system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/fixedfloat-anzen-2026-risuku-rebyuu$ cat post.md

FixedFloat は 2026 年も安全か?率直なリスク評価

// by ~anon · 2026-05-30 · mock,auto-generated,ja

FixedFloat は 2026 年も安全か?率直なリスク評価

2024 年 2 月 16 日、FixedFloat はホットウォレットを侵害される協調攻撃を受け、BTC と ETH を合わせておよそ 2,600 万ドル相当を失いました。それから 2 年が経過しても、暗号資産ユーザーが検索バーに打ち込む疑問は変わっていません — 「アカウント不要・匿名・即時」を売りにしてきたこの交換サービスは、本当にもう一度信用できるのか。クロスチェーンのミームコイン取引が活発化し、FCMP++ 以降の Monero エコシステムが成熟しつつある今、FixedFloat のような即時スワッパーは、カストディ、KYC の浸食、運用セキュリティをめぐる議論の中心に位置しています。本稿では、何が起きたのか、FixedFloat が何を変えたのか、そして資金の安全だけでなくプライバシーも重視するユーザーにとって、MoneroSwapper のような代替サービスとどう比較されるのかを検証します。

本稿はサービスを叩くためでも、持ち上げるためでもありません。Monero、Bitcoin、その他流動性のある資産をどこで交換するかを 2026 年に判断する際、どのリスクが実在し、どのリスクが過大評価されているのか、そして慎重なユーザーが実際にとるべき手順は何か — それを見極めることが目的です。

FixedFloat とは何か、そして何ではないのか

FixedFloat はアカウント登録なしで、XMR、BTC、ETH、LTC、SOL、複数のステーブルコインを含む数十種類の資産を相互に交換できる即時交換サービスです。インターフェースは意図的に最小限に絞られています — ペアを選び、金額を入力し、受取アドレスを貼り付けて送金するだけ。裏側では流動性を集約し、指定したアドレスに目的の資産を返送します。

FixedFloat は、いわゆる「ノンカストディアル風」スワップに分類されるサービスです。この言い回しは重要です。入金が確定してから出金トランザクションがオンチェーンに着地するまでの数秒から数分間、FixedFloat は確実にカストディアルです。その間、取引所のホットウォレットがユーザーの資金を保有しています。これは SimpleSwap、StealthEx、ChangeNOW、Trocador など、市場に存在する事実上すべての「アカウント不要」スワップに共通するアーキテクチャ上の真実です。マーケティング上の表現は様々ですが、根本的な仕組みは変わりません。

  • デフォルトでアカウント不要:登録もログインも不要で、入口での KYC もありません。
  • 2 種類のレートモード:「Fixed」レート(見積もり時に確定。やや不利だが予測可能)と「Float」レート(執行時の市場価格。良くなることも悪くなることもある)。
  • 払戻アドレスの要求:一定額以上のスワップでは、トランザクションがフラグ立て・凍結・コンプライアンス審査落ちになった場合に資金を返却できるよう、払戻アドレスの提供が求められます。
  • アドレススクリーニング:2026 年の規制隣接サービスがすべてそうであるように、入金と出金先は制裁リストと AML リスクプロバイダーに照らして検証されます。「クリーン」な入金でも、ヒューリスティックなリスクスコアリングによってフラグが立つ可能性があります。

ユーザーが即時取引所での AML リスクについて不平を述べるとき、念頭にあるのは最後の点です。FixedFloat に固有の問題ではありませんが、実際に凍結や遅延が起きる最も一般的な原因はこれです。

2024 年 2 月の侵害事件 — 実際に何が起きたのか

2 年が経過し、FixedFloat のハッキング事件は十分に文書化されています。複数のトランザクションを通じて、約 1,728 BTC(当時の価値で約 2,100 万ドル)と約 409 ETH(約 500 万ドル)が取引所のホットウォレットから消失しました。FixedFloat は当初「技術的な問題」を理由に挙げましたが、48 時間後に公式に侵害を認めました。資金は Tornado Eight(当時制裁対象のミキサー)で素早く洗浄され、クロスブリッジプロトコルを介してチェーン間を移動しました。

チームが公開した事後検証レポートは、内部インフラの侵害を原因として指摘しています — サービス自体にオンチェーンロジックが存在しないため、スマートコントラクトのエクスプロイトではありませんでした。その後、ブロックチェーンフォレンジック企業による独立した分析では、最も可能性が高い攻撃ベクターとして運用者の認証情報の侵害と、マルチパーティ承認なしに攻撃者が資金を移動できてしまった不十分に分離された署名構成の組み合わせが指摘されました。

FixedFloat 2024 年事件の教訓は「即時スワップは危険だ」ではありません。「ホットウォレット流動性を保有するあらゆるサービスは攻撃対象であり、ユーザーのエクスポージャー時間は入金確定から出金までの時間そのものだ」というものです — XMR の場合、通常は 15 分以内です。

重要なのは、既に出金処理が完了していたユーザー資金は一切失われなかったという点です。被害を受けたのは FixedFloat 自身の財庫であり、進行中のユーザー取引ではありませんでした。同社は損失を補填し、約 3 週間サービスを停止した後、新しい(一般非公開の)ウォレット構成で運用を再開しました。現時点まで、当該事件で取引中のスワップを失ったと公に報告したユーザーは確認されていません。

2024 年と 2026 年の間に何が変わったか

暗号資産の運用セキュリティにおいて 2 年は長い時間です。FixedFloat 自身もいくつかの可視的な変更を加え、その周囲の規制環境も変化しました。

事件後のセキュリティ強化

同社は現在、コールドストレージへの隔離、マルチシグネチャによるホットウォレット運用、トランザクションごとのベロシティ制限を採用していると公表しています。これらは独立した監査を受けていません — チームの言葉と、再発が起きていないという事実があるのみです。オンチェーンのスマートコントラクトが存在しない以上、信頼の前提は構造的にならざるを得ません。読むべきコントラクトが存在しないからです。

MiCA と欧州コンプライアンスの圧力

EU の暗号資産市場規則(MiCA)は 2024 年末に暗号資産サービスプロバイダーに対して完全に発効し、2025 年を通じて Travel Rule の執行が一層厳格化されました。FixedFloat も他の即時スワッパー同様、一定額以上の取引については EU の IP からの無認証アクセスを制限しています。より大きなスワップ枠を希望するユーザー向けに小規模な「Verified」フローも用意されましたが、少額取引向けのアカウント不要フローは依然として機能しており、ただしリスクスクリーニングの閾値はより厳しくなっています。

日本における規制と Monero の位置づけ

日本のユーザーにとって、文脈はさらに鋭利です。金融庁(FSA)が改正資金決済法に基づき、bitFlyer、Coincheck、GMO コインなど国内登録の暗号資産交換業者に対して匿名性の高いコイン(プライバシーコイン)の取り扱いを認めない姿勢を打ち出してから既に長く、Monero は国内取引所では一切扱われていません。日本居住者が合法的に XMR にアクセスしようとすれば、海外の即時スワッパー経由しか実質的な選択肢は残りません。さらに 2023 年に Travel Rule が国内でも適用されたことで、国内の取引所から海外サービスへ送金する際の追跡可能性は高まっています。FixedFloat や同種のサービスは、こうした規制の隙間で運用されているわけです — それを倫理的にどう評価するかは別として、技術的・法的事実として把握しておく必要があります。

大手取引所での Monero 上場廃止が即時スワップに与えた影響

2024 年から 2025 年にかけて、Binance、Kraken(一部の管轄区)、OKX を含む大手中央集権型取引所が Monero の現物取引を廃止しました。結果として、FixedFloat、SimpleSwap、StealthEx、MoneroSwapper のような即時スワッパーは XMR 流動性においてむしろ重要性を増すことになりました。FixedFloat は 2026 年も XMR の入出金をサポートし続けています — 多くの競合が圧力を受けて静かに上場廃止したことを考えれば、これは意味のあるシグナルです。

FCMP++ アップグレードとアドレススクリーニング

2026 年にメインネット導入が予定されている Monero の Full-Chain Membership Proofs(FCMP++)アップグレードは、リング署名を台帳全体をカバーする暗号学的証明に置き換えます。これは取引所のセキュリティ姿勢を直接改善も悪化もさせませんが、FixedFloat からの Monero 出金が、16 リング時代よりもさらにプライバシー保護性能の高いものになることを意味します。ステルスアドレスと Bulletproofs+ を組み合わせれば、XMR の出金は受取側で機能的に追跡不能です。

FixedFloat と代替サービスの比較(2026 年版)

すべての用途で「最良」と言える即時スワッパーは存在しません。代替サービスを調べる際に実際に目にする名前と、FixedFloat の立ち位置を整理します。

サービス 長所 短所 XMR 対応
FixedFloat 幅広いペア、高速 UI、手数料表示が透明、事件後に復旧 過去のホットウォレット侵害、内部セキュリティが不透明、AML 保留が時折発生 あり(双方向)
MoneroSwapper XMR 特化設計、アカウント不要、攻撃面が小さく、JavaScript 過多なウィジェットがない ペア数は意図的に絞られている、大手アグリゲーターより流動性は小さい あり — 主用途
SimpleSwap 非常に多いペア、長い稼働実績、モバイルアプリあり AML スクリーニングが攻撃的、アドレスのフラグ立てに関する苦情が多い あり
StealthEx すっきりした UI、まずまずのレート、2024-2025 年の上場廃止の波を乗り切った カストディアル時間あり、利用規約で「高リスク」入金を事前通告なく禁止できる あり
Trocador 他社プロバイダーを集約、ルートごとに KYC リスクを選べる ルーティングロジックが一段追加される、払戻は上流プロバイダー経由 あり

適切な選択は、何を最適化したいかで変わります。出力側のプライバシーが最重要 — 例えばフラグ立てされた Ethereum をクリーンな Monero に交換するような場合 — であれば、ノーログを公に約束し Tor と相性のよいスワッパーが望ましい選択になります。スワップ規模と流動性が重要 — 大きな BTC ボリュームなど — であれば、より大規模なアグリゲーターが有利です。FixedFloat はその中間に位置しており、2024 年事件があったとしても、多くのユーザーにとって妥当な位置と言えます。

どの即時取引所でも安全にスワップする方法(FixedFloat に限らず)

最も重要な真実が一つあります — 最も安全なスワップは、目的を達成できる最小のスワップであるということです。2026 年に、セキュリティ意識のあるユーザーがどの即時取引所でも従うべき手順を以下に示します。

  1. URL を必ず確認する。FixedFloat、SimpleSwap、StealthEx のフィッシングクローンは頻繁に出現します。正規ドメインをブックマークしてください — Google 検索の最初の結果をクリックしてはいけません。少しでも不安があれば TLS 証明書の詳細を確認します。
  2. まずは少額でテストする。20〜50 ドル相当のテストスワップなら手数料は数ドルで済み、サービスが稼働しているか、レートが妥当か、出金アドレスが正しいかを確認できます。
  3. Tor またはプライバシー重視の VPN を使う。特に Monero のスワップで重要です。対策をとらない限り、取引所はあなたの IP を記録します — この情報漏洩はユーザー側で制御できます。
  4. 予測可能な執行のために Fixed レートを使う。Float レートはわずかに有利な数字になることもありますが、入金確定までの間スリッページにさらされます。Monero(確定までおよそ 20 分)の場合、Float の窓は長すぎるため、通常は Fixed を選ぶべきです。
  5. 実在する払戻アドレスを必ず提供する。AML 保留、ネットワーク再編成、入金タイムアウトでスワップが失敗した場合、資金が返却されるためには払戻先が必要です。払戻欄を空欄にすることが、即時スワップでユーザーが資金を失う最も一般的な原因であり、取引所の悪意とはまったく関係ありません。
  6. 自分のウォレットに出金し、他の取引所には送らない。CEX から CEX への連鎖スワップは、コンプライアンスのトリガーが集中しやすいパターンです。
  7. スワップ ID とトランザクションハッシュを保存する。スワップが停滞した場合、トランザクション詳細なしにはカスタマーサポートは何もできません。スクリーンショットを必ず撮ってください。
  8. Monero では出金サブアドレスの形式を必ず検証する。Base58 の Monero アドレスのタイプミスは Bitcoin より復旧の余地があります(形式の検証がより厳密なため)が、復旧は取引所のポリシー次第です。二度確認しましょう。

この手順に従うことで「即時スワップで損をした」という話のほとんどは回避できます — 実際にそうした事例を追跡すると、ほぼ確実に取引所による窃取ではなく、ユーザーミスかフィッシングが原因です。

実例:2026 年の慎重なワークフロー

具体例を考えます。中央集権型取引所からの出金で 0.5 BTC が手元にあり、これを XMR に変換して自前の Monero ウォレットで長期保有したいとします。送金元の取引所での KYC 身元と BTC のチェーン履歴が紐付くことを懸念しており、同時に FixedFloat の安全実績も気になります。妥当な手順は以下のようになります。

まず、BTC を自分が管理するセルフカストディウォレットに送ります。確定を 1 つ待ちます。これにより「取引所アドレスからスワップアドレスへ」という直接的なオンチェーンの紐付けを断ち切れます。次に Tor ブラウザを開き、ブックマークしたスワップサービスにアクセスします。小額のテスト — 例えば 0.005 BTC を XMR に — を実行し、レート、宛先アドレス、エンドツーエンドのタイミングを確認します。3〜15 分後には Monero ウォレットに XMR が到着しているはずです。

テストが成功したら本番のスワップを実行します。Fixed レートを使います。払戻アドレスとして、送金元のウォレットとは別のセルフカストディ BTC ウォレットを指定します — そうすれば、万一の払戻時に UTXO が結合されて目的が損なわれることを防げます。BTC を送り、待ちます。XMR が Monero ウォレットに到着すれば、そこからは ステルスアドレス、リング機密トランザクション(RingCT)、Bulletproofs+ により、BTC 起点から追跡することはできません。MoneroSwapper のようなツールはまさにこの「最終的に Monero になる」ワークフロー向けに設計されており、並行して同じテストを行うことで、FixedFloat が不利なスプレッドを提示していないかを比較できます。

これは 2026 年において「神経質すぎる」行動ではありません。Monero を長期的なプライバシー保全価値の貯蔵手段として扱うすべての人にとって、標準的な衛生管理です。

よくある質問

2024 年の FixedFloat ハッキング事件で、個人のスワップは失われたのか?

公に報告された範囲では、ありません。事件で流出したのは FixedFloat 自身のホットウォレット財庫 — スワップの支払いに使う資金 — でした。サービス停止中に進行中だった取引のユーザーは、サービス再開後に支払われたか、払戻アドレスへ返金されました。金銭的損失は会社が吸収しました。とはいえ「公に報告されたユーザー損失なし」は「個別損失ゼロ」と同義ではなく、独立監査の不在を踏まえると、これは運営者の自己申告を信用しているにすぎません。

FixedFloat は 2026 年も KYC 不要なのか?

少額から中程度のスワップでは、デフォルトのアカウント不要フローが維持されています。より大きなスワップや特定のリスクフラグが立つコリドーでは、本人確認ステップが発動するか、送金元への返金で取引が終わります。EU と英国の規制環境は引き締まりつつあり、固定の管轄区で運用する事業者にとって「完全に KYC 不要」を約束し続けることは年々難しくなっています。日本居住者の場合、海外サービスとの取引における Travel Rule の影響も別途考慮する必要があります。

XMR スワップにおいて FixedFloat と MoneroSwapper はどう違うのか?

FixedFloat はペア数が多く — 非 XMR ペアも豊富で — 非 Monero のコリドーでは流動性もやや厚めです。MoneroSwapper は Monero の入出力フローに特化しており、攻撃面を意図的に小さく保ち、UI もよりシンプルで、Tor との相性のよいワークフローを採用しています。最終目的地が XMR であるユーザー — 当方が想定する利用者層 — にとって、MoneroSwapper の方がより焦点の合ったツールです。非 Monero ペアにまたがるマルチアセットのリバランスには、FixedFloat の方が選択肢の幅で勝ります。

入金が AML でフラグ立てされたらどうなる?

評判のある即時スワッパーはすべて、入金を制裁リストとリスクスコアリングヒューリスティックに照らして検証します。フラグが立った場合、通常は資金の出所に関する書類提出を求められます。応じられない、あるいは応じない場合、見積もり時に提供した払戻アドレスに資金が返却されます。だからこそ払戻アドレスを省略するのは危険です — 払戻先がなければ、フラグ立てされた資金は宙に浮きます。これは FixedFloat、SimpleSwap、StealthEx、ChangeNOW、その他 2026 年の同等サービスすべてに共通する仕様です。

FixedFloat を Tor 経由で使えるか?

使えます。2026 年初頭時点で、ほとんどのサーキットで CAPTCHA 地獄に陥ることなく Tor 経由でサイトにアクセスできます。パフォーマンスは状況によって変動します。プライバシーを最大化するには、スワップ開始時の Tor 利用、入金用の専用ホットウォレット、出金用の新規 Monero サブアドレスを組み合わせます。この組み合わせにより、あなたの身元とスワップ事象との間で関連付け可能な表面積が最小化されます。

今日 FixedFloat を使った場合、現実的な最悪のシナリオは?

シナリオは二つあります。第一に、スワップ実行中に 2024 年型のホットウォレット侵害が再発するケース。前例から推測すれば運営者が損失を吸収しますが、出金が数時間から数日遅延する可能性があります。第二に、入金に AML 保留がかかり、最終的に提供した払戻アドレスに返金されるケース。本稿の安全手順に従ってスワップを行った場合の最悪現実的シナリオは「損失」ではなく「遅延」です。最悪の想像可能なシナリオ — 運営者がユーザー資金を持ち逃げする — は FixedFloat では発生しておらず、もし発生すればオンチェーン分析で迅速に可視化されるため、通常のスワップ時間で利用するユーザーには逃げる余裕があります。

日本居住者として、税務上どう扱われるのか?

暗号資産同士の交換は国税庁の現行解釈で課税対象となるイベントです。BTC を XMR に交換した時点で、BTC 取得時からの評価差額が雑所得として計上されます。FixedFloat や MoneroSwapper を経由してもこの扱いは変わりません — むしろアドレスベースでの自動集計ができない分、取引履歴(スワップ ID、レート、日時、円建て評価額)の自前記録が一層重要になります。プライバシーと法令遵守は両立可能ですが、両立させるための記録管理はユーザー自身の責任です。

日本のユーザーが特に注意すべき運用上のポイント

規制と税制の制約上、日本居住者は欧米のユーザーと完全に同じ手順で動くべきではありません。いくつか追加で意識しておくべき項目を挙げます。

送金元の選択

国内登録の暗号資産交換業者から海外の即時スワッパーへ直接送金すると、Travel Rule のもとで送金先情報が交換業者間で共有される可能性があります。FixedFloat のようなサービスは Travel Rule 対応の枠組みに参加していない場合が多く、送金元の交換業者がそうした送金を拒否する、または手動審査に回すケースが増えています。bitFlyer や Coincheck から直接送るのではなく、一度セルフカストディウォレット(Sparrow Wallet、Wasabi、Electrum など)を経由させる手順を強く推奨します。これは秘密の操作ではなく、技術的に当然の段階分離です。

出金先の Monero ウォレット選択

Monero 公式の GUI/CLI ウォレットは安定して動作しますが、日本のユーザーには Feather Wallet(軽量、Tor 統合、リモートノード対応)と Cake Wallet(モバイル向け、シンプル UI)が人気です。いずれも公式の getmonero.org からの紹介経由で入手し、PGP 署名と SHA-256 ハッシュを検証してください。FCMP++ 導入後はノードソフトウェアの更新追従が一層重要になります。

記録管理と確定申告

前述のとおり、スワップは課税イベントです。FixedFloat の取引履歴ページは一定期間で消えるため、各スワップの直後に以下を保存しておくのが安全です — スワップ ID、入金トランザクションハッシュ、出金トランザクションハッシュ、見積もりレート、執行レート、執行時刻、執行時の円建て評価額。Cryptact や Gtax といった国内対応の損益計算ツールに即時スワップを取り込む際、ハッシュベースでの照合が要になります。シードフレーズや 25 単語のリカバリーフレーズを表計算ソフトに記録するのは厳禁ですが、取引履歴は別問題で、むしろ後から再現できないと損失計上で不利になります。

多要素認証のないサービスをどう守るか

FixedFloat はアカウントが存在しないため、2 要素認証の対象がそもそもありません。守るべきは「セッションそのもの」と「クリップボード」です。Monero アドレスを払戻欄や出金欄にペーストするとき、クリップボードハイジャッカーがアドレスを差し替えないか必ず目視確認してください。アドレスの先頭 6 文字と末尾 6 文字を比較する習慣をつけるだけで、この攻撃ベクターはほぼ排除できます。

結論

FixedFloat は 2026 年に安全か。2024 年 2 月当時よりは確実に安全であり、事件後の変更は今のところ持ちこたえており、2024-2025 年の大手 CEX による上場廃止の波の後も Monero をサポートし続ける数少ない広域ペア即時スワッパーの一つです。それは「あらゆる用途で正しいツールである」ことを意味しません。Monero を最終目的地とし、出力プライバシーが核心であるスワップには、MoneroSwapper のような Monero 特化サービスの方が攻撃面を縮小し、運営者のインセンティブもユーザーのそれと整合します。より広いペアと、XMR パイプライン外での単発の変換には、FixedFloat は妥当な選択肢です — 小額のテストスワップ、払戻アドレス、Tor、そして 2026 年のあらゆるスワップが当然備えるべき手順上の衛生管理と組み合わせて使う限りにおいて。正しいツールを選び、テストを実行し、15 分間失っても許容できる金額を超えて単一の取引所に預けない — それが原則です。

← back to blog