インタビュー：ハッカーが DeFi プロトコルやソリューションを攻撃し続ける理由

TL;DRの内訳

• 暗号通貨や DeFi プロトコルを攻撃するハッカーの急増が続いています。.
• 2021年に暗号通貨業界への攻撃により70億ドル以上が失われました。.
• ハッカーが暗号通貨業界をターゲットにし続ける理由。.

DeFi 分野、ひいては暗号通貨業界を襲うハッカーの急増は、業界にとって引き続き懸念材料となっている。.

報道によると、2021年には169件のブロックチェーンハッキングdentが発生し、約70億ドルの資金がハッカーによって盗まれた。過去1か月間で、少なくとも5件の仮想通貨ハッキング事件が報告されており、 DeFi プロトコルであるCream Financeが 最新の被害事例となった。1億3000万ドル以上が盗まれたとされている。

これに代えて、 Cryptopolitan 、ビジネスプロセスとサイバーセキュリティにおけるブロックチェーンの統合に特化した研究開発企業HashExのCEO兼創設者であるドミトリー・ミシュニン氏にインタビューを行いました。ミシュニン氏は、サイバーセキュリティと分散型アプリケーションにおけるtronな技術的バックグラウンドに加え、情報セキュリティシステムの開発においても豊富な経験を有しています。.

以下はインタビューからの抜粋です

Q: 最近ユーザーが直面しているハッキングやエクスプロイトの件数に驚いていますか?

残念ながら、そうではありません。スマートtracを作成する人はますます増えています。しかし、多くの場合、十分なプログラミング能力と、現在 Ethereumと互換性のある唯一のプログラミング言語であるSolidityの十分な理解を持っていません。信頼性の高い DeFi プロトコルを作成するには、このプログラミング言語を十分に理解することが必須であり、そのニュアンスを理解していないと、簡単に悪用され、資金が盗まれる可能性があります。.

Q: 悪意のあるコードを含むスマートtracを承諾したり署名したりすると、資産が盗まれる可能性がありますか?

すべてのユーザーは、ブロックチェーン取引は取り消し不可能であることを知っておく必要があります。ERC-20スマートコントラクトに一定量のERC-20トークンを承認するとtracそのトークンは取り消し不可能な形でコントラクトに転送されます。コントラクトtrac、脆弱性のない検証済みのソースコードを持っているかもしれませんが、依存関係として検証されていないライブラリを持っている可能性もあります。このようなコントラクトにトークンを承認することはtracライブラリの動作を確認できないため、大きなリスクとなります。
これは、少なくとも2,700万ドル相当のユーザー資金が盗まれたStableMarketプロジェクトのケースです。StableMarketプロジェクトのコントラクトはtrac済みのコードを持っていましたが、検証されていないライブラリとともにデプロイされていました。このライブラリは悪意のあるもので、プロトコルに保存されていたユーザーのトークンを盗みました。

ユーザーにとってもう一つのリスクは、アップグレード可能なスマートコントラクトにトークンを承認することですtracこのようなコントラクトtracエンドmatic、悪意のあるコードによって自動的にアップグレードされ、承認されたトークンを盗まれる可能性があります。
に最大量のトークンを承認することがtrac、使用されるトークン量だけでなく、trac、ガス料金も追加で支払う必要があります。しかし、コントラクトが悪意を持って動作した場合tracウォレットから任意の量のトークンを引き出すことができます。

したがって、セキュリティを最大限に高めるためのベストプラクティスは、承認金額を常に確認し、trac操作に必要な金額のみを承認することです。.

Q: ハッカーはより賢くなってきているのでしょうか、それとも暗号通貨のユーザーはサイバーセキュリティ手順に関してあまり注意を払わなくなってきているのでしょうか?

どちらの記述も真実です。ハッカーは、様々なプロトコルと連携してフラッシュローン・プラットフォームを悪用し、脆弱性を作り出して悪用することに大きな進歩を遂げています。これらのプラットフォーム自体はほとんどの場合安全ですが、フラッシュローンは構造的な複雑さを増し、脆弱性の発生頻度を高めています。.

このような攻撃は非常に複雑で、分析だけでもかなりの時間がかかります。また、単純なバグを含む粗悪なコードを持つプロジェクトをハッキングするケースも数多く存在します。こうしたバグは、テストや適切なコード監査が行われていれば、おそらく排除できたはずです。
ユーザーにも責任の一端があります。なぜなら、コールドストレージなど、リスクを最小限に抑える安全な方法を知っているユーザーが多いからです。しかし、彼らはしばしばそれらを無視し、何倍ものROIをもたらす可能性のある機会を軽視してしまいます。時には、結局は金銭的な損失に終わることもあります。

Q: ユーザーはどのようにして、Metamask や OpenSea、 DeFiなどの関連 dapps 上の資産をより適切に保護できますか?

最善の保護策は、すべての資産をホットウォレットに保管するのではなく、コールドウォレットに移すことです。コールドウォレットはインターネットに接続できません。運用に必要な少量の資産のみをホットウォレットに保管し、残りはコールドストレージに保管するのが最善です。
さらに、ユーザーは標準的なセキュリティルールに従う必要があります。例えば、ウイルス対策ソフトを使用し、メール内の疑わしいリンクを開かないようにし、可能な場合は二要素認証を使用するなどです。

Q: 業界が成長するにつれて、ハッキングやエクスプロイトはより一般的になると思いますか?

業界が成長し、より多くのプロジェクトが立ち上げられるにつれて、ハッキングのリスクに直面するプロジェクトも増えるでしょう。すべてのプロジェクトのバグを完全に排除することはできませんが、ブロックチェーンセキュリティ企業はバグを最小限に抑えるために常に取り組んでいます。これには、プロジェクトのソースコードの監査だけでなく、バ​​グの発生を完全に防ぐ、あるいは少なくとも開発の初期段階で発見するのに役立つ分析ツールの開発も含まれます。.

Q: 暗号通貨業界の拡大において、HashEx はどのような役割を果たしていますか?

私たちは、分散型アプリケーションの利用における透明性と安全性について、人々に啓蒙活動を行っています。その仕組みは複雑で不明瞭であり、一般のユーザーには理解しがたいものです。また、良識ある人なら、奇跡のフィールドにいるピノキオのように、理解できないものに自分のお金を託すようなことはしません。私たちは複雑な概念を分かりやすく説明し、人々が認識し、回避すべき落とし穴を明らかにします。さらに、潜在的な投資家が十分な情報に基づいた投資判断を下せるよう支援します。.

しかし、私たちは本来、 DeFi と暗号通貨を専門とする監査会社です。つまり、スマートtracの監査を数多く実施し、投資家の信頼獲得を支援しています。投資家は、プロジェクトが投資家に経済的な打撃を与える可能性のある高額なミスから十分に保護されていることに信頼を寄せ、信頼を獲得できるよう支援しています。.

Q: ランサムウェア、サイバーセキュリティ、頻繁な暗号通貨ハッキングを終わらせるための動きについて、G7とジョー・バイデン米dent の見解をどうお考えですか?

セキュリティ基準の継続的な改善は、私たちの日常業務であり、企業理念の一部です。私たちは、トラストレスな DeFi 空間に信頼をもたらすことを目指しています。そして、これは DeFiだけでなく、あらゆるIT分野において極めて重要な課題です。新しいソフトウェア製品が急速に登場する中で、残念ながらサイバーセキュリティの側面は十分な注意を払われておらず、ハッカーに悪用される機会を生み出しています。その主な理由は2つあります。「マウスクリックプログラミング」と、不必要に高い賃金を提示されている低品質の労働力です。.

これは急成長するITビジネスの欠点です。この弱肉強食の環境において、企業は互いに先手を打とうと新製品を提供し、セキュリティ問題の重要性にもかかわらず、しばしば目をつぶっています。その結果、多数の顧客が利用する大規模システムであっても、ユーザーの資金損失につながるバグが残っている場合があります。時には、これらのバグの影響が大陸全体に及ぶことさえあります。.

この観点からすれば、政府による介入は完全に正当化されます。もし州政府がこれらの問題に介入しなければ、誰が貪欲なビジネスマンを取り締まり、セキュリティ対策と賢明なソフトウェア開発に力を注ぐよう説得できるでしょうか？

人々が政府機関にハッキングを報告し始めれば、良い影響が生まれるでしょう。タイムリーな情報提供は、備蓄チャネルへの接続を可能にし、潜在的な機能不全の影響を最小限に抑えるのに役立ちます（米国東海岸への石油供給状況は、この取り組みの良い例と言えるでしょう）。.

業界全体で統一されたセキュリティ基準も、外部の人間ではなく専門家によって策定されれば、有益となるでしょう。DApps開発の初期段階にある現在でも、主要な監査機関によってそのような基準が実装されつつあります。このようなプロトコルの統合は、プログラミングを容易にし、コードをより安全にし、ユーザーの資金も保護するため、誰にとっても有益です。.

Q: これらのハッキングは暗号通貨業界にどのような影響を与えたのでしょうか？

暗号資産業界へのフィードバックは、盗まれた資金をコントロールしようとする試みです。これは良いことだと思います。現状では、暗号資産を通して現実世界のあらゆる利便性を得ることはできません。状況は日々変化していますが、完璧とは程遠い状況です。そのため、ハッカーは違法に取得した資金を引き出すために、暗号資産と法定通貨の間に橋渡しを依然として必要としています。.

これは犯罪者がdentされる段階です。発見される犯罪者が増えれば増えるほど、再び同じことをしようとする者は少なくなります。東洋文化において、窃盗のために体の一部を切り落としていたことを思い起こしてみてください。法執行機関によるこのような介入は、暗号資産業界とその評判に完全にプラスの影響を与えています。こうした行動は人々に安心感を与えています。.

Q: こうした暗号ハッキングの背後には悪質な行為者やプレイヤーが多数いますが、他者を抑止するために彼らにどのような制裁を推奨しますか?

以前も申し上げたように、私はそのような個人を処罰することに全面的に賛成です。私は、このような行為を様々な程度の重大性を持つ金融詐欺とみなし、相応の法的措置を講じます。現時点では、新たな法律を制定しようとは考えていません。.

Q: ハッキングのない暗号通貨の世界を実現するのはほぼ不可能ですが、暗号通貨の利害関係者、政策立案者、その他あらゆる関係者は、どうすれば攻撃を最小限に抑えることができるのでしょうか?

サイバー脅威のないIT分野は考えられません。しかし、一般企業の場合、私たちが目にするのは氷山の一角であり、全体像ではありません。目に見えるハッキングは実際にはもっと多く発生しています。なぜなら、そのような情報が公表されれば、企業の評判が損なわれる可能性があるからです。暗号通貨の場合、すべてが透明で公になっているため、マスメディアはこうした事柄をより頻繁に取り上げます。.

サイバーセキュリティは多面的な取り組みであり、暗号資産から法定通貨への出口と入口における規制枠組み、ユーザー教育、サイバーセキュリティチームによるコードチェックなどが含まれます。この業界はまだ発展途上にあるため、適切な発展の方向性を導く絶好の機会となっています。こうすることで、後から穴を埋めるのではなく、最初からより安全なプラクティスを活用することができます。.