DEXは「自由・KYC不要・24時間」の魅力的な世界だが、その裏で毎月数千万ドル規模の被害が発生している。詐欺トークン・MEV攻撃・コントラクトバグ――これらは初心者をピンポイントで狙ってくる。
この記事では、2023〜2026年に実際に起きた失敗事例から、DEXに触る前に最低限知っておくべき7つのリスクと、各リスクへの具体的な防御策を整理する。
DEX固有のリスク7つ
リスク1: 詐欺トークン(ハニーポット)
最も被害が多い。流れ:
1. 開発者が新しいトークンを発行
2. Uniswap等のDEXに流動性を入れて取引可能に
3. SNSで「これ買えば10倍」と宣伝
4. 初心者が買うと、売却時にエラー(ハニーポット罠)
5. 開発者が流動性を引き抜いて消える(rug pull)
実例: SQUID トークン(2021年、Netflixドラマ「イカゲーム」便乗)で340万ドルの被害。Twitterで人気沸騰したが、保有者は1人も売却できなかった。
防御策:
– Etherscanでコントラクトを確認: 取引履歴、保有者数、ロック状況
– honeypot.is等の自動チェックツールを使う
– ローンチ24時間以内の新規トークンは触らない
リスク2: MEV(Maximum Extractable Value)攻撃
主な攻撃はサンドイッチ攻撃:
1. あなたが「ETH→USDC 1万円分」のスワップを送信
2. 攻撃BOTがそれを検知
3. BOTが先に価格を上げる注文(Front-run)
4. あなたの取引が高い価格で成立
5. BOTがすぐ売却して利益確定(Back-run)
結果、あなたは意図より3〜10%損する。スリッページを5%以上に設定していると、ほぼ確実に被害に遭う。
防御策:
– スリッページを0.5〜1%に抑える
– 大口取引はFlashbots等のプライベートメンプール経由
– CowSwap、1inch等のMEV保護機能付きアグリゲーターを使う
リスク3: インパーマネントロス(IL)
DEXに流動性提供(LP)する場合の問題。
例: USDC/ETHプールに 1,000 USDC + 1 ETH(=価格2,000ドルのETH 1個分)を預ける。
ETH価格が4,000ドルに2倍になると:
– HODLしていれば: 1,000 + 1 ETH(=4,000ドル相当) = 5,000ドル
– LP提供すると: 約 1,414 USDC + 0.707 ETH(=2,828ドル相当) = 4,242ドル
差額758ドルがIL(無常損失)。手数料収益でカバーできるかは、取引量による。
防御策:
– ステーブル同士のペア(USDC/USDT)ならILはほぼゼロ
– ETH/USDC等の変動ペアは取引手数料の年利(APY)を必ず確認
– 過去のILシミュレーターで事前計算
リスク4: スマートコントラクトの脆弱性
DEX自体のコードにバグがある場合、預けた資産が消える。
実例:
– Curve(2023年7月): Vyperコンパイラのバグで6,200万ドル流出
– Balancer V2(2023年8月): Reentrancyバグで500万ドル流出
– KyberSwap(2023年11月): コード脆弱性で5,500万ドル流出
詳細はスマートコントラクトのリスクと脆弱性|過去の流出事件7選から学ぶ注意点で書いた。
防御策:
– 監査済みDEXを優先(Uniswap、Curve、PancakeSwap等)
– 1つのDEXに5万円以上の長期預けは避ける
– DEXフォロー先のTwitter等で脆弱性アナウンスを見逃さない
リスク5: 偽サイト(フィッシング)
検索エンジンで「Uniswap」と検索すると、広告枠に偽サイト(uniswap-app.io等)が出ることがある。
これらに接続して取引すると:
1. 偽サイトが「approve」取引を要求
2. あなたが署名すると、全ETHが攻撃者に転送される
防御策:
– URLを毎回確認(uniswap.org / app.uniswap.org が公式)
– ブックマークして必ずそこから開く
– MetaMaskの取引内容を毎回チェック(「To: 0x…」が公式コントラクトか)
リスク6: ガス代の暴騰
Ethereumメインネットで、人気プロジェクトのローンチ時にガス代が1取引300ドルになることがある(2021年BAYCローンチ時)。
普通の取引が赤字になる。
防御策:
– 取引前にガス代を確認(MetaMaskが表示)
– Layer 2(Arbitrum、Optimism、Base)を使う(ガス代100分の1〜1000分の1)
– 急ぎでなければ深夜(UTC午前2〜6時)を狙う
リスク7: トランザクション失敗
スワップ取引がガス代を消費しつつ失敗することがある(Slippage超過・関数Revert等)。
例: 1取引で30ドル失ったのに何も得られない。
防御策:
– スワップ前にシミュレーション機能(Uniswapの「Review」画面)で確認
– Tenderly等の取引シミュレーターを利用
– 初取引は極少額(数百円)でテスト
詐欺トークンを見破る5つのチェック
新規トークンを検討する時、最低限:
- Etherscan(Bscscan/Solscan) でコントラクトを開く
- 保有者数(Holders): 100人未満は要警戒
- 取引履歴: 1日数件しかない → 流動性が低い・偽
- コントラクト関数:
setTaxpausemint等の所有者特権関数があれば危険(rug pull可能) - 流動性ロック: Unicrypt等で1年以上ロックされているか?(なければ即引き抜きリスク)
これらを毎回確認するクセをつけるだけで、詐欺被害の80%は防げる。
防御の3層構造
| レイヤー | 対策 |
|---|---|
| ハードウェア | Ledger・Trezor等のハードウェアウォレットで署名 |
| ソフトウェア | MetaMask + Rabby(取引内容を可視化)を併用 |
| 行動 | 怪しい取引は24時間放置してから再判断 |
特に「怪しいと感じたら絶対に署名しない」が最強の防御。FOMOで判断力を失った時が一番危ない。
大口資産の対処
100万円超を扱うようになったら:
- 複数ウォレットへの分散(取引用・保管用を分ける)
- ハードウェアウォレット必須(MetaMaskにshield として接続)
- トランザクション毎の確認: 一括承認(infinite approve)を避ける
- 税務記録: 毎月CSV出力。詳細は仮想通貨の税金とは?
大企業からの教訓: KyberSwap事件
2023年11月、KyberSwap(時価総額1.5億ドル規模のDEX)が5,500万ドル流出。攻撃者は1〜2億分の数の確率でしか発生しない「精密な数値設定」でコントラクトの境界条件を突破した。
教訓: 「監査済み・大手・実績ある」DEXでも、コード由来のリスクはゼロにできない。
初心者向け「触ってもいいDEX」 vs 「避けるべきDEX」
触ってもいい(2026年5月時点)
- Uniswap(全L2): 監査・実績ともに最高位
- Curve(2023年事件後にコード強化済み)
- PancakeSwap(BNB Chain): Binance傘下で運営透明
- Jupiter(Solana): 監査済み、Solana最大手
避けるべき
- 匿名チーム運営のDEX(運営側がいつでも流動性を引ける)
- ロンチ1ヶ月以内のDEX(まだ攻撃テストを十分受けていない)
- 「年利1000%」をうたうDEX(ほぼ100%詐欺or破綻)
まとめ:「自由」の対価としてのリスク管理
DEXの「KYCなし・24時間・国境なし」という自由は、「自分でリスクを管理しなければならない」という対価とセット。
初心者がまず守るべきは:
1. 使うDEXは大手3社に限定(Uniswap、Curve、PancakeSwap)
2. 1取引額は資産の5%以下(損失耐性)
3. ハードウェアウォレット+怪しいトークンに触らないことを徹底
この3つを守れば、被害確率は1%以下に抑えられる。逆に守らないと、半年以内に1度は痛い目に遭う確率が高い。
リスク全体像の理解はスマートコントラクトのリスクと脆弱性、ウォレット選定はハードウェアウォレットとは?を合わせて読んでみてほしい。
※本記事は情報提供を目的としたものであり、特定の暗号資産や投資商品の購入を推奨するものではありません。投資は自己責任で行ってください。過去の実績は将来の利益を保証するものではありません。
