫理的リスクが発生しても、問題の解決が比較的容易になる傾向があります。
一般ユーザーと機関ユーザーそれぞれに向けた、オンチェーン操作のセキュリティアドバイスは?
Tommy:
一般ユーザーへのアドバイスは以下の通りです。まず、ウェブサイトにアクセスする際はURLの真正性を慎重に確認してください。次に、トークンの許可(approve)を行う際は無制限許可を避け、小規模プロジェクトのコントラクト許可は早めに取り消してください。DeFi操作に参加しない場合は、プルーフ・オブ・リザーブ(準備金証明)を持つ中央集権型取引所を利用し、シンプルな資産運用を行うのが安心です。ビットコイン保有者の方は、ハードウェアウォレットの使用が最適な選択肢です。
機関ユーザーは通常、セキュリティ対策についてよく理解していますが、それでもマルチシグウォレットの使用を推奨し、権限の管理を厳格に行うべきです。セキュリティ事故が発生した場合は、早期に対処し、小さな問題を放置しないようにしてください。小さな問題が将来的に大きな損失につながる可能性があります。専門のセキュリティ担当者を雇い、セキュリティ監査や評価を定期的に行うことも重要です。たとえば、セキュリティ機関と協力してペネトレーションテストを行うのも有効です。
Lisa:
オンチェーン操作において、ウォレットのセキュリティが最も重要です。ウォレット資産の盗難は主に3つのパターンに分けられます:秘密鍵またはリカバリーフレーズの盗難、許可署名のフィッシング、送金先アドレスの改ざんです。
秘密鍵やリカバリーフレーズの盗難を防ぐには、偽のウォレットアプリを使わないことが重要です。多くのユーザーが検索エンジンの広告やサードパーティのダウンロードサイトからウォレットを入手しており、こうした経路には秘密鍵やフレーズが盗まれるリスクがあります。また、悪意あるブラウザ拡張機能もユーザーの認証情報や機密データを盗む可能性があります。信頼できるソースからのみ拡張機能をインストールし、ブラウジングと資金取引では別のブラウザを使用して隔離し、定期的にウイルス対策ソフトで端末をスキャンすることをおすすめします。
フィッシングに関しては、「ブラインド署名(blind signing)」が最も一般的です。つまり、内容を確認せずに署名してしまうことです。特にオフチェーン署名では、ユーザーは「署名はチェーンに上がらずガスも使わない」と思い込み、油断しがちですが、これが資金盗難につながります。このような悪意ある署名の痕跡は、フィッシャーのアドレスにしか残らず、被害者は気づきにくいです。
オンチェーン操作のリスクを防ぐ鍵は「ドメイン」と「署名」にあります。ユーザーには「見えるものが署名するものであること(What You See Is What You Sign)」を徹底し、ブラインド署名は絶対に避けてください。署名内容が理解できない場合は、操作を中止するのが最善です。また、ウイルス対策ソフトの導入、2段階認証(2FA)の有効化、怪しいリンクのクリック回避などもセキュリティ向上に効果的です。最後に、過去の事例を学ぶことでセキュリティ意識を高めてください。感情に流されて安易に操作せず、疑わしいときは複数の手段で検証し、安全を確保しましょう。スローガン創業者の余弦が執筆した『ブロックチェーン暗黒森林 自救ガイド』は必読の一冊です。
Memecoin取引にはどのような一般的なセキュリティリスクがあるか?
Tommy:
プレセールのMemecoinでは、多くのトレーダーがオープン直後に迅速に参入し、ボットや自作コード、gmgn aiなどのプラットフォームを使ってスナイプ(先行購入)を行います。しかし、プロジェクト側が何らかの理由でオープン時間を延期することがあり、その結果、多くの人が偽のトークンを購入してしまいます。これらの偽トークンはティッカー名や画像が本物と同じため、本物のトークンがオープンする頃には、すでに4~5つの逃走目的の偽物が市場に出回っていることがあります。そのため、このような高注目プレセールに参加する際は、プロジェクト公式が確認したコントラクトが公開されるまで待つべきです。そうでなければ簡単に騙されます。
現在、Memecoinのコントラクト権限の放棄、保有者の分散、LPの破棄は最低限の要件となっています。Memeトレーダーたちはこれらを非常に厳格に見ています。プロジェクト関係者が早期に購入していた形跡が見つかれば、他の参加者は即座に離れてしまいます。
これらの基本要件に加え、私はLPの流動性が少なくとも30万~50万ドルは必要だと考えます。これは最低基準です。小規模なプールはRug Pullのリスクが非常に高く、利益も限定的です。また、TGE時のFDVはあまり高すぎてはいけません。オンチェーン取引量が小さく、ソーシャルメディアでの話題性も低いのに、FDVが数千万ドルもある場合は非常に怪しいです。
さらに、Memecoinの開発者は単一のトークンだけでなく、複数のトークンを同時または順次リリースすることが多いです。過去に複数のRug Pull Memecoinをリリースした開発者がいる場合、その新プロジェクトも再びRug Pullする可能性が高いです。こうした開発者の新プロジェクトには特に警戒が必要です。
Lisa:
EthereumやSolanaでMemecoinを取引する際には、それぞれ異なるオンチェーンリスクがあります。EVM系のパブリックチェーンでは、トークン発行の自由度が高く、トークンのロジックは開発者が自由に実装できます。一方、Solanaでは公式チャネルを通じてトークンが発行されるため、オンチェーン取引のリスクも異なります。
よくあるリスクには、悪意のあるトークンとRug Pullトークンがあります。たとえば、あるMemecoinは話題性が高いものの、ユーザーが売却しようとした際にアドレスがブラックリスト入りしており、売却できないというケースがあります。こうしたトークンは、転送を制限する特別なロジックを仕込んでおり、ユーザーがトークンを売却できなくなります。また、Rug Pullトークンには、無限増発可能な裏門(バックドア)ロジックが含まれており、プロジェクト側が特権関数を使ってユーザーのアドレスを凍結したり、悪意ある操作を行うことができます。
ユーザーのオンチェーンセキュリティを高めるために使える新技術・新ツールは?
Lisa:
冒頭でも触れましたが、Scam Snifferはフィッシングリスクをブロックするブラウザ拡張機能で、非常に便利で、私も実際に使用しています。また、その許可管理ツールもおすすめです。Revoke.Cashも定番のツールで、許可の取り消しや確認に役立ちます。また、AVGやカスペルスキーなどのウイルス対策ソフトも信頼性が高い選択肢です。
これらの許可管理やフィッシングブロッキングツールに加え、GoPlusも優れたツールで、貔貅盤(ピシャオパン、買えるが売られない詐欺)や貔貅コインを効果的に検出できます。強くおすすめします。また、端末に関連するツールとしては、1Passwordのような有名なパスワードマネージャーや2FA認証ツールも挙げられます。紛失時のバックアップが必要ですが、2段階認証なしよりははるかに安全です。
さらに、スローガンのMistTrack(ミストトラック)AML追跡システムもぜひご紹介したいと思います。MistTrackに基づく「Black U(黒U)検出ツール」をリリースしており、ユーザーは取引アドレスを入力することでスコアを確認でき、マネーロンダリングリスクを識別・回避できます。
こうしたツールはオンチェーンセキュリティの向上に貢献しますが、絶対的な安全を保証するものではありません。新バージョンにバグが含まれたり、裏門が埋め込まれたりする可能性もあります。そのため、これらのツールを使う際は独立した思考を持ち、ゼロトラスト原則を実践し、常に検証を続けることをおすすめします。絶対的な安全は存在しないという意識を持つことが、最も重要です。
暗号業界でさらなるセキュリティ強化が必要な分野は?
Lisa:
暗号業界ではセキュリティ問題を無視できません。一つのミスが数百万ドルの損失につながり、プロジェクトの崩壊や個人の破産を招く可能性があり、あらゆる分野がハッカーの攻撃リスクに晒されています。セキュリティの「木桶理論(短板理論)」に基づけば、セキュリティ強化は全体的な取り組みが必要です。ユーザー、プロジェクト側、サプライチェーンなど、すべての環節が重要であり、どれ一つとして弱点があってはならず、どこか一つの隙が全体のセキュリティサイクルを破壊します。技術的防御と人的防御を組み合わせた体系的な防御体制が不可欠です。
まず、ユーザーのセキュリティ意識の向上が求められます。スローガンは「盗難・詐欺報告フォーム」を提供しており、被害を受けたユーザーが情報を提出することで、無料で資金追跡とコミュニティ評価を行っています。こうしたフィードバックから、多くのユーザーのセキュリティ意識が依然として低く、警告やインシデント通知を無視し、FOMO(Fear of Missing Out)の感情に流され、典型的な攻撃手法を理解していないことが明らかになっています。
プロジェクト側も個人ユーザーも、よくある攻撃手法を理解し、事前に緊急対応計画を立てておくべきです。損失が発生した際に問題を迅速に特定・制御できるようにするためです。スローガンでは『ブロックチェーン暗黒森林 自救ガイド』やTwitterを通じてセキュリティ知識を発信していますが、多くのユーザーは資産にのみ関心を持ち、セキュリティの深い理解には消極的です。これは業界全体で協力して取り組むべき課題であり、ユーザーの資産安全をより良く守るために努力する必要があります。
最近、Twitter上では偽のプロジェクト公式アカウントによるフィッシングコメントが多数見られます。SpaceXのエンジニアたちが新たに「リプライ内のリンクを無効化する」機能を導入しました。これは非常に効果的なセキュリティ対策で、フィッシングのリスクを大幅に低減できます。こうした業界の前向きな進展が、今後ももっと増えることを願っています。ユーザーのリスク対応能力を高めるためのサービスが、より多く登場することを期待しています。
Tommy:
業界関係者であり、ユーザーでもあり、プレイヤーでもある立場から、ツール系プロダクトがさらに洗練され、セキュリティに関する不安を減らしてほしいと思っています。リスクが発生した際に即座に警告してくれたり、潜在的な危険な操作を自動でブロックしてくれたりするようなツールが理想です。このようなユーザーに優しい仕組みがあれば、Web3のユーザーエクスペリエンスは、将来的に現在のWeb2を上回ると信じています。
外部からのユーザーがCrypto分野にスムーズに参加できるようになれば、この業界は真に成長・発展できるでしょう。こうしたインフラの整備は、ユーザーがリスクから守られるだけでなく、新参ユーザーにとっても良い体験を提供し、騙されて業界全体に反感を持つような事態を防ぐことにもつながります。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
吴说区块链
