この一連の記事は、OKX Web3 と BlockSec が共同キュレーションした「セキュリティ特別号 05」から抜粋されたもので、DeFi ユーザーや DeFi プロジェクトチームが直面するセキュリティ上の懸念に対処しています。
Q1:DeFi 参加時にユーザーはどのように監視意識を構築するか?
OKX Web3 ウォレットセキュリティチーム:クジラユーザーを例にとりましょう。クジラとは主に、大規模な資金を保有する個人投資家や小規模な投資機関を指しますが、通常は非常に強力なセキュリティチームを持たず、セキュリティツールの自己開発能力もありません。したがって、これまでほとんどのクジラは十分なリスク意識を欠いており、そうでなければこれほど大きな損失を被ることはなかったでしょう。
巨額の損失のリスクがあるため、一部のクジラユーザーは、リスクを監視・感知するために、一般に入手可能な多数のセキュリティツールに意識的に依存するようになりました。現在、監視製品に取り組んでいるチームは数多くありますが、選択は重要です。以下にいくつかの重要なポイントを挙げます。
第一に、ツールの使用コストです。多くのツールは非常に強力ですが、プログラミングが必要であり、使用料も安くありません。ユーザーがコントラクトの構造を把握したり、アドレスを収集したりすることは容易ではありません。
第二に、精度です。夜寝るときに複数のアラートが連続して届き、結局それらがすべて誤検知であったと判明することを望む人はいません。したがって、精度も重要です。
最後に、セキュリティです。特にこれほどの規模の資金では、ツールの開発とそのチームの様々なセキュリティリスクを無視することはできません。最近の Gala Game の攻撃事件は、安全ではないサードパーティのサービスプロバイダーを導入したことが原因であると言われています。したがって、信頼できるチームと信頼できる製品が不可欠です。
これまでに、多くのクジラが私たちを見つけ、私たちは彼らに専門的な資産管理ソリューションを推奨しています。これにより、クジラユーザーは、日々の資金管理(「マイニング、引き出し、売却」など)の「リスクを認識する」ことや、緊急時の資金引き出しなどを考慮しながら、資金の安全を確保できます。
Q2:DeFi 参加およびセキュリティリスクへの対処に関するセキュリティのヒント
BlockSec セキュリティチーム:大規模な資金参加者にとって、DeFi プロトコルに参加する際の主な関心事は、元本の安全性を確保することであり、潜在的なセキュリティリスクを徹底的に調査した後にのみ投資することです。資金の安全を確保するために考慮すべき点がいくつかあります。
まず、プロジェクト側がセキュリティをどの程度重視し、投資しているかを多角的に判断する必要があります。これには、プロジェクトが徹底的なセキュリティ監査を受けているか、プロジェクト側がプロジェクトのセキュリティリスクを監視し自動的に対応する能力を持っているか、そして良好なコミュニティガバナンスメカニズムが存在するかどうかが含まれます。これらすべては、プロジェクト側がユーザー資金の安全を重要な位置に置いているかどうか、そしてユーザー資金の安全に対して高い責任感を持っているかどうかを反映しています。
次に、大規模な資金参加者は、独自のセキュリティ監視および自動応答システムを構築する必要があります。投資したプロトコルでセキュリティインシデントが発生した場合、大規模な資金投資家は、プロジェクト側だけにすべてを期待するのではなく、最初の瞬間にそれを認識し、資金を引き出して損失を可能な限り salvage できる必要があります。2023 年の Curve、KyberSwap、Euler Finance のような注目度の高いプロジェクトへの攻撃を観察すると、大規模投資家はしばしばタイムリーなアラートを見逃し、自己完結型のセキュリティ監視および緊急引き出しシステムを欠いていることが明らかです。
さらに、投資家は、投資したプロジェクトターゲットのセキュリティに継続的に注意を払うために、優れたセキュリティパートナーを選択する必要があります。プロジェクト側のコードのアップグレード、重要なパラメータの変更などは、タイムリーに認識し、リスクを評価する必要があります。このようなタスクは、専門のセキュリティチームとツールの参加なしには達成が困難です。
最後に、秘密鍵のセキュリティを保護する必要があります。頻繁な取引を必要とするアカウントの場合、単一アドレスと単一秘密鍵の損失後の単一障害点を排除するために、オンラインのマルチシグネチャとオフラインの秘密鍵セキュリティソリューションを組み合わせることが最善です。
投資したプロジェクトがセキュリティリスクに直面した場合、何をすべきか?
クジラや投資家であれば誰でも、セキュリティインシデントに遭遇した場合の最初の反応は、元本を保護することであり、最優先事項は可能な限り迅速に資金を引き出すことであると信じられています。しかし、攻撃者は通常非常に速く、手動操作では間に合わないことが多いため、リスクに応じて自動的に資金を引き出すのが最善です。現在、当社の攻撃監視およびブロックプラットフォームである Phalcon は、攻撃トランザクションを検出した後に自動的に資金を引き出し、ユーザーが最初に避難するのを支援できます。
第二に、損失が発生した場合、教訓を学ぶことに加えて、プロジェクト側がセキュリティ会社に支援を求めて、損傷した資金を追跡・監視するように積極的に促すべきです。Crypto 業界全体がセキュリティに注目していることで、回収される資金の割合は徐々に増加しています。
最後に、実質的な保有者は、同様の脆弱性がないか、投資ポートフォリオ全体を監査するためにセキュリティ会社に依頼することを検討してください。Compound V2 インシデントに見られたように、多くの攻撃は共通の根本原因から生じており、他のプロジェクトでも同様のことが見られました。セキュリティ会社は、投資全体のリスクを特定し、必要に応じてプロジェクトチームとの迅速なコミュニケーションや戦略的な撤退を可能にします。
OKX Web3 ウォレットセキュリティチーム:DeFi プロジェクトに参加する際、ユーザーはより安全に DeFi プロジェクトに参加し、資金損失のリスクを軽減し、分散型金融がもたらすメリットを享受するために、さまざまな措置を講じることができます。ユーザーレベルと OKX Web3 ウォレットレベルの 2 つの側面から説明します。
まず、ユーザー向け:
- 1)監査済みのプロジェクトを選択する:有名なサードパーティ監査会社(ConsenSys Diligence、Trail of Bits、OpenZeppelin、Quantstamp、ABDK など)によって監査されたプロジェクトを優先し、公開されている監査レポートを確認し、潜在的なリスクと脆弱性の修正を理解します。
- 2)プロジェクトの背景とチームを理解する:プロジェクトのホワイトペーパー、公式ウェブサイト、開発チームの背景を調査することで、プロジェクトの透明性と信頼性を確保します。ソーシャルメディアや開発コミュニティでのチームの活動に注意を払い、技術力とコミュニティサポートを理解します。
- 3)投資を分散する:単一の DeFi プロジェクトまたは資産にすべての資金を投資しないでください。分散化はリスクを軽減します。貸付、DEX、ファーミングなど、さまざまな種類の DeFi プロジェクトを複数選択して、リスクエクスポージャーを分散します。
- 4)少額でテストする:大規模なトランザクションを行う前に、まず少額のテストトランザクションを実行して、操作とプラットフォームの安全性を確認します。
- 5)アカウントを定期的に監視し、緊急事態に対処する:DeFi アカウントと資産を定期的にチェックして、異常なトランザクションやアクティビティをタイムリーに検出します。Etherscan などのツールを使用してオンチェーントランザクションレコードを監視し、資産の安全性を確保します。異常を検出した後、アカウントのすべての承認を無効にする、ウォレットセキュリティチームにサポートを依頼するなど、タイムリーに緊急措置を講じます。
- 6)新規プロジェクトには注意する:開始されたばかりまたは未検証のプロジェクトには、慎重な姿勢を保ちます。最初に少額の資金を投資してテストし、その運用とセキュリティを観察できます。
- 7)トランザクションには主流の Web3 ウォレットを使用する:DeFi プロジェクトとやり取りする際は、主流の Web3 ウォレットのみを使用してください。これらはより優れたセキュリティ保護を提供します。
- 8)フィッシング詐欺に注意する:不審なリンクや未知のソースからのメールをクリックする際は注意し、信頼できないウェブサイトに秘密鍵やニーモニックを入力しないでください。アクセスするリンクが公式ウェブサイトであることを確認してください。ウォレットやアプリケーションは公式チャネルからダウンロードして、ソフトウェアの正当性を確保してください。
次に、OKX Web3 ウォレットの観点から:
当社は、ユーザー資金の安全を保護するために、多くのセキュリティメカニズムを提供しています。
-
1)リスクドメイン検出:ユーザーが DAPP にアクセスする際、OKX Web3 ウォレットはドメインレベルで検出・分析します。ユーザーが悪意のある DAPP にアクセスした場合、それを傍受または警告して、ユーザーが詐欺に遭うのを防ぎます。
-
2)ハニーポットトークン検出:OKX Web3 ウォレットは、ハニーポットトークンの包括的な検出をサポートし、これらのトークンをウォレット内で積極的にブロックして、ユーザーがそれらとやり取りするのを防ぎます。
-
3)アドレスタグライブラリ:OKX Web3 ウォレットは、豊富で包括的なアドレスタグライブラリを提供しており、ユーザーが疑わしいアドレスとやり取りする際にタイムリーに警告します。
-
4)トランザクション事前実行:トランザクションが送信される前に、OKX Web3 ウォレットはトランザクションの実行をシミュレートし、資産と承認の変更をユーザーの参照用に表示します。ユーザーはこの情報に基づいて、結果が期待どおりであるかどうかを判断し、トランザクションを続行するかどうかを決定できます。
-
5)DeFi アプリケーションの統合:OKX Web3 ウォレットは、さまざまな主流 DeFi プロジェクトのサービスを統合しており、ユーザーはこれらの統合された DeFi プロジェクトと自信を持ってやり取りできます。さらに、OKX Web3 ウォレットは、DEX、クロスチェーンブリッジ、その他の DeFi サービスへのパス推奨を提供し、ユーザーに最高の DeFi サービスと最適なガスソリューションを提供します。
-
6)追加のセキュリティサービス:OKX Web3 ウォレットは、さらに多くのセキュリティ機能を追加し、高度なセキュリティ保護サービスを開発しており、OKX ウォレットユーザーの安全をより良く、より効率的に確保します。
