xulian.hl @xulian_hl: DeFiユーザー必読:資産を守るセルフカストディ徹底ガイド
DeFi(分散型金融)では、自分自身で資産を管理するセルフカストディが不可欠です。最近、一部ユーザーの秘密鍵が流出し、HyperCore アドレスを第三者が管理するマルチシグに勝手に変えられる被害が発生しました。本記事では同様の被害を防ぐために、ハードウェアウォレットの活用やリンク確認の習慣など、基本から応用までのベストプラクティスを紹介します。
Being in defi means being responsible about self-custody and keeping your own assets safe. In general, I wanted to share some best practices to keep your assets safe.
— xulian.hl (@xulian_hl) June 7, 2025
Recently, some users who previously had private keys exposed (likely from installing malware, see Tay’s…
TLDR
- シードフレーズ・秘密鍵は絶対に共有しない
- ハードウェアウォレットを導入:大きな資産は必ずオフライン管理
- 焦らず落ち着く:急かす相手は疑う
- 公式リンクを検証:Twitter だけに頼らず複数ソースで確認
- 不審なダウンロードを避ける:特に PDF と未知の実行ファイル
- 署名内容を必ず展開して確認:上限なし承認に注意
- ブラウザ拡張機能を定期的に整理:更新停止のものは削除
- DM やソーシャルエンジニアリングに警戒:「有罪推定」で臨む
全訳
DeFi に関わるということは、セルフカストディ(自己管理)と資産保護の責任を負うということです。ここでは資産を安全に保つためのベストプラクティスを共有します。
最近、秘密鍵が流出した(おそらくマルウェアによる。Tay氏の調査 HyperCore アドレスが、ユーザーが管理できないマルチシグに変更される事例がありました。この結果、当該ユーザーは HyperCore 上の資産にアクセスできなくなっています。
重要: もしあなたの HyperCore アドレスが同様に第三者管理のマルチシグに変更されており、かつ HyperEVM 上に資産が残っている場合は、速やかに安全な新規アドレスへ送金してください。
今後同様の被害を防ぐために、以下のベストプラクティスを推奨します。
ベストプラクティス
- シードフレーズは決して共有しない。ウェブサイトへ入力したり、サポート担当者に伝えたりしてはいけない。
- シードフレーズはオフラインで保管する。インターネット接続されたデバイス上に保管している場合、漏えい済みと見なすべき。失いたくない資本にはハードウェアウォレットが不可欠。
- 取引や操作には「緊急」は存在しない。深呼吸して落ち着くこと。誰かに急かされたら疑う。
- クリック前にリンクを確認する。Twitter、DefiLlama、CoinGecko など複数のプラットフォームで公式サイトかクロスチェックし、よく使うサイトはブックマークする。Twitter アカウントが乗っ取られる事例もあるため、単一ソースに依存しない。
- 未確認リンクをクリックしない。ウェブサイトはファイルをダウンロードさせたり、他サービスの脆弱性を突いたり、オンライン活動を追跡したりできる。
- ダウンロード内容を必ず検証する。マルウェアは簡単に取得できてしまう。未確認のソースからのダウンロードは避け、特に招かれていない PDF に注意。
- PocketUniverseZ や WalletGuard(MetaMask に統合済み)などのツールを活用し、悪質サイト・コントラクトを警告させる。
- Rabby など一部ウォレットは、新規サイトや初対面コントラクト、トラフィックの少ないサイトを警告してくれる。これらの警告は必ず精査すること。
- 署名時には必ず詳細を展開し、正確に何を許可するかを確認する。例:USDC の最大使用許可と 0xrugged への送金を見分ける。表示情報が不足している場合は署名しない。
- ブラウザと拡張機能を最新に保つ。更新が止まった拡張機能は削除する。拡張機能はマルウェアの一般的な経路であり、数か月更新されていないものはリスクとなる可能性がある。
- 代表的なソーシャルエンジニアリングは、友好的に見えるアカウントからの DM で始まる。公式アカウント、相互フォロー、プロジェクト公式ページで必ず身元確認を行う。CT アカウントが侵害され、さらなる侵害へ利用された事例が多数ある。インストールやリンククリックを求められたら最大限警戒を。
- 新規 DM には「有罪推定」で対応し、正当性を独自に確認できるまで攻撃だと見なすこと。
用語集
| 英語 | 日本語説明 |
|---|---|
| DeFi (Decentralized Finance) | 中央管理者を介さずブロックチェーン上で金融サービスを行う仕組み。 |
| Self-custody | 資産を取引所等に預けず、自分でウォレットを管理すること。 |
| Seed Phrase | ウォレット復元用の一連の単語(ニーモニック)。漏えいすると資産が奪われる。 |
| Private Key | ブロックチェーンアカウントを制御する秘密鍵。シードフレーズから導出される場合も。 |
| Hardware Wallet | オフラインで秘密鍵を保管できる物理デバイス(Ledger, Trezor など)。 |
| Multi-sig (Multi-signature) | 複数の署名が揃わないと資産操作できないウォレット方式。 |
| Social Engineering | 人間的な信頼を悪用して情報や権限を盗む攻撃手法。 |
| Phishing | 偽サイトなどでユーザーを騙し、情報や資産を盗む詐欺行為。 |
| WalletGuard / Pocket Universe | ブラウザ拡張型のセキュリティツール。悪意あるサイトやトランザクションを警告。 |
DeFi で資産を守る第一歩は「自分の資産は自分で守る」という意識です。本記事のチェックリストを日常的に実践し、安心してオンチェーンの世界を楽しみましょう。