NFTや暗号資産の世界では、便利さと同時に常にセキュリティリスクが潜んでいます。特に近年は、ウォレットに紐づく「承認(Approve)」を悪用した詐欺被害が多発しており、大切なNFTを一瞬で失ってしまうケースも少なくありません。
こうした被害を未然に防ぎ、あるいは被害拡大を食い止めるために欠かせないのが「Revoke(リボーク)」という仕組みです。
本記事では、Revokeの基本的な意味から実際のやり方までを、初心者にも分かりやすく解説します。
Revoke(リボーク)とは
Revoke(リボーク)とは、暗号資産ウォレットで一度与えてしまった権限を取り消すことを指します。NFTや暗号資産の取引では、ユーザーがウォレットを接続し、署名や承認(Approve)を行うことで、特定のサービスやスマートコントラクトに対して操作権限を与える仕組みになっています。
通常のマーケットプレイスや信頼できるサービスに対する承認であれば問題ありませんが、悪意のあるサイトや詐欺的なコントラクトに承認を与えてしまうと、ウォレット内のNFTや資産が自由に操作される危険が生じます。特に「Approve」には、ウォレットにある資産を相手側が移動させる権限を与える意味があるため、細心の注意が必要です。
もし誤って不正な承認をしてしまった場合、接続を解除するだけでは権限は残り続け、NFTが盗まれ続ける可能性があります。
こうした危険な状態を解消するために行うのがRevokeであり、一度与えた権限を取り消すことによって、ウォレットの安全性を回復させることができます。
接続/署名/許可の違い
基本的にMetamaskなどのウォレットを使用しスマートコントラクトを操作する方法は「接続」「署名」と、「Approve(承認・確認・許可)」に分けられます。
このうち、接続は「自分がそのサイトの情報を見るため」に行い、署名は「自分で自分のウォレットの中身を操作するために」行う、と考えてよいでしょう。
ですから接続/署名には大きなリスクはありません。
※Approveとは承認、確認、許可の意味です。本稿では暗号通貨ウォレットのMetamaskで行う承認作業(承認や確認ボタンをクリックすること)をApproveと呼びます。
Approve(承認・許可)には細心の注意を
接続/署名には大きなリスクはありません。しかし許可/承認を意味する「Approve」には細心の注意が必要です。
なぜならこれはサイト側があなたのウォレットの中身について何かしらの操作を行うことを「許可」する、という意味だからです。
多くの通常のサイト(例えばOpenseaなど)の場合、その「操作」は通常の操作に限られています。例えば、Openseaが「ある人があなたのNFTを◯ETHで買いたいと言っています。その◯ETHをあなたに送るので、その代わりにそのNFTをその人に送っても良いですか?」といった手続きです。
通常のサイトでこういったトランザクション(取引)を「Approve」することは基本的に問題がありません。しかし、中には詐欺サイトなどではスキャマーが「あなたのウォレットのNFTをすべてこちらが無料でもらっていきます。許可しますか?」といった手続きを求めてくる場合があります。
ほとんどが英語であったりプログラミング言語で書かれているので多くの方は「よくわからないから許可しておこう」と許可してしまい、NFTが盗まれてしまう、これが「不正なトランザクション(取引)をApproveさせる」という手法の詐欺です。
Approveの取り消しが「Revoke(リボーク)」
この不正なトランザクションをApproveしてしまった場合には、このトランザクションへの許可を取り消すこと、つまり、Revokeする必要があります。
先述したように、ウォレットの操作において、接続/署名をしているだけでは、悪意あるサイト、スキャマーはあなたのウォレットの中身に触れることは出来ません。
しかし「あなたのウォレットの中身を無料ですべて持っていってもいいですか?」というトランザクションを万が一、Approveしてしまうと、スキャマーは常にあなたのNFTに触ること、そしてそれを持ちさることが可能になってしまいます。
もしも、意図せぬ形でこのようなApproveをしてしまったら、Revokeが必要になります。
なぜRevoke(リボーク)が重要なのか
なぜRevokeが重要なのでしょうか?それは、一度許可したトランザクションはRevokeをしない限り残り続ける、からです。
悪意あるトランザクションに対する「許可」を取り消さない限り、仮にサイトへのウォレット接続を切っても、サイトを閉じても、パソコンの電源を落としても、悪意あるサイトはあなたのNFTを自由にする、場合によっては勝手に持っていく権利を持ち続けます。
図にするとこうなります。
あなたのNFTがすべて取られてしまい、ウォレットが空っぽになった後でもこの権限は残り続けます。
つまりその状態で、例えばあなたが新しいNFTを購入してこのウォレットに入れたとしたら、それもまたスキャマーは盗むことができしていまいます。つまり、権限が取り消されていない限り(Revokeしていない限り)、スキャマーは常にあなたのウォレットの中のNFTを盗み続けられる、ということになるのです。
Revoke(リボーク)のやり方・解除方法
Revokeをする方法は決して難しくありません。もっとも一般的なものは「Revoke.cash」というWebサービスを利用する方法です。
具体的にRevoke.cashでのRevokeを画面と共に解説します。
- Revoke.cashにアクセス
- ウォレットを接続
- 不審なコントラクトをRevoke
1.Revoke.cashにアクセス
まずは、Revoke.cashにアクセスをしてください。
URLは「https://revoke.cash/」です。必ずURLを確認するようにしてください。特にスキャムにあった直後、焦ってRevokeをしようとしているとGoogleでRevokeとだけ調べてアクセスする方がいます。
そういう場合にニセサイトがGoogle広告で出てきてしまい、そこにアクセスし更に被害が大きくなったという事例もあります。URLは必ず確認してください。
2.ウォレットを接続
続いて、ウォレットを接続します。
右上のConnect Walletボタンからウォレットを接続してください。そうするといま自分の保有しているNFTをどこに許可しているかが一覧で確認できます。
例えばこれは、CryptoNinjaPartnersを2022年5月24日にOpenseaへの操作を許可した、ということを意味しています。
※Openseaは一度、コントラクトが更新されているため、OpenSea(Old)とOpenSeaが混在しています。どちらもOpenSeaなので問題ない「許可」であると思って問題ありません。
3.不審なコントラクトをRevoke
最後に、不審なコントラクトをRevokeします。
すべてを見ていくと概ねはOpenSeaやLoosrareといった「マーケットプレイスの名前」である事が多いです。
ただしその中に、「よくわからないコントラクト」があることがあります。それはほとんどの場合、独自マーケットプレイスであったり、ステーキングサイトであることがいいのですが、不審なコントラクトであれば右側の「Revoke」ボタンを押して取り消しておくことが無難です。
Revokeボタンを押すとウォレットが起動し確認を求められます。
Revokeには少額ですがガス代が発生します。ガス代を支払いこれを確認することでRevokeが完了です。
この一連の作業がRevokeです。
仮にスキャムにあわなかったとしても、定期的にこのサイトで自身のApprove状況を確認し、不審なものがあればRevokeをしておくことがスキャム予防に繋がります。
Revoke(リボーク)の意味・やり方まとめ
NFTや暗号資産の取引において、Approveは必要不可欠な仕組みである一方で、不正なコントラクトに誤って承認を与えてしまうと資産が盗まれるリスクが生じます。
そして一度承認を与えたトランザクションは、そのままでは無効にならず、接続を解除しても権限が残り続けてしまいます。
こうした状態を防ぎ、ウォレットの安全を取り戻すために欠かせないのがRevoke(リボーク)です。Revokeを行えば、不要あるいは不審な権限を取り消し、NFTや暗号資産が盗まれ続ける危険を断ち切ることができます。
特にRevoke.cashのようなツールを活用すれば、誰でも簡単に確認と取り消しが可能です。日常的に利用するウォレットを守るためにも、定期的に承認状況をチェックし、不審な取引があれば早めにRevokeを実行する習慣を持つことが、被害を未然に防ぐための最も効果的な対策と言えるでしょう。
NFT Mediaではメールで、最新情報やお得な情報をお届けしています。
ご登録いただくと、キャンペーンやNFTのWhiteListなどお得な情報、注目のプロジェクト情報等お役に立つ最新情報をメールでお知らせします。ぜひご登録ください。
- NFTのWhiteList(優先購入権)
- キャンペーン情報
- 読者限定Giveaway企画
- 最新NFTコレクション紹介
- NFTニュース速報
- NFTビジネス活用事例
