ブロックチェーンのハッキングや資本搾取がほぼ毎週のように発生する世界で、このようなセキュリティ侵害を効果的に防ぐことができるのか、という疑問が生じます。
ブロックチェーンセキュリティの専門家であるBlockSecは、貴重な洞察を提供します。私たちは問題の複雑さを認識しながら、セキュリティ対策の強化に積極的に取り組んでいます。当社の製品の一つである**BlockSec Phalcon**は、攻撃トランザクションが実行される前に正確なアラートを提供し、ハッカーに反撃するための自動アクションを実行します。
ここでは、BlockSecの創設者であるYajin Zhou教授が、監視パネルでブロックチェーンセキュリティへのプロアクティブなアプローチに関する見解を共有しています。
ブロックチェーンにおけるハッキングや資本搾取がほぼ毎週のように頻繁に発生することを考えると、効果的に防止することは現実的ですか?
ブロックチェーンセキュリティの世界では、答えは少し複雑です。私たちのチームは、DeFiハッキングを検知する方法を常に模索しています。進行中のすべての攻撃を捕捉できるか尋ねられたら、答えは「はい」です。しかし、ここで注意点があります。すべてのトランザクションを疑わしい、あるいは攻撃とラベル付けした場合、すべてのハッキングを見つけることができますが、これは問題を引き起こします。誤検知と実際の脅威の見逃しの間で、慎重なバランスを取る必要があります。
お客様のために製品を作成し、監視システムをセットアップする際には、アラートが理にかなっていることを確認する必要があります。システムが1日に50、100、あるいは200ものアラートを生成した場合、ほとんどのユーザーは、それらのほとんどが誤検知であることが判明するため、無視するでしょう。したがって、私たちの課題は、このバランスを効果的に維持することです。
Blocksecでは、誤検知を減らしながら攻撃を検知するための戦略に積極的に取り組んでいます。将来的には、セキュリティコミュニティの助けを借りて、大部分の攻撃を特定できることを願っています。すべてを防ぐことはできないかもしれませんが、検出能力を大幅に向上させることは間違いなくできます。
Web3のどの特定の要因が、Web2よりもセキュリティ攻撃に対して脆弱にしているのですか?
Web3セキュリティの世界では、Web2と比較してWeb3を攻撃に対してより脆弱にするいくつかの点が際立っています。
-
第一に、Web3は非常にオープンです。スマートコントラクトやソースコードなど、すべてが誰にでも見えるように公開されています。このオープンさは、一般の人々も攻撃者も脆弱性を発見しやすくなる可能性があります。対照的に、従来の銀行のようなWeb2システムはコードを非公開にしており、弱点を見つけるのがはるかに困難です。
-
第二に、フラッシュローンなどのブロックチェーンの一部は、実際には攻撃者にとって攻撃を容易にします。通常の金融システムでは、攻撃者は攻撃を実行するために100万ドルもの大金が必要になることがよくあります。しかし、ブロックチェーンの世界では、フラッシュローンを使用して1000万ドルもの大金を借り、それを攻撃に使用できます。
-
最後に、Web3には脆弱性を見つけるための良いツールが欠けています。私は大学教授であり、学生がWeb2向けの通常のソフトウェアの複雑な問題を見つけるためのツールを作成するのを見てきました。しかし、Web3やスマートコントラクトに関しては、まだ多くの作業が残っています。特にビジネスルールに関連する論理バグを見つけるのは困難です。これには、入力の変更、異なる入力間の関係の理解、信頼できる情報源の使用といった、まだ完全には対処していない課題が含まれます。
したがって、これらの要因がすべて組み合わさって、Web3は攻撃者にとって魅力的な標的となる一方で、プロトコルが安全を維持するのが難しい場所となっています。
Web3セキュリティにおける監視との関連性をどのように見ていますか?攻撃者を強化する一方で、オプションの監視ソリューションを統合する機会も提供できますか?
Blocksecでは、オーディオのダウングレードやプライバシー取引に関連する課題に直面しました。Flashbotsと同様に、これらのサービスは攻撃者による悪用に脆弱です。同僚からの提案された解決策の一つは、フラッシュローンでの取引を投資して誤用を防ぐことを提案しています。しかし、この解決策は分散型世界では現実的またはアクセス可能ではない可能性があると私は信じています。
これらのサービスの攻撃者による悪用を防ぐことは、依然として未解決の課題です。それにもかかわらず、私たちが取ることができるいくつかの行動があります。
-
第一に、攻撃者が特定された場合、当局と協力して情報を共有することは、攻撃者の身元を確認するのに役立ちます。当局とのこの協力は、問題の軽減に向けた一歩となる可能性があります。
-
さらに、将来的には、トランザクション内にコミュニティベースのイベントシステムを実装することが有用であることが証明される可能性があります。分散型のコミュニティベースのメカニズムを組み込むことにより、悪意のあるように見えるトランザクションを遅延させることができます。
これらの対策は問題を完全に解決しないかもしれませんが、現在直面している課題に対処するのに役立ちます。
Web3アプリケーションのセキュリティ上の欠陥を検出するために特別に設計されたツールやリソースを推奨していただけますか?
推奨事項に関しては、DeFi Hack Labsを探索することが、Web2からWeb3セキュリティへの移行のための優れた出発点であると信じています。
このリソースは、攻撃の動機と方法論に関する洞察を得るために分析できる過去のハッキングトランザクションの豊富な情報を提供します。これらのハッキングの根本原因とトリガーを理解することにより、Web3エコシステムで同様の攻撃を分析および検出するためのツールを開発できます。静的および動的分析ツールの両方を使用することを検討してください。これらは独立して開発することも、既存のソリューションを基盤として構築することもできます。この分野での知識を継続的に改善および拡張することが重要になります。
フロントランニング悪意のあるトランザクションのプロセスについて説明していただけますか?インフラストラクチャのセットアップはどうなりますか?
フロントランニング攻撃トランザクションの経験において、そのプロセスには、メモリプールトランザクションを監視するためのインフラストラクチャのセットアップが含まれます。
重要な側面は、フロントランニングトランザクションを迅速に合成できる自動化システムの開発です。これには、悪意のあるコントラクトの攻撃動作を独自のスマートコントラクトに複製することが含まれます。攻撃アドレスを独自のブラックハットアドレスに置き換えるなど、重要な変数を置き換えることが不可欠になります。さらに、トランザクションがブロックチェーンに載ったらすぐに即時実行を保証するために、応答性の高いインフラストラクチャが不可欠です。
結論として、ブロックチェーンセキュリティの分野におけるBlockSecの専門知識は、Web3の進化する課題に対処するという私たちのコミットメントを反映しています。BlockSecのアプローチは、技術革新とコラボレーション、コミュニティへの参加を組み合わせて、すべてのユーザーにとってより安全なブロックチェーンエコシステムを保証します。
ウェイトリストに参加して、当社の優れたサービスをいち早く体験してください!
