まず初めにお断りしておきますが、私はDeFiのエキスパートではありません。数ヶ月前から興味を持って調べ始めた「ほぼ素人」です。
なので、この記事を書くことで、より知識を持っている方から指摘や批判を受けることも覚悟しています。
ただ、それでも敢えてこの記事を書こうと思った理由は
単純に目先の利益に釣られて、お金を全て失ってしまう
そんな人をできるだけ減らしたい思いからです。
DeFi・DEX・イールドファーミング、これらに手を出したい人は、この記事を読んでください。
DeFi・DEXがもたらしたもの
まずは、おさらいしていきましょう。
DeFiとは?
Decentralized Finance。
直訳すると「分散型金融」です。
今回の記事では技術的な話はできるだけ避けようと思います。
ざっくり言うと「これまで会社や組織に頼っていた金融業を、個人間で実現可能となった取引の総称」と言えるでしょう。
例えば仮想通貨の取引です。これまではGMOコインやコインチェックなど、固有の組織のサービスを利用してトレードをしていましたが、DeFiを利用すると上記のような組織のサービスを利用する必要がなくなります。
DEXとは?
Decentralized Exchangeの略です。
DeFiの中にDEXがあるイメージです。
DEXは上記の例の「仮想通貨取引を行うDeFi」と考えれば良いでしょう。
ちなみに「GMOコインやコインチェックなど、固有の組織のサービスを利用してトレードする」場合は、DEXではなくCEXと定義されます(Centralized Exchange)。
CEXよりDEXの方が安全?
色んな記事で見かける記述です。
「CEX(取引所利用)よりもDEXの方がリスクが少ない」(ちなみに私はそう思っていない)
上記の記述に対する根拠は概ね以下のとおりです。
取引所のハッキングの影響を受けない
通常の取引所を利用する場合(CEX)は、まずは取引所の個人ウォレットに通貨を入れて、サービスを利用します。
その為、もし取引所がハッキングの被害にあった場合、取引所の個人ウォレットの資産も被害に合うケースが考えられます。(これも厳密的には個人資産をホットウォレットに保管していたことによる被害など様々ですが、今回は細かいことは割愛します)
実際に過去にも何度か取引所に対するハッキング事件が発生しており、印象に残っている方もたくさんいると思います。
一方、DEXの場合は、取引所関係なく自身がウォレットを管理し、そのウォレットを直接DEXに接続し取引が可能。
つまり、取引所という障害点がないので、その分セキュリティが強化されるという主張ですね。
この主張はある意味正しくて、ある意味間違っていると思います。非常に重要なポイントなので後述します。
イールドファーミングについて
DEXを調べていくと必ず目にとまるのが「イールドファーミング」です。
ファーミングとは
DEXは(現在の)仕様上「通貨の流動性」の確保が必須となります。
その為、複数の通貨ペア(LP)を預ける行為がDEXインフラを支えることに繋がり、結果としてDEXを使用するユーザの手数料を取得(Earn)することが可能です。
簡単に言うと「複数通貨ペアを預けることによって、収益を得ることが可能」です。
この行為がファーミングです。
ステーキングとは
ファーミングの単一通貨版と考えてもらえればよいかと。
イールドファーミング、利率が凄いよね
私はこの記事で特定のイールドファーミングを紹介しません。理由は「私がイールドファーミングを推奨していると思われたくない」からです。
イールドファーミングの利率を見ると、一般的な金融商品とは桁が違うリターンが提示されています。モノによってはAPYが200%超えとかもあります。APYとは「得た収益を複利投資した場合に得られる総収益」と考えてもらえればいいかと。つまり、$100投資したら$300になって戻ってくる。
こんな魅力的(に見える)サービスですが、私はイールドファーミングは推奨しません。
ここからが本題です
ここまでDeFi界隈の基礎、イールドファーミングの基礎を書いてきました。他にもVaultやスマートコントラクト、DEXチェーンなど、技術用語を語れば色々あるのですが、今回は「できるだけ簡単に、DeFiのリスク」を共有したいので、割愛します。
ここからが本題です。
私は現在のDeFi・DEX・イールドファーミングの使用はオススメしません。
その理由を述べていきます。
DEXはCEXより危険です
そもそも「危険」か「危険じゃない」の定義ってなんでしょうか?
情報セキュリティとか小むづかしい事を言うつもりはないです。
今回のお話で言うと「自分の資産が失われる」ことですよね。
「自分の資産を安全に運用できる」=危険じゃない
「自分の資産を安全に運用できない」=危険
といっても差し支えないと思います。
「ブロックチェーンのトランザクションは秘密鍵との組み合わせで実現されており、秘密鍵はセキュリティ強度が高いので安全」とか、そんな細かい話だけを取り上げても意味がないのです。もっとHolisticな観点で考察が必要です。
上記を前提に置けば、少なくとも現時点では、DEXはCEXより危険だと考えます。
全てはウォレットの管理にある
これ、仮想通貨取引を行う場合は「とてもとても」重要なポイントです。
これを理解していない人は、仮想通貨の扱いをやめるべきです。
仮想通貨のウォレットの実態は「秘密鍵」です。秘密鍵自体はウォレットアプリの内部で保管されているので、この取扱自体はウォレットアプリを信用するしかありません。ここでは敢えて「アプリが保管している秘密鍵自体はセキュア(安全に格納されている)」という前提に立って話を続けます。
少し話題が逸れますが、仮にウォレットアプリをインストールしているハードウェア(パソコンやスマホ)が壊れたらどうなるのでしょうか?例えばスマホのビットコインウォレットに100万円入れていたとして(厳密にはウォレットに入っているわけではないのですが、割愛)、スマホが壊れてウォレットアプリが使えなくなったら、100万円を喪失してしまうのでしょうか。喪失してしまうのであれば、ハードウェア障害に脆弱すぎますね。
そんな時のために、ウォレットを作る時に「シードフレーズ」を書き留めます。シードフレーズとは特定の単語の組み合わせで構成されている文字列です。
この「シードフレーズ」とは、本質的には秘密鍵そのものです。正しくは「シードフレーズ」によって、秘密鍵が復元できます。故に、シードフレーズさえ持っていれば、ウォレットを復元可能。
ここまでを要約すると
- 最も重要なのは秘密鍵。これがあるとウォレットの操作が無制限にできる。
- 秘密鍵のバックアップが「シードフレーズ」
となります。
DEXの場合、個人が上記の情報を管理することになります。DEXの取引は個人で行うため。
つまり、DEXでは、秘密鍵とシードフレーズの管理を個人が完全に自己責任で行う必要があります。
もう一度いいますね。秘密鍵とシードフレーズは当人が管理する必要があります。
もし秘密鍵かシードフレーズが盗まれたら、ウォレット内の資金は全て盗まれます。
ただの数バイトの文字列を盗まれただけで、1万だろうが100万だろうが1億だろうが、ウォレットの中の資金が全て盗まれます。
CEXの場合は?
では、GMOコインなどのCEXのケースを考えてみます。
例えば日本円からビットコインにExchangeするFX取引を考えてみます。
まずは取引所に日本円を入金し、取引所のサイトからビットコインの板を使用してビットコインを購入します(厳密には板を介してトレードする)。
取得したビットコインは取引所が管理する個人ウォレットに入金されます。
この取引所管理の個人ウォレットの秘密鍵は、取引所が管理します。我々ユーザではありません。
完全に取引所任せです。
つまり、この議論の本質は
「(CEX)取引所にウォレットを任せるか?」・「(DEX)自分でウォレットを管理するか?」
であることが、おわかりになるかと思います。
もう一度、CEXとDEX、どっちが安全?
少なくとも現在のテクノロジー状況では、CEXの方が安全です。
CEXの場合
取引所が取引所内の運用ポリシーに則って、厳格に管理します。
当然ながら、どこまで信用できるかはわかりません。規定に乗っ取らずに、雑に管理されているかもしれません。
しかし、色んな怪しいサイトや詐欺サイトにアクセスする可能性のある個人端末よりは数百倍安全なはずです。
更に、仮に取引所の個人ウォレットがハッキング被害にあった場合、取引所が取引所の責任範囲で払い出しされる可能性も残されています。現在の法令では不透明ですが、ゼロではありません。
DEXの場合
わけのわからん個人端末にウォレットを入れて管理する。誤ってフィッシングサイトにアクセスするかもしれないし、変なアプリをダウンロードするかもしれない。
誰だって好きで怪しいサイトに飛ぶわけじゃないんです。攻撃者は巧妙な手口でサイトに誘導します。どんなに慎重な人でも、引っかかる時は引っかかります。
攻撃者が取得したい情報は「数行の文字列」、これだけです。彼らの攻撃が成功するのに時間はかかりません。一瞬です。
そもそも被害者は「秘密鍵を取られたことさえ認識しません」。数年後にウォレットに入っていた100万円が気づいたら抜かれていた。そんな事も起こりうるのです。
Google Storeには審査が甘いアプリも沢山登録されています。有名なウォレットアプリと全く同じ外見の詐欺ウォレットアプリも沢山登録されています。
そんなアプリを一度でもダウンロードしてしまったら、もうアウトです。
仮に優秀なハッカーがDropBoxやiCloudなどのファイル共有サービスに無差別アクセスを実現したら、真っ先に探すのはシードフレーズでしょう。iPhoneのメモ帳や画像アプリにシードフレーズを残していたら、もうアウトです。
個人的にウォレットに最も追加して欲しい機能
上記の理由で、私はCEXよりDEXの方が「危険」だと考えています。
管理方法がバラバラな個人ウォレットより、それなりにポリシーに準じている(と信じたい)取引所ウォレットの方がセキュリティレベルが高いに決まってます。個人レベルでも運用を突き止めていくと取引所ウォレットよりセキュリティレベルが上がるかもですが、今回の議論は一般ユーザのケースを対象にしているので。
私は、個人がウォレットを安全に管理するためには
秘密鍵の2段階認証
が必須だと考えています。ウォレットじゃなくて秘密鍵を使用する上での2段階認証です。
例えば、新たなトランザクションをMEMPOOLに送出する際に2段階認証が必要など。
現行のブロックチェーン技術は「秘密鍵がセキュアに運用される」ことが前提のセキュアなシステムです。秘密鍵自体はセキュリティ的に強度なプロトコルが使用されていますが、秘密鍵自体の運用を素人に託されている事が問題なのです。故に、素人でも安全に利用するためにはそれなりの認証メカニズムが必要不可欠だと考えます。
取引所の個人ウォレットにアクセスするためには2段階認証が常識ですよね。それと同じ考えです。
でも、これは恐らく実現されないでしょう。そもそもパブリックブロックチェーンの思想として「誰でも簡単に非中央でオープンに使用」なので、秘密鍵の認証を行うCentralizedサービスなんて受け入れられるはずがない。
故に、DeFiやDEXが一般ユーザに(本格的な資産運用として)利用されることはないと考えています。
DEXサービス・イールドファーミングの危険性
上記で「個人ウォレットを使用するサービス全体の危険性」について述べましたが、今度はもう少し細かい話、DEXサービスそのものとイーウドファーミングの危険性について述べたいと思います。
100%APYなどに大事な資金を投資する前に再考してください。
現在のDEXは非中央「ではない」
DEXのチェーンネットワークに接続してAMMで通過をスワップできる。その間に取引所は一切介在していない。
だから非中央なんだ!
と、単純に思うかもしれませんが。
「じゃあ、スワップしている画面は誰が作ってるの?」
・
・
おわかりになりましたでしょうか。現在のDEXは全てが非中央ではないのです。
そもそも現在のDEXの本質は「DEX創始者が取引用の資金を準備するわけではなく、利用者が準備(流動性の確保)することにより、スワップを実現」です。なので、実際のトレード資金は確かにDecentralizedと言えるかもしれません。
しかし、それらの取引画面を提供しているのは、これまでのアーキテクチャと変わらず「創始者(開発者)」です。
直近ですと$SQUID(イカゲームの人気に乗っかった)の詐欺(ラグプル)が発生しました。
こんな感じの詐欺は、DeFi界隈では「日常茶飯事」です。
それを踏まえて、DEXの一般的なリスクについてもう少し述べてみます。
サービス画面が落ちたら?
DEXを使用してスワップ・ファーミングをする時は、そのDEXのサイトにアクセスすると思います。
じゃあ、ファーミングをしていて、ある日突然サイトが閉鎖されたら?
こんなケースが日常的に発生しているのです。ただのリスクではなく、普通に発生しています。
厳密には、DEXのサイトが突然消えても、ファーミングで預けている資産を戻すことが可能なケースもあります。単純にスマートコントラクトでロックされているケースの場合は自分で直接コントラクトを生成したり、(チェーンが実装されていたら)Emergency Contractを実行するなど。
しかし、一般ユーザ全員が上記のような操作が可能だとは思えません。というか、そもそも上記のような複雑な処理を利用者が行う必要がないようにWebサービス画面が用意されているのです。
サービス管理者が逃げたら?
サービス運営者が気付かれないようにコードに色々仕組んでおいて、資産を持ち逃げ。
DEX立ち上げに法的な登録は必要ありません。少し技術があれば、既存のDEXサービスをクローンして詐欺DEXを立ち上げることは容易です。正直言って、私でもできます。
新規参入者が「どのDEXが安全そうで、どれが危険そうか?」なんて判断できるわけがありません。老舗サービス運営者が大丈夫かというと、そうとも限りません。
利用者の資金を保証してくれるDEXなんてのは存在しません。Decentralizedですから。
取引所が資金を提供しているチェーンネットワークもありますが、決して取引所が資金を保証しているわけではありません。
DEXで資産運用する=全く信用が確認できない組織に資産を預けている
上記と同義であることを念頭に置く必要があります。
そもそも、ファーミングで得ている通貨は価値があるの?
「安全で確実に高いリターンを得られる(ローリスク・ハイリターン)」、そんな美味しい話は存在しません。
イールドファーミングでEarnする通貨・トークンは、そのDEXで推しているものが殆どです。
これらの通貨・トークンはBTCなどの主要コインと比較して、通貨価値のボラティリティが大きい。簡単に言うと、数日で無価値になる可能性も十分にありえる。
APY(複利での年利)が100%の場合、100万円をステークすると1年で200万円になります。しかし、これは「ステークした通貨が1年後も同じ価値の場合」です。
仮に1年後の通貨価値が、現在の10%になった場合、、当然ながら大損ですよね。
DEXで表示されているAPYは変動します。見かけのAPYは殆ど意味がありません。
APYは変動する
今回の記事はDeFi初心者向けなので、イールドファーミングの報酬ロジックの詳細は記載しませんが、以下は重要なので取り上げます。
そもそもイールドファーミングは「ステークする参加者が増えれば、個々の報酬は減る」仕組みです。
つまり、例えば現時点でAPR 100%と表示されていても、ステーキングする人が増えると、APYはどんどん下がっていきます。
これは新しいトークンがステーキングリストに出現した際に顕著。初日はAPR500%など、非常に魅力的な数字となっているのですが、数日後には50%に下がるなど、当然の現象です。
まとめ
以上が現時点のDeFi界隈の考察となります。
現時点のDeFiは全てが発展途上です。これから更にサービスの脆弱に対する攻撃が激しくなると予想します。現時点のDeFiサービスに大金を投じるのはリスクが大きすぎます。
はっきり言って、無謀です。
私は最新のテクノロジーは大好きです。否定はできるだけしたくありません。しかし、DeFiはお金が絡みます。現状の様々なリスクが蔓延している状態で一般ユーザーが参入し、大怪我をしてしまう方が、結果的にDeFiの発展を阻害してしまうと思います。
ちなみに、この記事を書くことにより「TOZAI、DeFiで大損したのか?」と心配してくださる方がいるかも知れませんが、私は損失を出していないのでご安心ください。
でも、仮に私がDeFiに手を出したら、自分自身が被害に合わないとは言い切れないです。
コメント