ウォレットでスワップやdAppを使い始めると、操作のたびに「承認(approve)」や「署名」を求められます。とはいえ、その中身までは分かりにくいものです。
「とりあえず承認を押しているけど大丈夫なのかな」「署名詐欺って聞くけど、どう防げばいいの」と不安な方も多いはずです。
結論から言うと、過去の承認を定期的に閲覧して取り消し、署名の中身を読む習慣をつければ、資産が抜かれるリスクは大きく下げられます。
この記事では、Rabbyで今ある承認を確認・取り消す手順と、署名詐欺の主な手口・見抜き方を、実際の画面に沿って解説します。
approve(承認)とは、スワップやdAppに対して「自分のトークンを動かしてよい」という許可を与える操作です。スワップや預け入れを行うには、この承認が前提になります。
問題になりやすいのは、承認の多くが「無制限(Unlimited)」で求められる点です。一度許可すると、その相手はあなたのそのトークンを上限なく引き出せる状態が、取り消すまで続きます。
承認した相手が安全なら問題はありません。
しかし相手の契約に欠陥があったり、偽サイトに承認していた場合、その権限を使って資産を抜かれる可能性があります。
だからこそ、使い終わった承認や不要な承認は、こまめに閲覧して取り消しておくことが大切です。これが資産を守るいちばん地道で確実な対策になります。
作業は大きく3つです。確認する、取り消す、これからの署名に気をつける。この順番で進めれば迷いません。
| 所要時間 | 約10分 |
|---|---|
| 費用 | 取り消し1件ごとにガス代(数円〜・チェーンによる) |
| 用意するもの | Rabby(C1で作成済み)/少額のガス用トークン |
| 使うツール | Rabby内蔵の承認管理/revoke.cash(補足) |
取り消し(Revoke)はブロックチェーン上の操作なので、1件ごとに少額のガス代がかかります。
不要な承認をまとめて閲覧すれば、わずかなガス代でリスクを大きく減らせます。
今回は、まずRabby内蔵の承認管理で閲覧します。別のサイトに接続する必要がなく、ウォレットの中だけで完結するので安全だからです。
Rabbyで対応しきれない場合の補足として、後半でrevoke.cashも紹介します。まずは今ある承認を一覧で見るところから始めます。
Rabbyのホーム画面を下にスクロールし、操作ボタンの中にある「承認」をタップします。
ここから今あるすべての承認をまとめて確認できます。
アドレスごとに承認の件数が表示されます。
「2 承認事項」のように件数が付いているアドレスをタップします。
「Uniswap V4」「Uniswap Permit2」のように、どこに何件の承認を出しているかが並びます。
もう使っていないサービスや、心当たりのない相手が取り消しの対象です。
すべての無制限承認が危険というわけではありません。普段から使う信頼できるサービスは残してかまいません。判断の基準は次のとおりです。
取り消したい承認が決まったら、いよいよRevoke(取り消し)です。取り消しはブロックチェーンへの書き込みなので、署名とガス代が必要になります。
まずはRabbyの承認管理から、その場で取り消す方法です。別サイトに接続しないぶん、もっとも安全に進められます。
承認先を開くと、許可しているトークンと許可額が出ます。例ではARBが「Unlimited(無制限)」で許可されています。
取り消したいトークンにチェックを入れ、下の「取り消す」をタップします。
複数あるときはまとめて選べます。
取り消す内容とガス代が表示されます(例では1セント未満)。
「確認」をタップし、Face IDなどで承認すれば取り消し完了です。
取り消しにもガス代がかかりますが、金額はわずかです。「資産が抜かれるリスクを数円で消せる保険」と考えると分かりやすいでしょう。
Rabbyで見つからない承認や、より細かく確認したい場合は、定番サービスのrevoke.cashが便利です。多くのチェーンの承認をまとめて確認できます。
スマホのブラウザで「revoke.cash」を開き、右上のメニューを開きます。
必ずURLが revoke.cash か確認してください。偽サイトに接続すると逆に危険です。
メニューの中から「ウォレットを接続する」をタップします。
ウォレットの一覧が出ます。
検索欄に「Rabby」と入れると早く、表示された「Rabby」をタップします。
「”Rabby Wallet”で開きますか?」と出たら「開く」をタップします。
Rabby側で接続を承認すると、revoke.cashにウォレットがつながります。
右上のチェーン選択から、確認したいネットワークを選びます。
今回はARBの承認なので「Arbitrum」に切り替えます。
承認の一覧が表示されます。「承認総数」と「リスクがある総価値」も確認できます。
取り消したい行のチェックを入れます。例では「無制限」のARBが対象です。
取り消しを進めると、再び「”Rabby Wallet”で開きますか?」と出ます。
「開く」をタップしてRabbyに移ります。
Rabbyの確認画面に、チェーン・トークン・取り消す相手・ガス代が出ます。
接続先がrevoke.cashで、取り消す内容が合っているかを見てから「署名」します。
署名が通ると、一覧の「承認総数」が1つ減ります。
これでその承認は取り消され、相手はトークンを動かせなくなりました。
revoke.cashは便利ですが、外部サイトにウォレットを接続する点はRabby内蔵より一手間増えます。普段の閲覧はRabby、見つからないときだけrevoke.cash、という使い分けがおすすめです。
承認の閲覧と並んで大切なのが、これからの署名で詐欺に引っかからないことです。手口を知っておくだけで、引っかかる確率は大きく下がります。
署名詐欺の多くは、「中身を読まずに署名させる」ことを狙っています。代表的な手口を3つ押さえておきましょう。
permit(パーミット)やPermit2は、ガス代なしで承認を与えられる便利な仕組みです。一方で、これを悪用した詐欺が増えています。
怖いのは、ガス代のかからない「ただの署名」に見えても、その実態がトークンの引き出し許可になっている点です。取引(トランザクション)ではないため、軽い気持ちで署名してしまいやすいのです。
署名画面に見慣れない相手や金額、長い有効期限が表示されていたら要注意です。
意味の分からない署名は、押さずに閉じるのが正解です。
ブラインド署名とは、何に署名しているのか分からないまま署名してしまう状態です。とくに「eth_sign」という古い署名要求は、白紙の小切手にサインするようなものとされ、非常に危険です。
正規のサービスがeth_signを求めることはほとんどありません。表示が文字化けのように読めない、何の操作か説明がない署名は、詐欺を疑ってください。
Rabbyはこうした危険な署名に警告を出してくれます。その警告が出たら、内容を確認できるまで進めないことが大切です。
本物そっくりの偽サイトに接続させ、承認や署名を奪う手口も定番です。検索結果の広告や、SNS・DMのリンクから誘導されるケースが多くあります。
もう1つ多いのがアドレスポイズニングです。過去の送金履歴に、自分のアドレスと先頭・末尾がそっくりな偽アドレスを紛れ込ませ、履歴からのコピペで誤送金させる手口です。
対策はシンプルです。
サイトはブックマークから開き、送金先は履歴ではなく登録済みアドレスから選ぶ。これだけで多くの被害を防げます。
Rabbyの強みは、署名する前に「このあと自分の資産がどう動くか」を表示してくれる点です。この事前表示を読む習慣が、最後の砦になります。
署名や承認のボタンを押す前に、Rabbyの確認画面で次の点を見比べてください。1つでも引っかかったら、いったん止めるのが安全です。
とくに大切なのが、最後の1点です。
長期保管の資産は、dAppに一切つながない別のウォレットに分けておくと、承認経由のリスクから切り離せます。
承認の閲覧と署名の確認は、地味ですが、自分の資産を自分で守るための基本動作です。一度やり方を覚えれば、あとは定期的に繰り返すだけです。
安全に承認を管理できるようになったら、いよいよHYPEやHyperliquidに触れていく段階です。次は実際の取引画面の歩き方を、別の記事で解説します。
※本記事は情報提供を目的としたものであり、特定の金融商品やサービスの利用を推奨するものではありません。暗号資産の管理・取引はご自身の責任で行ってください。
