「財布の中のETHがなくなってしまった!」
今日、DeFinanceの創設者であるアーサー氏は、スピアフィッシング攻撃を受けたとソーシャルメディアで述べた。アーサーは、ディファイアンス・キャピタル共同資産管理プラットフォームの公式アドレスに似た電子メール内の PDF 文書をクリックしたため、ホットウォレットが盗難され、400ETH 以上相当の多数の NFT およびその他の資産が失われてしまいました。
Web3.0 の世界は安全ではないようで、私たちのオンチェーン資産はあらゆる場所で脅かされているようです。実際、上位層の観点から見ると、オンチェーン アプリケーションはアプリケーション ロジックの抜け穴を考慮するだけでなく、デプロイされたチェーンのコンセンサス層の潜在的な攻撃ルート (プリエンプションなど) も考慮する必要があります。 。さらに、インタラクションのフロントエンドを監視し、さまざまなフィッシングリンクを防ぐために常に目を光らせておく必要があります。最も致命的な点は、トランザクションが清算されることが保証されると、ロールバックのコストが非常に高くなるということです。このように、Web3.0 の全体的なセキュリティ レベルは Web2.0 ほど良くありません。
しかし、より低いレベルの観点から見ると、理論的に言えば、Web3.0 の方が実際にはより安全であるはずです。たとえば、チェーン上の分散型並列実行により、チェーン上のアプリケーションにトラストレスな実行環境が作成されます。 Web2.0 アプリケーションが頻繁に遭遇する DoS 攻撃も、Gas メカニズムによって解決されます。このプロトコルのオープンソースは、ユーザーに、DYOR を使用する前に DYOR を実行する「権利」も与えます。
この記事は、暗号化ウォレット ZenGo である Tal Be'ery によるもので、Web3.0 に固有のセキュリティ上の利点を詳細に説明し、既存の問題に対する潜在的な解決策を提案しています。リズム研究所が全文を翻訳しました。
これがばかげているように聞こえるのはわかっていますが、結局のところ、Web3 のセキュリティは現在のテクノロジー界で最大の笑いの種の 1 つであり、Web3 は昨年セキュリティ侵害により 100 億ドル以上の損失を被りました。しかし、現在の状況は継続的ではなく段階的であるべきだと私は考えており、Web3 アプリケーションがより成熟すれば、セキュリティにおいて多くの「従来のアプリケーション」を超えるでしょう。
Web3の定義
画像の説明
Web3 トライアングル
Web3 を定義したら、主にスマート コントラクトのセキュリティを含むそのセキュリティについて議論し始めることができます。話を簡単にするために、ここではイーサリアムのスマート コントラクトについてのみ説明しますが、この結論は他の同様のシステムやブロックチェーンにも当てはまると思います。
Web3 セキュリティには固有の利点があります
Web3 ソフトウェア環境がマルウェア、サービス拒否攻撃、その他の種類の攻撃から解放されたら、どれほどのアップグレードになるか想像してみてください。セキュリティの理想郷を実現する Web3 を見てみましょう。
- Web3 は信頼できる実行の問題を解決します。従来のアプリケーションにとって、信頼できる実行は未解決の大きな問題です。現在、アプリケーションはソフトウェア (オペレーティング システム) とハードウェア (プロセッサとファームウェア) の実行環境を信頼する必要があります。この信頼がマルウェアや悪意のあるプロセッサを埋め込むことができるハードウェア サプライ チェーン攻撃によって破られると、攻撃者が制御を取得する可能性があります。 Web3 は、実行の分散化によってこの基本的なセキュリティ問題に対処します。すべてのブロックチェーン ノードは web3 コードを並行して実行しており、実行結果について同意する必要があります。実行エンジン自体に何らかのシステム的なリスクがない限り(たとえば、イーサリアムのEVM自体に脆弱性がある場合)、攻撃者は「51%の計算能力攻撃」を開始して、ほとんどのブロックチェーンノードをマルウェアに感染させて実行を妨害する必要があります。
- Web3 はインジェクション攻撃の影響を受けません: 従来の Web アプリケーションの場合、すべてのパラメーターは文字列として送信されます。この設計上の欠陥は、SQL インジェクションやコマンド インジェクションなど、ほとんどの従来の Web アプリケーションの脆弱性の核心であり、攻撃者が予期しない入力を脆弱な Web アプリケーションに密かに持ち込むことを可能にします。対照的に、Web3 の厳密に型指定された性質により、そのような予期しない入力 (数値が予期されていた場合の文字列など) はすぐに失敗し、Web3 アプリケーションは特別な準備を行う必要はありません。
- Web3 は、サービス拒否攻撃に対してより耐性があります。これらの攻撃は賢明ではありませんが、通常、「頭脳」ではなく、ボットネット軍団の「総当たり力」に依存し、低コストで攻撃ターゲットにゴミを送信するためです。しかし、トラフィックは従来の Web アプリケーションにとって依然として大きな問題です。対照的に、Web3 アプリケーションはこの問題に悩まされることはありません。これは、ブロックチェーンが過度の使用を防ぐために高いトランザクション料金を設定しており、DoS 攻撃者が開始する手段がないためです。
上記の点に加えて、Web3 は他の側面でも優れたセキュリティを示しています (たとえば、ソフトウェア サプライ チェーン攻撃への対応など)。ただし、上記のポイントを実行するだけでも、すでにかなり強力です。
ただし、Web3 には、上記の技術的な利点に加えて、その完全なオープン性と透明性により、概念的な意味でセキュリティ上の利点もいくつかあります。 Web3 が登場するずっと前から、セキュリティ分野ではオープン セキュリティの概念を支持する人が多く、オープン セキュリティには「隠されたセキュリティ」よりも多くの利点があると信じられていました。 Web3 は、オープン セキュリティの概念を極限まで取り入れています。Web3 では、規約によりコードがオープン ソースであるだけでなく、バイナリは定義上ブロックチェーン上で公開され、公開されたソース コードの結果として検証可能になります。さらに、定義上、すべてのコード実行 (トランザクション) は公開されており、誰でも検証およびレビューできます。
理論上の利点は実際的な利点ではない
理論上、Web3 のセキュリティが従来のアプリケーションよりもはるかに優れている場合、実際には、なぜ DeFI アプリケーションは依然として従来の銀行アプリケーションほど安全ではないのでしょうか?
これは Web3 のセキュリティ自体が劣悪なためではなく、攻撃者がハッキングで簡単に金儲けができるほど過酷な環境で動作しているためだと思います。 Web3 アプリケーションは、ブロックチェーン上の資金の移動がほぼ瞬時で不変であるため、常に「流動資金」を扱っていますが、従来の銀行システムでは、たとえ銀行アプリケーションがハッキングされたとしても、これらの悪意のある取引に関与する資産は、攻撃者が現金を引き出す前に回収することができます。
具体的には、最大規模の銀行ハッキングの 1 つである 2016 年のバングラデシュ銀行ハッキングを見てみましょう。攻撃者はマルウェアを使用して銀行に侵入し、詐欺的な SWIFT 電信を送信して 10 億ドルを盗もうとしました。実際に 10 億ドルを入手するには、攻撃者は銀行休業日と一致する特定の日付をターゲットにし、現金を引き出すのに十分な時間を与える必要があります。また、電信が返される前に資金を引き出すために、多額の電信送金を処理できるフィリピンの銀行で事前に準備する必要もあります。最終的に、攻撃者が得たのは 10 億ドルのうち 6,000 万ドル「だけ」でした。これは銀行のソフトウェアの安全性が高かったからではなく、環境がより寛容であり、防御側が電信送金を取り戻すのに十分な時間を与えられたためです。
したがって、攻撃者を倒すには、防御者の時間を稼ぐ必要があると結論付けることができます。
これを行うには、攻撃の検出時間を短縮するか、トランザクションを取り消すまでの時間を延長するか、あるいはその両方を行う必要があります。
私は、攻撃検出時間を改善するコミュニティの能力について非常に楽観的です。なぜなら、前述のブロックチェーンの透明性と公開データに基づく「オープン セキュリティ」の概念を活用できるセキュリティ会社 (peckshield など) がすでにいくつかあるからです。ハッカー攻撃の事前検出、早期警告。最近のハッキングとその事後分析から判断すると、トランザクションの実行時にリアルタイムで分析を実行することを妨げるものはありません (トランザクションがノードのメモリプールで「所有物」として実行される場合でも)。 Forta.network などの最近のプロジェクトが示しているように、このような高度な早期警告システムを契約に組み込むと、そのような悪意のある取引を防ぐのに十分になる可能性があります。
今日でも、現金化は思っているほど簡単ではありません。一部の暗号トークンは、リストされたユーザーの資産を凍結するために独自のブラックリストを設定しています。さらに、法定通貨に換金するには、通常、攻撃者は集中型取引所に依存する必要がありますが、この取引所はますます規制が強化されており、KYC 機能 (顧客を把握する) や攻撃を防ぐためのブラックリストが追加されています。その結果、今日の一部の攻撃者は、ハッキングされた資金の大部分を返却し、ほんの一部だけを保持し、これらの資金をハッキングされたアプリケーションによって発行される「バグ報奨金」に洗浄することを好みます。最近押収されたBitfinexのハッキング資金と同様に、これらのハッカーが大量の仮想通貨を現金化することは実際には困難です。確かに、現金化はさらに難しくなるでしょう。
結論: 私たちは成功します
Web3 のセキュリティは十分とは言えませんが、改善が続けられているため、将来的にはデジタル活動の安全な盾となる可能性があります。ほとんどの革新的なテクノロジーと同様に、Web3 の機能が豊富になればなるほど、そのセキュリティの問題は大きくなり、これは常に当てはまります。しかし、ベンチャーキャピタルの資金援助やWeb3プロジェクトの成功により、今後も従来のセキュリティ製品からセキュリティシステムの人材がWeb3分野に流入し続け、その頃にはWeb3のセキュリティが十分に活用できるようになるだろうと私は考えています。
Web3 と暗号化テクノロジには、コンピュータ サイエンスと経済学の多くの分野が関係していますが、私はセキュリティの分野しか理解していません。私は Web3 がセキュリティ分野に大きな進歩をもたらすと信じていますが、私が理解していない他の領域も Web3 によって改善できると信じています。
元のリンク
