DeFi(分散型金融)の預かり資産、いわゆるTVLは2024年12月に2,000億ドルを超えました。2021年の「DeFiサマー」を大きく上回る過去最高です。
一方、同年2024年、暗号資産のハッキング被害総額は22億ドルに達しています。前年からの増加率は22%。DeFiは確かに銀行を介さず高い利回りを狙える仕組みですが、そこには国内取引所では考えられないリスクが潜んでいます。
この記事ではDeFiの危険性を5つに分けて、それぞれ具体的な数字と事例付きで解説します。「DeFiに興味はあるけど怖い」と感じている人にとって、やるかやめるかの判断材料になるはずです。
DeFiに手を出す前に、この5つのリスクだけは必ず知っておいてください。
DeFiはなぜ「高利回り」を出せるのか
DeFiが年利数十%という利回りを提示できるのは、間に銀行や証券会社が入らないからです。
通常の金融では、銀行が預金を集めて融資し、その差額(利ざや)を取ります。DeFiではこの中間業者が存在しません。ユーザーがスマートコントラクト(自動で動くプログラム)に直接資金を預け、借り手が直接利息を支払います。中間マージンがゼロなので、利回りの大部分がユーザーに還元される仕組みです。
ただし、それは銀行が担っていた保護もゼロだということです。
日本の銀行口座には預金保険制度(ペイオフ)があり、1,000万円までは銀行が破綻しても保護されます。DeFiにはこの制度がありません。カスタマーサポートもなければ、問い合わせ窓口すらないプロトコルがほとんどです。
なふと利回りだけ見てDeFiに資金を入れる方がいますが、利回りが高いのには理由があります。中間業者がいない分、リスクも全部自分で引き受けているんです。
「高利回り=おいしい話」ではなく、「高利回り=それだけリスクを取っている」と読み替えてください。
DeFiの危険性を5つ順番に見ていく
DeFiのリスクは大きく5種類に分けられます。技術的なバグ、経済的な損失の仕組み、詐欺、法律の空白、そして自分自身の管理ミスです。
競合メディアでは「ハッキング」「自己責任」の2つで片付けられがちですが、実際にはもっと多面的です。それぞれ数字と事例を付けて見ていきます。
10回の監査を受けても盗まれたスマートコントラクト
DeFiのハッキング被害で注目すべきは、監査を受けたプロトコルでも盗まれているという事実です。
2024年には、10回以上の外部監査を受けた大手DeFiプラットフォームがハッキング被害に遭いました。監査は万能ではありません。
なぜこれほど被害が出るのか。よく使われる攻撃手法の一つが「フラッシュローン攻撃」です。これは担保なしで瞬間的に巨額の資金を借り、その資金で市場価格を操作し、利益を抜いてから返済するという手口です。すべて1つのトランザクション(取引記録)の中で完結するため、従来の金融犯罪とはまったく次元が違います。
「監査済み」のラベルは安全の証明ではなく、「チェックしたけど穴が残っている可能性はある」という意味です。
預けただけで元本が減るインパーマネントロスって何?
DeFiで利回りを得る方法の一つに「流動性提供」があります。DEX(分散型取引所)に2種類のトークンをペアで預け、取引手数料の一部を報酬として受け取る仕組みです。
一見シンプルですが、ここにインパーマネントロス(変動損失)という落とし穴があります。
預けた2つのトークンの価格比が変わると、DEXのプログラムが自動的にバランスを調整します。その結果、値上がりしたトークンの数が減り、値下がりしたトークンの数が増えます。ペアを引き出したとき、最初からただ持っていた場合よりも資産が減っている。これがインパーマネントロスです。
どれくらい減るのか。価格が2倍に変動した場合は約5.7%の損失、4倍なら約20%の損失になります。
「手数料収入がもらえるんだから、差し引きでプラスになるんじゃないの?」と思うかもしれません。しかし実際にはインパーマネントロスが手数料収入を上回るケースは珍しくありません。とくに価格変動が激しいトークンペアでは、年利50%と表示されていても実質はマイナスだったということが起こります。
なふと利回りの数字だけ見て預けるのは危険です。インパーマネントロスを差し引いた「実質利回り」を計算してから判断してください。
DEXの仕組みやおすすめのプラットフォームについてはこちらにまとめています。
インパーマネントロスはバグでも詐欺でもなく、DEXの仕組み上「確実に発生する」損失です。
匿名チームが数億円を持ち逃げするラグプル
ラグプルとは、プロジェクトの運営者が集めた資金を持ち逃げする詐欺です。DeFiの世界では珍しい話ではありません。
手口は典型的です。匿名のチームが新しいトークンを発行し、SNSで「年利1000%」のような派手な利回りを宣伝します。資金が集まったところでスマートコントラクトの管理者権限を使い、流動性プール(ユーザーが預けた資金)をごっそり抜き取ります。
なぜこれが可能なのか。DeFiのプロジェクトは誰でも作れるからです。身元確認も免許も必要ありません。コードをデプロイ(公開)するだけでプロジェクトが立ち上がります。
- 運営チームの実名・経歴が公開されているか
- スマートコントラクトのコードが公開・検証済みか
- 流動性がロック(一定期間引き出し不可)されているか
- TVL(預かり資産)の推移が安定しているか
上の4つのうち1つでも「いいえ」なら、そのプロジェクトには近づかないほうがいいです。とくに「匿名チーム+高利回り+ロックなし」の3つが揃ったプロジェクトは、ラグプルの典型パターンです。
なふとX(旧Twitter)で流れてくる「年利1000%」の新プロジェクト、そのほとんどがこのパターンです。知らないプロジェクトに大金を入れる前に、上の4つだけは必ず確認してください。
DeFiでは「誰でもプロジェクトを作れる」が、それは「誰でも詐欺プロジェクトを作れる」とイコールです。
日本の法律はDeFiを想定していない
国内取引所(CeFi)は金融庁の登録を受けており、顧客資産の分別管理やセキュリティ体制の審査をクリアしています。万が一ハッキングされても、取引所が補償したケースは実際にあります。
DeFiにはこの枠組みがありません。
日本の資金決済法や金融商品取引法は、中央管理者がいる金融サービスを前提に作られています。管理者が存在しないDeFiプロトコルは、現行法の網にかからない部分が多く残っています。
つまり、海外のDeFiプロトコルで資金を失っても、日本の法律で保護を求めることが難しい。被害届を出したところで、相手は海外のスマートコントラクトです。差し押さえも返金命令も、事実上不可能です。
税金の面も厄介です。DeFiで得た利益は雑所得に分類され、最大55%(所得税45%+住民税10%)の税率がかかります。株式投資のような損益通算もできません。
利回り系のリスクをもっと詳しく知りたい方はこちらの記事も参考になります。
CeFi(国内取引所)には法律の保護がありますが、DeFiにはありません。この差は「万が一」のとき致命的です。
ウォレットの秘密鍵を失くしたら、その資産は永久に消える
銀行口座の暗証番号を忘れても、窓口で本人確認をすれば再設定できます。クレジットカードを紛失しても、電話一本で止められます。
言うまでもなく、DeFiではそんな保険は通用しません。先述の通り、法律で想定されてないんですから当たり前ですよね。
DeFiを使うには自分でウォレット(MetaMaskなど)を管理する必要があります。このウォレットの核となるのが「秘密鍵」や「シードフレーズ」(12〜24個の英単語の羅列)です。これを紛失すると、ウォレット内の資産に二度とアクセスできません。
逆に、シードフレーズを他人に知られたら全資産を抜かれます。「シードフレーズを入力してください」と求めるサイトやDMは100%詐欺です。公式のサービスがシードフレーズを聞くことは絶対にありません。
利回りを狙うなら、DeFiの前にまずステーキングのリスクを理解しておくのがおすすめです。
DeFiでは「自分のお金を守る責任」が100%自分にあります。銀行に電話すれば解決する世界ではありません。
「それでもDeFiを触りたい」なら守ってほしい3つのルール
ここまで5つのリスクを見てきましたが、DeFiそのものが「悪」というわけではありません。リスクを理解した上で、守れるルールを決めてから始めるのが大事です。
- 失っても生活に困らない金額だけを入れる。DeFiに回すのは投資資金のうち10〜20%が目安
- 監査済み+TVL上位のプロトコルに絞る。Aave・Uniswap・Lidoなど実績のあるプロジェクトから始める
- MetaMaskの承認(Approve)を定期的に取り消す(Revoke)。使い終わったプロトコルへのアクセス権を放置しない
とくに3つ目のRevokeは見落としがちです。DeFiを使う際、ウォレットがプロトコルに対して「このトークンを無制限に動かしていい」という許可を出しているケースがあります。そのプロトコルがハッキングされた場合、許可を出したままの資産が抜かれる可能性があります。
なふとDeFiを完全に否定するつもりはありません。ただ、リスクを知らずに利回りだけ追いかけるのは投資ではなくギャンブルです。ルールを決めてから入ってください。
DeFiで資産を守るための最低ラインはこの3つです。これを面倒に感じるなら、DeFiにはまだ手を出さないほうがいいかもしれません。
DeFiに向いている人と向いていない人
右側に1つでも当てはまるなら、まずは国内取引所で仮想通貨の基礎を経験してからDeFiを検討したほうが安全です。
なふと正直なところ、DeFiは中上級者向けの世界です。「とりあえず触ってみよう」で入ると、取り返しのつかない損失を出す可能性があります。
よくある質問
まとめ
DeFiは銀行を介さずに高い利回りを狙える金融の仕組みですが、それは同時に既存の金融が持っていた安全装置がすべて外れていることを意味します。
- スマートコントラクトのハッキングは監査済みでも起こる
- インパーマネントロスは仕組み上避けられない損失
- ラグプル(持ち逃げ)は匿名チームによる典型的な詐欺手口
- 日本の法律はDeFiを想定しておらず、被害回復は困難
- 秘密鍵を失くしたら資産は永久に消える
DeFiに興味があるなら、まずは国内取引所で仮想通貨の売買や送金に慣れてから検討してください。基礎ができていない状態でDeFiに手を出すのは、免許を取る前に高速道路に乗るようなものです。
国内取引所であれば、アプリの操作もシンプルで日本語サポートもあります。まずはここから始めるのが堅実です。
なふとDeFiは否定しません。ただ、順番が大事です。国内取引所で経験を積んでから、リスクを理解した上でDeFiに進むのが一番安全なルートです。
DeFiの危険性を知った上で「それでもやる」と決めた人は、この記事の3つのルールを守って始めてください。