セキュリティ・安全

【audit】DeFiプロジェクトの安全性調査

2021年8月4日

DeFiプロジェクトで高利率を得られるとしても、それが詐欺プロジェクトだったら利益を得るどころか元本すべてを持っていかれてしまいます。

また、開発者は善良でも、どこかに穴があって詐欺集団に突かれてしまったら、やはり自分の資産が盗まれてしまいます。

しかし、大多数のユーザーはプログラムを精査できる能力を持っていません。そこで活躍するのがauditです。

audit【監査】を使おう

auditとは、DeFiプロジェクトで弱点があるかどうか精査し、一般に公開してくれるサービスです。ユーザー満足度を重視するDeFiプロジェクトは、何らかのauditを使っていると考えられます。

なぜなら、ユーザーは利率の高さに注目していますが、常に詐欺や第三者による攻撃を恐れながらサービスを利用しているからです。

この不安感を取り除く手段の一つが、auditです。

auditで高得点を取っていれば、そのプロジェクトは少なくとも既知の諸問題に対応できていると判断でき、それはすなわちユーザーの安心感につながります。

ユーザーは、安心だと分かると追加で資金を投入してくれる可能性があります。すると、そのサービスにお金が集まって発展し、それがさらにユーザーの関心を集めて資金が集まり…という好循環となります。

逆に言えば、健全なプロジェクトであってもauditを受けていないならば、警戒が必要かもしれません。

自分のサービスは安全であると示してユーザーに安心してもらうコストを支払いたいくないという意味ですから、そういうサービスに対して自己資金を投入するのは躊躇してしまいます。

しかし、完璧でない

しかし、残念ながらauditを受けていれば万全というわけではありません。その理由をいくつか確認しましょう。

1つは、auditで確認できるのは既知の諸問題だということです。

仮想通貨関連の技術進歩は特に速いですから、しばらく前までは問題なかったことでも、現在の視点で見ると問題含みだということがあり得ます。あるいは、今まで一般的には知られていなかったけれど、実は問題があるという場合もあるでしょう。

そして、弱点を突くべく暗躍している人々が、それを上手に利用・攻撃してトークンを盗む…という可能性があります。

2つ目は、開発チームの意欲や技術力の問題です。

あるDeFiプロジェクトについて、開発チームの全員が最高の技術を持っているとは限りません。このため、技術力が不十分で攻撃を許してしまったり、攻撃を受けた際の対処が甘かったりする可能性があります。

よって、「auditは安心を得るために必須だけれど、完璧というわけではない」という理解となります。

最高評価のDeFiサービス

auditは必須だけれど完ぺきではない…ならば、複数のauditから同時に最高評価を受けているDeFiプロジェクトを使えば安全なのでは?と感じるかもしれません。

この考え方は合理的ですが、少々困った問題に直面します。具体例として、auditの2社【CERTIK】と【RugDoc】を使って確認してみます。

CERTIK

CERTIKでは、100点満点で点数を付けています。そこで、90点以上を最高評価水準だとしますと、この記事を書いている時点で90点以上のプロジェクトは53個しかありません(掲載されているプロジェクト数は700くらい)。

【参考】CERTIK公式

RugDoc

RugDocの場合、もっとシビアです。5段階評価で最上位評価となっているのは4つしかありません。

【参考】RugDoc公式

そして、両社から共通して最高評価を受けているのはPancakeSwapだけです。DeFiの世界ではPancakeSwapが大変な人気を集めていますが、それはサービスの充実度だけでなく安全性能が極めて高いという理由もありそうです。

では、PancakeSwapだけで取引して、その他のDeFiサービスは全て回避すべき…となるでしょうか。

おそらく、PancakeSwap以外のサービスも使いたいというユーザーが大半でしょう。そこで、auditは重要だけれど参考程度にしかならない、という使い方になります。

複数のauditを使う

こうなると、auditをどのように使えば良いのか、あるいは信頼できるのか?が問題となります。そこで、利用方法(案)としては、同時に2つの評価を比較検討するという方法があります。

今、特定のDeFiサービスについて2つのauditを見比べるとします。

両方とも高評価の場合

2つとも高評価なら、その他の場合に比べて安心度が高まります。その他のチェックポイントを確認したうえで、少しずつ自己資金投入を検討できます。

片方は良好、もう片方は平均的な評価

この場合も、比較的安心感があります。サービス内容をさらに調査して最終決定します。

両方とも低評価

この場合は、基本的に取引しないという姿勢が良さそうです。複数の会社が一致して低評価なのですから、敢えて危険に飛び込む必要はなさそう。

片方は良好、もう片方は低評価

この事例になる場合もあり、判断が難しいです。特定の事象について、ある会社は問題なしと見なし、もう一社は問題ありと評価している場合などに生じます。この場合は、両方の評価を見つつ、さらに別の方法で信頼度を確認して最終決定します。

評価が見つからない

auditの会社はいくつもあるのに、どれを探しても評価が見つからない…。この場合、そのDeFiサービスが調査を回避している可能性があります。なぜ回避するのか?を考えると、そのサービスに自己資金を投入するのは難しくなります。

いずれの場合でも、日本の一般的な金融サービスに比べてDeFiサービスのリスクは極端に高いという認識が必要です。その上で判断します。

結論:複数の方法で安全確保

以上、auditについてざっくりと検討しました。結論としては、「auditだけで考えるのは不十分だ」です。

よって、その他の材料も使ってリスクを考察することになりますが、どのような方法があるかについて、以下のリンク先記事で考察していますのでご確認ください。

安全重視のDeFi投資方法

DeFiサービスは開発者は誰か不明な場合が大半であり、その他にも価格変動リスクなどがあります。しかし、それを考慮しても高い収益を見込めるのが魅力です。 そこで、安全重視のDeFi投資方法にはどんなもの ...

続きを見る

DeFiのリスクとその緩和方法

投資には損失リスクがついて回りますし、DeFiは利率がとても高いのでそれに見合ったリスクもあるだろうと予想できます。 そこで、どのようなリスクがあるか確認しつつ、緩和する方法を考察します。 Conte ...

続きを見る

-セキュリティ・安全