暗号資産のアプルーブは、DEXやNFTマーケットプレイスなどを利用するうえで必要になることがある操作です。この承認を放置していると、承認先のスマートコントラクトに問題が起きた場合に、ウォレット内の資産が被害を受ける可能性があります。
実際に「Revoke.cash」は、無制限のトークン承認が悪用され、2020年以降に4億9,400万ドル超ものユーザー資金が盗まれたハッキング事例を一覧化しています(参照:Revoke.cash)。例えば、2024年3月に発見されたDolomite Hackでは、すでに使われなくなった古いコントラクトに承認を残していたユーザーが被害を受けたことが報告されています。
On March 20 2024, over $1.8m was stolen from users of an old version of DeFi protocol Dolomite. The exploit was found in an old contract that was deployed in 2019 and had since been discontinued. However, several users still had lingering approvals to this old contract, which the attacker was able to exploit to drain funds from their wallets.
参照:Revoke.cash
こうした被害に遭わないためにも、今は使用していないサービスや、身に覚えのない承認がある場合は、アプルーブの状況を確認し、必要に応じて取り消す(Revoke / リボーク)ことが大切です。
この記事では、Revoke.cashを使って暗号資産のアプルーブを取り消す方法と、取り消す前に知っておくべき注意点を解説します。
リボークとは過去に与えたアプルーブを無効化すること
リボークとは、過去にDAppやスマートコントラクトへ与えたトークン利用権限を無効化する操作です。DAppとは、ブロックチェーン上で動くアプリケーションのことで、DEXやNFTマーケットプレイスなどが代表例です。
例えば、DEXでトークンを交換する場合、事前に「このサービスが自分の特定トークンを一定範囲で動かしてよい」と承認することがあり、この承認がアプルーブです。アプルーブを取り消すと、その承認先は対象トークンを動かせなくなります。
アプルーブは、ウォレット内だけに保存されている設定ではありません。多くの場合、ブロックチェーン上のスマートコントラクトに承認情報が記録されています。そのため、MetaMaskなどのウォレットから接続済みサイトを解除するだけでは、アプルーブそのものが取り消されるとは限りません。
不要なアプルーブを取り消すには、承認状況を確認できるツールを使い、ブロックチェーン上で取り消しの取引を実行する必要があります。
『Revoke.cash』でアプルーブを取り消す方法
アプルーブを取り消す方法として『Revoke.cash』を使う方法があります。
まず、Revoke.cashの公式サイトにアクセスします。ウォレットを接続する前に、URLが正しいかを必ず確認してください。ウォレット接続を求める偽サイトもあるため、検索結果や広告から不用意にアクセスするのではなく、公式URLかどうかを確認することが重要です(公式サイト:https://revoke.cash/ja)。
公式サイトを開いたら、MetaMaskなどのウォレットを接続します。接続時には、ウォレット側に表示される接続先のドメインを確認してください。接続先がRevoke.cashであることを確認したうえで、ウォレット接続を承認します。
次に、アプルーブを確認したいネットワークを選択します。Ethereum、Polygon、BNB Chainなど、アプルーブはネットワークごとに管理されています。Ethereumで付与したアプルーブを確認したい場合はEthereumを選び、Polygon上のアプルーブを確認したい場合はPolygonを選ぶ必要があります。
ネットワークを選択すると、TokensやNFTsの一覧から承認状況を確認できます。Tokensでは暗号資産のトークンに関する承認、NFTsではNFTコレクションに関する承認を確認できます。過去に利用したサービスや、現在使っていないサービスへの承認が残っていないかを確認します。
不要なアプルーブが見つかった場合は、対象の承認に表示されているRevoke、または取り消しに相当するボタンを選択します。そうすると、ウォレット側に取引内容とガス代が表示されます。内容に問題がなければ、ウォレットで取引を承認します。
取引が完了すると、対象のアプルーブは取り消されます。念のため、Revoke.cashの画面を更新し、該当する承認が消えているか、または承認額がゼロになっているかを確認してください。
手順を整理すると、以下の流れです。
- 『Revoke.cash』の公式サイトを開く
- MetaMaskなどのウォレットを接続する
- 対象のネットワークを選択する
- TokensまたはNFTsから承認状況を確認する
- 不要なアプルーブを選んでRevokeする
- ガス代と取引内容を確認して承認する
- 取り消しが反映されているか確認する
このように、Revoke.cashを使えば、複数のネットワークに残っているアプルーブを確認し、不要なものを取り消せます。ただし、取り消しのたびにガス代がかかるため、現在も使っているサービスまで無理に取り消す必要はありません。
アプルーブを取り消す前に知っておきたい注意点
アプルーブの取り消しは、ウォレットの安全性を高めるうえで有効な対策の一つです。ただし、すべてのトラブルを解決できるわけではありません。リボークする前に、何ができないのかを理解しておくことが大切です。
すでに移動された資産が戻るわけではない
リボークとは、今後その承認先がトークンを動かせないようにする操作です。つまり、すでに別のアドレスへ移動された資産を取り戻せる操作ではありません。
例えば、不審なDAppにアプルーブしてしまい、その後にトークンが移動された場合、アプルーブを取り消しても移動済みのトークンが自動的に戻るわけではありません。取り消しによってできるのは、同じ承認を使った今後の移動を防ぐことです。
そのため、資産がすでに動いている場合は、アプルーブの取り消しだけでなく、取引履歴の確認が必要です。いつ、どのトークンが、どのアドレスへ移動されたのかを確認し、現在残っている資産があるかを把握することが優先されます(関連:暗号資産のトラブルはどこに相談する?主な相談窓口を解説)。
ETHがすぐ盗まれる場合はシードフレーズ流出の可能性がある
アプルーブを取り消すには、ガス代としてETHなどのネイティブトークンが必要です。しかし、ウォレットにETHを入れるとすぐに抜き取られる場合は、単なるアプルーブの問題ではない可能性があります。
このような状態では、ウォレット内の資産を自動的に移動するスイーパーボットが動いている可能性があります。スイーパーボットとは、ウォレットに入金された資産を監視し、入金直後に別のアドレスへ移動する仕組みです。
この場合、シードフレーズや秘密鍵が第三者に知られている可能性があります。シードフレーズが流出している場合、アプルーブを取り消してもウォレット自体の安全性は回復しません。残っている資産がある場合は、状況を確認したうえで、安全な新しいウォレットへの移動を検討するのが得策です。
アプルーブの取り消しだけで不安が残る場合の対応
アプルーブを取り消しても、不安が残るケースがあります。特に、身に覚えのない承認がある場合や、すでに資産が移動している場合は、単にリボークを実行するだけでは状況を判断できません。
このような場合は、承認状況だけでなく、ウォレットの取引履歴や資産の移動先を確認する必要があります。焦って操作を重ねると、別のミスにつながることもあるため、状況を一つずつ確認することが大切です。
身に覚えのない承認があるときは取引履歴を確認する
「Revoke.cash」で身に覚えのない承認が表示された場合は、まず取引履歴を確認します。どのタイミングで、どのサービスやスマートコントラクトに承認を与えたのかを確認することで、危険性を判断しやすくなります。
過去にDEXやNFTマーケットプレイスを使ったことがある場合、そのときのアプルーブが残っていることがあります。一方で、見覚えのないサイトや不審なコントラクトへの承認がある場合は、早めに取り消しを検討した方がよいです。
ただし、承認先の名称だけで安全性を判断するのは危険です。表示名が分かりにくい場合や、見覚えのないアドレスが表示される場合もあります。そのため、対象トークン、承認額、承認日時、取引履歴をあわせて確認することが重要です。
資産がすでに移動している場合は状況確認を優先する
ウォレット内の資産がすでに移動している場合は、まず何が起きたのかを確認する必要があります。アプルーブを悪用された可能性もありますが、秘密鍵やシードフレーズの流出、偽サイトへの接続、悪意ある署名など、別の原因も考えられます。
この場合、確認すべきなのは、移動された資産の種類、移動先アドレス、移動日時、直前におこなった操作です。これらを確認することで、アプルーブの悪用なのか、ウォレット自体の侵害なのかを判断しやすくなります。
資産が残っている場合は、安易に同じウォレットで操作を続けない方が安全なケースもあります。特に、ETHを入れるとすぐに抜かれる状態であれば、アプルーブの取り消しよりも、ウォレット自体の安全性確認が優先されます。
判断が難しい場合は専門家への相談も検討する
アプルーブの承認状況や取引履歴は、暗号資産に慣れていない人にとって判断が難しい場合があります。承認先のアドレスやスマートコントラクトを見ても、それが安全なものかどうか分からないことが多いからです。
また、資産がすでに動いている場合は、原因の切り分けが重要になります。アプルーブの問題なのか、シードフレーズの流出なのか、別の署名や操作が原因なのかによって、取るべき対応が変わります。
自分で判断できない場合は、ウォレットの状態や取引履歴を確認できる専門家に相談することも選択肢です。特に、資産が残っている場合や、今後の操作に不安がある場合は、自己判断で操作を続ける前に状況を整理することが大切です。
弊社Claboでは、ウォレットの承認状況や取引履歴を確認し、状況に応じた対応方法をご案内しています。身に覚えのないアプルーブや資産移動があり、自分だけで判断するのが難しい場合は、弊社までご相談ください。
アプルーブのリスクを減らすために普段からできること
アプルーブは、DEXやNFTマーケットプレイスなどを利用するうえで必要になることがある操作です。そのため、アプルーブ自体を完全に避けるのではなく、必要な範囲で使い、不要になったらリボークするといった管理が重要です。
ここでは、アプルーブにおけるリスクを抑えるために日頃からおこなえる対策をご紹介します。
不審なサイトにウォレットを接続しない
アプルーブのリスクを減らすうえで最も重要なのは、不審なサイトにウォレットを接続しないことです。偽のエアドロップサイトや、公式サイトを装ったページに接続すると、危険な承認や署名を求められる可能性があります。
ウォレットを接続する前には、以下をご確認ください。
- URLが正しいか
- 公式サイトからアクセスしているか
- SNSやDMで送られてきたリンクではないか
これらを怠ると、最悪の場合、あなたの資産を全て奪われてしまう可能性があります。特に、無料配布や限定キャンペーンを装うサイトは、暗号資産を狙った詐欺に使われることがあるため、注意が必要です。
署名や承認の内容を確認してから操作する
DAppを利用するときは、ウォレットに表示される署名や承認の内容を確認してから操作します。内容を確認せずに承認すると、想定より大きな権限を与えてしまうことがあります。
特に注意したいのは、承認額が大きく設定されているケースです。サービスによっては、毎回承認しなくても済むように、上限額を大きく設定する場合があります。利便性はありますが、承認先に問題が起きた場合のリスクも大きくなります。
承認画面では、対象トークン、承認先、承認額を確認してください。内容が分からない場合や、予想していない承認が表示された場合は、操作を中断する判断も必要です。
不要なアプルーブを定期的に確認する
過去に利用したDAppへのアプルーブは、使わなくなった後も残っていることがあります。そのため、定期的に「Revoke.cash」などで承認状況を確認し、不要なアプルーブを取り消すことが大切です。
ただし、取り消しにはガス代がかかります。すべてを機械的に取り消すのではなく、現在使っていないもの、承認額が大きいもの、不審なものから優先して確認するとよいでしょう。
保管用ウォレットとDApp利用用ウォレットを分ける
高額な資産を保管するウォレットと、DAppを利用するウォレットを分けることも有効です。保管用ウォレットではDAppへの接続を避け、日常的な取引やNFTの売買には別のウォレットを使うことで、被害範囲を抑えやすくなります。
例えば、長期保有する暗号資産は保管用ウォレットに置き、DEXやNFTマーケットプレイスを使うときは少額だけを入れた別ウォレットを使う方法があります。証券口座で長期保有用と短期取引用を分けるように、目的に応じてウォレットを分ける考え方です。
この方法でもリスクがゼロになるわけではありません。しかし、DApp利用時の承認ミスや不審なサイトへの接続があった場合でも、保管用ウォレットの資産を直接危険にさらしにくくなります。
まとめ|不要なアプルーブは定期的に確認して取り消すことが大切
アプルーブの取り消しは、過去にDAppやスマートコントラクトへ与えたトークン利用権限を無効化する操作です。「Revoke.cash」を使えば、ウォレットに残っている承認状況を確認し、不要なアプルーブを取り消せます。
アプルーブを取り消しても、すでに移動された資産が戻るわけではありません。また、ETHを入れるとすぐ盗まれるような状態では、シードフレーズや秘密鍵が流出している可能性があり、アプルーブの取り消しだけでは対応できない場合があります。
こうした被害に遭わないためにも、不審なサイトに接続しない、署名や承認の内容を確認する、不要なアプルーブを定期的に見直すといった対策を続けることが大切です。
身に覚えのない承認がある場合や、すでに資産が移動している場合は、自己判断だけで操作を進めると状況を悪化させる可能性があります。特に、承認先や取引履歴の見方が分からない場合は、原因を正しく切り分けることが重要です。
アプルーブを取り消すべきか、新しいウォレットへ移すべきかは、承認状況だけでは判断できないことがあります。身に覚えのない承認や不審な資産移動がある場合は、ぜひ弊社Claboまでご相談ください。
