ブロックチェーンのハッキングや資金搾取がほぼ毎週のように発生する世界で、これらのセキュリティ侵害を効果的に防ぐことはできるのでしょうか?
ブロックチェーンセキュリティの専門家であるBlockSecは、貴重な洞察を提供します。私たちは問題の複雑さを認識しながら、セキュリティ対策の強化に積極的に取り組んでいます。当社の製品の一つである**BlockSec Phalcon**は、攻撃トランザクションが実行される前に正確なアラートを提供し、ハッカーに対抗するための自動アクションを実行します。
ここで、BlockSecの創設者であるYajin Zhou教授が、監視パネルでのブロックチェーンセキュリティへのプロアクティブなアプローチに関する見解を共有します。
ブロックチェーンにおけるハッキングや資金搾取がほぼ毎週のように頻繁に発生することを考えると、効果的に防止することは現実的でしょうか?
ブロックチェーンセキュリティの世界では、答えは少し複雑です。私たちのチームは、DeFiハッキングを検出する方法を常に模索しています。進行中のすべての攻撃を検出できるか尋ねられた場合、答えは「はい」です。しかし、ここでの問題は、すべてのトランザクションを疑わしい、あるいは攻撃とラベル付けした場合、すべてのハッキングを見つけることができますが、それは問題を引き起こします。誤検出と実際の脅威を見逃すことのバランスを慎重に取る必要があります。
お客様のために製品を作成し、監視システムをセットアップする際には、アラートが意味のあるものであることを確認する必要があります。システムが1日に50、100、あるいは200ものアラートを生成した場合、ほとんどのユーザーはそれらを無視するでしょう。なぜなら、ほとんどが誤検出であることが判明するからです。そのため、私たちの課題は、このバランスを効果的に維持することです。
Blocksecでは、誤検出を減らしながら攻撃を検出するための戦略に積極的に取り組んでいます。今後、セキュリティコミュニティの助けを借りて、大量の攻撃を特定できることを願っています。すべてを防ぐことはできないかもしれませんが、検出能力を大幅に向上させることは間違いなくできます。
Web3のどのような特定の要因が、Web2よりもセキュリティ攻撃に対して脆弱にしているのでしょうか?
Web3セキュリティの世界では、Web2と比較してWeb3を攻撃に対してより脆弱にするいくつかの要因が際立っています。
-
第一に、Web3は非常にオープンです。スマートコントラクトやソースコードなど、すべてが誰でも見られるように公開されています。このオープンさは、一般の人々も攻撃者も脆弱性を発見しやすくします。対照的に、従来の銀行のようなWeb2システムはコードを非公開にしており、弱点を見つけるのがはるかに困難です。
-
第二に、フラッシュローンなど、ブロックチェーンの一部の機能は、実際には攻撃者にとって有利に働きます。通常の金融システムでは、攻撃者は攻撃を実行するためにお金がたくさん必要になることがあります。しかし、ブロックチェーンの世界では、フラッシュローンを使用して多額の現金(1000万ドルなど)を借り入れ、それを攻撃に使用することができます。
-
最後に、Web3には脆弱性を見つけるための優れたツールが不足しています。私は大学教授であり、学生がWeb2向けの通常のソフトウェアの複雑な問題を検出するためのツールを作成しているのを見てきました。しかし、Web3とスマートコントラクトに関しては、まだ多くの作業が必要です。特にビジネスルールに関連する論理的なバグを見つけるのは困難です。これには、入力の変更、さまざまな入力間の関連性の理解、信頼できる情報源の使用などが含まれます。これらは、まだ完全に解決されていない課題です。
したがって、これらの要因すべてが組み合わさって、Web3は攻撃者にとって魅力的な標的となりますが、プロトコルが安全を維持するのは難しい場所となっています。
Web3セキュリティにおける監視との関連性について、どのように考えていますか?攻撃者を強化する一方で、オプションの監視ソリューションを統合する機会も提供するのでしょうか?
Blocksecでは、オーディオの低下やプライベートトランザクションに関連する課題に直面しました。フラッシュボットと同様に、これらのサービスは攻撃者によって悪用されやすいです。同僚からの提案された解決策の一つは、フラッシュローン内のトランザクションに投資して、その誤用を防ぐというものです。しかし、この解決策は分散型の世界では実用的ではなく、アクセス可能ではないかもしれません。
このようなサービスが攻撃者によって悪用されるのを防ぐことは、未解決の問題です。それにもかかわらず、私たちが取ることができるいくつかの行動があります。
-
第一に、攻撃者が特定された場合、当局と協力して情報を共有することは、攻撃者の身元を確認するのに役立ちます。当局とのこのような協力は、問題の軽減に向けた一歩となる可能性があります。
-
さらに、将来的には、トランザクション内にコミュニティベースのイベントシステムを実装することが有用であることが証明される可能性があります。分散型のコミュニティベースのメカニズムを組み込むことで、悪意のあるように見えるトランザクションを遅延させることができます。
これらの措置は問題を完全に解決しないかもしれませんが、私たちが現在直面している課題に対処するのに役立ちます。
Web3アプリケーションのセキュリティ上の欠陥を検出するために特別に設計されたツールやリソースを推奨していただけますか?
推奨事項に関しては、DeFi Hack Labsを探索することは、Web2からWeb3セキュリティへの移行のための優れた出発点であると信じています。
このリソースは、過去のハックトランザクションの豊富な情報を提供しており、これらの攻撃の動機と方法についての洞察を得るために分析することができます。これらのハッキングの根本的な原因とトリガーを理解することにより、Web3エコシステムで同様の攻撃を分析および検出するためのツールを開発することができます。静的および動的分析ツールの両方を利用することを検討してください。これらは独自に開発することも、既存のソリューションを基盤に構築することもできます。この分野での知識を継続的に改善および拡大することが重要になります。
フロントランニング悪意のあるトランザクションのプロセスと、インフラストラクチャのセットアップについて説明していただけますか?
フロントランニング攻撃トランザクションの経験から、そのプロセスにはメモリプールのトランザクションを監視するためのインフラストラクチャをセットアップすることが含まれます。
重要な側面は、フロントランニングトランザクションを迅速に合成できる自動化されたシステムを開発することです。これには、悪意のあるコントラクトからの攻撃動作を独自のスマートコントラクトに複製することが含まれます。攻撃アドレスを独自のブラックハットアドレスに置き換えるなど、重要な変数を置き換えることが不可欠になります。さらに、トランザクションがブロックチェーンに登場次第、即座に実行を確実にするために、応答性の高いインフラストラクチャが重要です。
結論として、ブロックチェーンセキュリティの分野におけるBlockSecの専門知識は、Web3の進化する課題に取り組むことへの私たちのコミットメントを反映しています。BlockSecのアプローチは、技術革新と、すべてのユーザーにとってより安全なブロックチェーンエコシステムを確保するための協力およびコミュニティへの参加を組み合わせています。
ウェイトリストに参加して、当社の優れたサービスをいち早く体験してください!
