web3airdropssecuritywallet
エアドロの安全なClaimチェックリスト|フィッシングと承認事故を避ける最小手順
|
4 min read
エアドロClaimは「接続・署名・承認」が混ざるので事故りやすい。公式導線、ウォレット分離、署名意図の確認、承認の最小化とRevokeを、5〜10分で回せるチェックリストにする。
目次
エアドロClaimを安全にやるには、何を最小で確認すべき?
結論(Conclusion)
エアドロの事故は、Claimがこの3つを混ぜるから起きる。
- よく分からないサイトで接続
- 意図が曖昧な署名
- 後から悪用される承認(Approve/Permit/SetApprovalForAll)
最小の勝ち筋:
- 公式導線だけを使う(保存して使い回す)
- エアドロ用ウォレットでClaim(メイン資産は触らない)
- 署名意図を読む(権限系が出たら止まる)
- 承認は最小・終わったらRevoke
違和感があれば止める。取りこぼしより資産消失の方が高い。
背景(Explanation)
エアドロUIは“速くClaimさせる”ために最適化されている。 詐欺はそこに、偽ドメイン・盲目的署名・無制限承認を差し込む。
目的は完璧ではなく、致命傷確率を下げること。
実務手順(Practical Guide)
手順0:Claim環境を作る(最初に1回)
- クリプト用の別ブラウザプロファイル
- エアドロ用の別ウォレット
- 公式リンクを保存するトラッカー/メモ
手順1:リンク検証(公式導線だけ)
使う:
- 公式サイト/Docs
- 公式X
- 公式Discordの固定メッセージ
確認:
- ドメインが公式アナウンスと一致
- 公式ソースからclaimリンクに辿れる
- 似た綴り/変なTLDがない
手順2:メインウォレットでClaimしない
- メイン = 長期保有
- エアドロ用 = 実験
分離が最安の保険。
手順3:チェーン/アドレスの確認
- チェーンが正しい
- アドレスが正しい
手順4:求められている操作を区別する
- message sign(ログイン系)と承認は別
- 承認は送金より危険になり得る
Approve/Permit/SetApprovalForAll が出たら減速。
手順5:Claim前ゲートを通す
- 公式リンク
- エアドロ用ウォレット
- 正しいチェーン/アドレス
- 盲目的に署名しない
- 承認は最小(or すぐRevoke)
手順6:Claim後の後始末
- Disconnect
- 不要承認をRevoke
- トラッカー更新
失敗パターン(Pitfalls)
- DM経由のclaimリンク
- eligibility checkを装う偽ページ
- 広告経由のrevokeサイト
- 価値トークンの無制限承認
チェックリスト(Checklist)
- [ ] 公式ソースから来ている(Site/Docs/X/Discord)
- [ ] ドメインが公式アナウンスと一致
- [ ] エアドロ用ウォレットを使っている
- [ ] チェーンが正しい
- [ ] アドレス/アカウントが正しい
- [ ] 署名意図を理解している(盲目的にSignしない)
- [ ] 承認は最小(無制限は避ける)
- [ ] spender/operator が妥当
- [ ] Claim後にDisconnectした
- [ ] 不要承認をRevokeした
- [ ] トラッカーを更新した(公式リンク/ステータス)
FAQ
Q1. ガス無し署名なら安全?
安全ではない。Permit系の承認が署名に含まれることがある。署名はセキュリティイベント。
Q2. Claim後に毎回Revokeすべき?
不要ならYES。後から侵害されても爆発半径を下げられる。
Q3. 最速の停止ルールは?
「1文で何を許可したか説明できないなら署名しない」。
内部リンク(Internal links)
参考
- airdrops.io: https://airdrops.io/
- AirdropAlert: https://airdropalert.com/
免責
投資助言ではありません。セキュリティの一般的な注意喚起です。