# DeFiのセキュリティ ベストプラクティス By [yakugakusei](https://paragraph.com/@yakugakusei-2) · 2022-08-09 --- 分散型金融(DeFi)は、従来の金融(TradFi)に付随する仲介業者や手数料をカットしたピアツーピアのグローバルな金融システムです。労働の代わりにコードと対話することで、DeFiユーザーは自身で大きな利益を得ることができます。 一方で、この新生金融システムには、TradFiが何十年もかけて確立してきた保護やセーフガードの多くが欠けています。DeFiでは、ユーザーが自分の行動とセキュリティに責任を持つことが求められています。 DeFiのユーザーは、多くの金融サービスやプロダクトを自由に使うことができ、「自分自身の冒険を選ぶ」ことができます。また、経済の[ワイルドウェスト](https://www.barrons.com/articles/what-is-defi-wild-west-crypto-51635526163)と呼ばれるところに新しい道を切り開くわけですから、多くの注意点が必要です。 この記事では、DeFiの安全性に関するいくつかのヒントと、ユーザーが思わぬ落とし穴を避けるのに役立つクリプトのベストプラクティスについて紹介します。 クリプトとDeFiのために電話や信頼できないネットワークを使用しない ---------------------------------- クリプトのハッキングの多くは、ユーザーが携帯電話で仮想通貨ウォレットを使用していることに関連しています。携帯電話には悪意ある者が利用できる多くの攻撃面があり、現時点では、モバイルウォレットを介してブロックチェーンとやり取りすることは、信じられないほどの既知のリスクを背負っているのです。これは、Solanaが[Web3スマホ](https://techcrunch.com/2022/06/23/solana-launches-web3-focused-smartphone-saga-to-improve-crypto-mobile-relationship/)をリリースしようとしている大きな理由です。 ハッカーはあなたの[SIMカードをコピー](https://www.newsweek.com/sim-swap-hackers-allegedly-stole-100m-cryptocurrency-celebrities-influencers-1568225)してアカウントにアクセスすることができますし、あなたがダウンロードしたアプリのバックドアからあなたの携帯電話に侵入することもできます。さらに悪いことに、携帯電話に必要なあらゆる予防措置を施しても、[サプライチェーン攻撃](https://www.hackread.com/thousands-github-repositories-cloned-supply-chain-attack/)の犠牲になってしまうことがあるのです。 携帯電話のソフトウェアに潜む脆弱性、そしてあらゆるデバイスの[インターネットへの接続方法](https://www.ledger.com/academy/security/hack-wifi)が、この悪夢に拍車をかけているのです。ですから、DeFiに参加し、ウォレットで取引に署名するときは、この情報を送信するネットワークを信頼できることを確認したいものです。 私たちのほとんどは、友人と連絡を取り合ったり、ネットサーフィンをしたり、DeFiに参加するために、他人が作ったテクノロジーに依存しています。約9,000人のSolanaユーザーに影響を与えた[最近のエクスプロイト](https://www.coindesk.com/markets/2022/08/03/phantom-wallet-exploit-drains-millions-in-sol-tokens/)は、開発者がミスをした場合、いかにユーザーを危険にさらすかを示しました。 DeFiは金融サービスにおける仲介者を排除しているかもしれませんが、だからといって、どこにも仲介者がいないわけではありません。善意の開発者がミスを犯すこともあれば、悪意のある行為者があらゆるものを悪用する方法を見つけることもあるのです。 ハードウェアウォレットを導入してクリプトの安全性を最大限に高める -------------------------------- クリプトのハッキングの被害に遭わないようにするには、[ハードウェアウォレット](https://hackernoon.com/why-the-solana-hack-proves-you-need-a-hardware-wallet)を設定して正しく使用することです。ハードウェアウォレットはコールドウォレットやコールドストレージとも呼ばれ、秘密鍵を物理的なドライブに保存し、使用しないときは世界から切り離しておくことができます。 報告によると、Solana Ledgerユーザーは今回のエクスプロイトの影響を受けていないとのことです。SolanaのDeFiに参加している方は、Ledgerを注文して仮想通貨の安全を確保することができます。 ![LedgerウォレットはSolanaに対応](https://storage.googleapis.com/papyrus_images/a4cebcf879d00c2a7e266fc6fd2bab196136208e44188495bf755efc0b4e0d90.png) LedgerウォレットはSolanaに対応 ハードウェアウォレットは、メーカーに直接注文するのが一番です。サードパーティの販売者は、出荷前にデバイスを改ざんすることができるからです。また、この情報が[悪人の手に渡る](https://www.coindesk.com/tech/2021/01/13/ledger-adds-bitcoin-bounty-and-new-data-security-after-hack/)可能性を最小限にするために、[Burner Email](https://www.nytimes.com/wirecutter/blog/how-to-disposable-email-phone-numbers-credit-cards/)を使用し、自宅以外の場所で配送を受けることをお勧めします。 ハードウェアウォレットを手に入れたら、ホットウォレットで使っているのと同じ鍵ではなく、新しい秘密鍵のセットで[セットアップ](https://support.ledger.com/hc/en-us/articles/360018784134-Set-up-your-Ledger-Nano-X?docs=true)することを忘れないようにしましょう。そうすれば、DeFiプロトコルとやり取りしたいときはいつでも、誰も知ることのないコールドウォレットの鍵から取引に署名することができ、この情報が世間にさらされる時間を最小限に抑えることができます。 あなたがもし仮想通貨をウォレットで保管せず、DeFiのスマートコントラクト上に置いておきたい真の[degen](https://www.coindesk.com/tech/2020/08/13/how-defi-degens-are-gaming-ethereums-money-legos/)だとしても、鍵はできる限り安全に保管したいものです。ハッカーがあなたの秘密鍵にアクセスすると、彼らはあなたの資産をすべて引き出すことができます。 知らない人に話したり、変なリンクをクリックしない ------------------------ 人間的側面では、DeFiでカスタマーサービス部門やカスタマーサポートマネージャーはまず見かけません。ほとんど自己責任です。 もし助けが必要なら、DeFiプロジェクトのDiscordやTelegramなど、信頼できるチャンネルを通じて、チームメンバーと話しましょう。その際、正しいサーバやグループであること、なりすましでないこと、正しい人と話していることを再確認してください。 ![Hubbleのヘルプデスクでは、ユーザーが直接チームに問題を報告することができます](https://storage.googleapis.com/papyrus_images/4d87fbcbb2b8d6ea1e627f42646d52bab2af437276067a4aa9dfa0e7ef7266ff.png) Hubbleのヘルプデスクでは、ユーザーが直接チームに問題を報告することができます DeFiプロジェクトが突然メッセージを送ってくることはほとんどなく、シードフレーズのような機密情報を要求することもありません。そのため、ハードウェアウォレットを持っていて、シードフレーズを詐欺師と共有したとしても、運が悪かったとしか言いようがありません。 [ソーシャルエンジニアリング](https://www.gemini.com/cryptopedia/social-engineering-definition-attack-examples)は、経験豊富なユーザーさえ引っ掛けるクリプト詐欺の一種なので、インターネット上で他人とやり取りするときはあらゆる予防策を講じる必要があります。ソーシャルメディア上で自分のクリプトやDeFiのポジションに関する情報を明かすことは、額に標的を描くようなものなので、できるだけ詳細について黙っているのが一番です。 真面目な話、[Shia Labeoufが人里離れた場所に隠した旗の在り処をインターネットが突き止めるのに2日もかからなかった](https://www.vice.com/en/article/d7eddj/4chan-does-first-good-thing-pulls-off-the-heist-of-the-century1)ことから分かるように、クリプトの純資産やその他の個人情報をウェブ上で明かすことは、とんでもないことなのです。実世界のクリプト攻撃は[以前にも起こったこと](https://www.theguardian.com/uk-news/2018/jan/28/cryptocurrency-trader-forced-at-gunpoint-to-make-bitcoin-transfer)があり、誰も[5ドルレンチ攻撃](https://cryptosec.info/wrench-attack/)の被害を受けたくないでしょう。 ![ソース https://xkcd.com/538/](https://storage.googleapis.com/papyrus_images/7990142e35aad94d76c5e285c1435fdf922201d140d9c8d2571c9962aa4325aa.png) ソース https://xkcd.com/538/ クリプトやDeFiに関連したメッセージを送ってきた人は無視する。これは、[フィッシング詐欺](https://decrypt.co/104916/hackers-nab-8m-ethereum-uniswap-phishing-attack#:~:text=The%20phishing%20scam%20promised%20a,through%20a%20malicious%20smart%20contract.)を避けるための最良の方法の一つであるため、厳格なルールとしてください。信頼できないリンクや、信頼できるソース(あなたが知っている誰かで、その人の本物のアカウントからのメッセージであることを100%確信している)以外から来たリンクはクリックしないことです。 DeFiの安全性はあなた自身にかかっている --------------------- DeFiの安全性は、仮想通貨を安全に保管し、リスクを回避するあなたの能力に依存しています。Solanaの秘密鍵が悪意ある人物の手に渡ると、資金を取り戻すことが不可能になる可能性があるため、DeFiを利用する際はできるだけ慎重にということを覚えておいてください。 最近のウォレット攻撃で、特定のウォレットユーザーが被害を受けた際、ハードウェアウォレットを入手していなかったほぼ全員が、リアルタイムで展開されるエクスプロイトに頭を悩ませていました。次にクリプトが大量にハックされ、その原因が誰にも分からないときに、[ペーパーウォレット](https://docs.solana.com/wallet-guide/paper-wallet)のセットアップ方法を見つけるために慌てることは避けたいでしょう。 DeFiはトラストレステクノロジーで動作しますが、それでも誰かが構築したシステムのあらゆる部分が悪用されないことを信じなければなりません。また、自分がDeFiのセキュリティの弱点にならないように信頼しなければなりませんが、これは誰にとっても難しいことです。 DeFiの安全性に関するベストプラクティスを守り、[自分が直面している問題を理解](https://www.ledger.com/academy/how-crypto-gets-stolen-and-how-to-avoid-it)し、安全に利用しましょう。 * * * こちらの記事は以下の記事を和訳したものになります。 [https://blog.hubbleprotocol.io/defi-security-best-practices/](https://blog.hubbleprotocol.io/defi-security-best-practices/) * * * Hubble Protocol --------------- [Website](http://hubbleprotocol.io/?utm_source=newsletter&utm_medium=article&utm_campaign=blog_internal) | [Twitter](http://twitter.com/hubbleprotocol) | [Telegram](http://t.me/hubbleprotocol) | [Discord](http://discord.gg/hubbleprotocol) | [Email](http://mailto:comms@hubble.markets/) | [Reddit](http://reddit.com/r/usdh) Yakugakusei ----------- Crypto enthusiast / researcher / blogger / ambassador / translator 🇯🇵 Feel free to contact me in English😉 [Twitter](https://twitter.com/_Yakugakusei_) | [Notion](https://yakugakusei.notion.site/Yakugakusei-63ab3bd85b5d4e709d65cfc5c59fc64c) | [Discord](https://discord.com/invite/H6YyK2gwYt) --- *Originally published on [yakugakusei](https://paragraph.com/@yakugakusei-2/defi)*