原作者: BlockSec
導入
DeFiの発展により金融情勢が再構築され続ける中、セキュリティは常にDeFiエコシステムが直面する大きな課題となっており、セキュリティ問題は毎年数十億ドルの資産損失を引き起こしています。
Chainalies によると、DeFi ハッキング攻撃により、2023 年には 11 億ドル以上の資産損失が発生しました。この数字は 2022 年から減少していますが、2023 年には新しい DeFi 攻撃のトレンドが現れています。たとえば、Curve や KyberSwap など、長い間安全に動作してきたいくつかの有名なプロトコルも攻撃されています。さらに、Flashbots Relayなどインフラの脆弱性を狙った高度な攻撃も出現しています。
セキュリティ インシデント ダッシュボードのデータによると、2024 年上半期に 50 件を超えるハッカー攻撃が発生し、10 万ドルを超える損失が発生しました。
最近のハッカー攻撃 (出典: セキュリティ インシデント ダッシュボード)
🔗 https://app.blocksec.com/explorer/security-incidents
DeFiプロトコルの開発にはセキュリティが不可欠です。一部のプロトコルでは数十億ドル規模のユーザー資産を管理しており、セキュリティインシデントがユーザーに重大な損失をもたらす可能性があります。場合によっては、盗まれた資金を(部分的に)回復できる場合もありますが(オイラー攻撃など)、これに完全に希望を託すことはできません。あらゆる攻撃事件は、DeFiに対するユーザーの信頼を弱めます。
業界はセキュリティを強化するために多くの対策を提案してきましたが、DeFiのセキュリティにはまだ改善の余地がたくさんあります。良い面としては、コード監査がコミュニティのコンセンサスとなっており、ほとんどのプロトコルはオンラインになる前に監査されるため、スマート コントラクトの脆弱性による攻撃のリスクが軽減されます。ただし、コード監査だけではすべてのセキュリティ問題を解決するには不十分です。コード監査では、契約のアップグレード、構成の変更、外部依存関係によって導入された脆弱性によって引き起こされる攻撃を防ぐことはできません。これらの制限を考慮して、一部のプロトコルは、運用監視や攻撃検出システムなど、よりプロアクティブなソリューションを採用し始めています。
この記事では、DeFi セキュリティのパノラマを理解するために、プロトコルによって開始前、開始後、攻撃対応の段階で実行できるセキュリティ対策の概要を説明します。それぞれのタイプのセキュリティイニシアチブとその主要なベンダー/製品、およびその長所と短所を詳しく見ていきます。この記事が、コミュニティが DeFi セキュリティの現状をより深く理解し、革新的なセキュリティ ソリューションを生み出すのに役立つことを願っています。
DeFiセキュリティパノラマ
DeFiプロトコルのセキュリティ対策は、プロトコルの開始前から開始後までのライフサイクル全体を通じて実行され、プロトコル自体のセキュリティとその運用中のセキュリティを確保する必要があります。潜在的な攻撃に対する予防策と対応計画を立てることも重要です。読者が現在利用可能な DeFi セキュリティ ソリューションを明確に理解できるように、関連するベンダー (製品) を次のカテゴリに分類しました。
起動前のセキュリティ
プロトコルがオンラインになる前に実行できるセキュリティ対策には、コード監査、正式な検証、セキュリティ テストが含まれます。
コード監査サービスとコンテスト
コード監査は、プロトコルのセキュリティを確保するためのコミュニティで認知された実践です。このプロセス中、セキュリティ会社は凍結されたコードの半自動レビューを実行します。つまり、コード内の一般的な脆弱性を自動的にスキャンし、次に複雑な脆弱性を手動でレビューします。代表的な監査会社には、OpenZeppelin、ChainSecurity、BlockSec などが含まれます。
さらに、監査競争プラットフォームもあります。監査サービスを直接提供する監査会社とは異なり、これらのプラットフォームは監査要件を公的に公開し、コミュニティのセキュリティ研究者を監査コンテストに参加させ、プロトコルの脆弱性を発見した参加者に報酬を割り当てます。監査コンペティション プラットフォームには、Code 4 rena、SHERLOCK、Cantina、Secure 3 などが含まれます。各プラットフォームには、脆弱性の深刻度レベル、配布報酬、および参加基準にいくつかの違いがあります。
コード監査は、プロトコル セキュリティの防御の最前線です。ただし、いくつかの制限もあるため、評判の高い企業によって監査されたプロトコルの多くは依然としてハッカーから安全ではありません。
まず、静的コード監査ではプロトコルの依存関係によって引き起こされるセキュリティ問題を解決できませんが、DeFi プロトコルの構成可能性によって問題はさらに悪化します。
次に、コード監査プロセス中に、いくつかの問題が十分な注意を払われませんでした。たとえば、精度の損失は、監査人や契約当事者が気付かない可能性がある一般的な問題です。 Hundred Finance と Channels Finance の事件が発生するまで、コミュニティは精度の損失によるセキュリティへの影響を完全に認識していませんでした。
最後に、高品質のコード監査は依然として希少なリソースであり、セキュリティ、財務、コンピューター サイエンスの知識を備えた学際的な人材が必要であり、現在、継続的かつ大規模に提供している大学はほとんどありません。したがって、一部の契約については監査が行われているものの、監査サービスを提供する監査人の専門性は不十分である。
正式な検証
「正式な検証では、数学的手法を使用して、何らかの形式的な仕様またはプロパティに基づいてシステムの正しさまたは不正確さを証明します。形式的な検証により、DeFiプロトコルの動作が形式的な仕様に準拠していることを確認できます。」たとえば、Certora が開発した Prover は、DeFi プロトコルの正式な検証を実行できます。開発者がルール (仕様) を提供すると、Prover は考えられるすべてのプログラムの状態を調査し、結果をルールと比較して、脆弱性を特定します。
形式的検証の最大の利点は、数十億の資産を管理する DeFi プロトコルの正しさを数学的に証明できることです。しかし、実際の応用におけるいくつかの制限が、その広範な普及を妨げています。
まず、仕様は開発者によって提供される必要があります。そのためには、開発者はプロトコルの予想される動作に関する詳細な文書を用意する必要がありますが、ほとんどの開発者はこの分野の専門家ではありません。
第二に、プロトコルの頻繁なアップグレードでは仕様の更新とプロトコルの再評価が必要になる場合があり、プロトコルによってはそれほど多くの時間と労力を費やすことができない場合があります。
これらの制限にもかかわらず、私たちはプロトコル、特にまだ実証されておらず、大量のユーザー資産を管理する新しいプロトコルは正式な検証の対象となるべきであると依然として信じています。しかし、形式的検証の運用性を高め、導入率を高めるには、現在も大きな課題が残っています。
セキュリティテスト
セキュリティ テストでは、テスト ケースを使用して、プロトコル内の潜在的な問題を発見します。数学的手法によってプロトコルの正しさを証明する形式的検証と比較して、セキュリティ テストは一般に (形式的検証における記号入力ではなく) 特定の入力データを使用するため、より効率的ですが、包括性が若干劣ります。
Foundry は、人気のあるスマート コントラクトの開発およびテスト フレームワークです。開発者はFoundryでテストを実行できるほか、差分テスト、不変性テスト、DeFiプロトコルの差分テストも実行できます。他のセキュリティ テスト ツールには、Tenderly や Hardhat などがあります。
起動後のセキュリティ
プロトコルがオンラインになった後に講じられるセキュリティ対策には、バグ報奨金、攻撃検出、運用監視などがあります。
バグ報奨金
Bug Bounty は、プロトコルとセキュリティ研究者の間の溝を埋めます。このプロトコルは、Bug Bounty プラットフォーム上で報奨金プログラムをリリースし、報奨金の範囲と報奨金額を詳細に規定しており、セキュリティ研究者はプロトコル内のゼロデイ脆弱性を報告することで報奨金を受け取ります。 Immunefi は、代表的な Web3 Bug Bounty プラットフォームです。
攻撃検知
攻撃検出プラットフォームは、トランザクションをスキャンすることで悪意のあるトランザクションを特定します。具体的には、これらのプラットフォームは、プロトコルと対話するすべてのトランザクションをスキャンして悪意のある動作がないか調べ、悪意のあるトランザクションが特定されると、システムがアラートをトリガーします。
たとえば、BlockSec Phalcon はすべてのメモリ プールとオンチェーン トランザクションをスキャンし、トランザクションの動作特性を分析することで悪意のある動作 (悪意のある契約や悪意のある提案など) を特定します。それは、あらゆる取引のあらゆる詳細を眠らずに監視し、異常な傾向がないかを探す警備員のようなものです。これらの取引から行動パターンを抽出し、財務モデル (銀行が不正行為を検出するために使用するものと同様) を使用して、潜在的な攻撃を特定します。同様のシステムには、Hypernative や Hexagate の製品があります。さらに、Ironblocks の Venn Security Network は、複数のソースからの検出結果を集約できる分散型インフラストラクチャを提供します。
運用監視
名前が示すように、運用監視フレームワークは、プロトコルが稼働した後の運用セキュリティを監視します。たとえば、管理者キーの変更、スマート コントラクトの展開と更新をリアルタイムで監視し、プル リクエストのセキュリティ脆弱性を自動的に検出できます。 OpenZeppelin Defender プラットフォームは、開発者がスマート コントラクトを安全に作成、展開、実行するのに役立ちます。 BlockSec Phalcon は、契約のアップグレード、安全なウォレット トランザクション (開始、新規署名、実行など)、アクセス制御、ガバナンス関連のリスクを監視できます。さらに、リアルタイム監視システム Forta Network を通じて、ユーザーはロボット監視プロトコルを作成したり、既存のロボットをサブスクライブして、フィッシングなどのセキュリティ脅威に関するアラートを受信したりできます。
攻撃への対応
攻撃のブロック、自動対応、ウォールーム、攻撃原因の分析、攻撃者の資金の流れの追跡など、攻撃発生後に自動的に発動または緊急に実行されるセキュリティ対策。
これら 5 つの対応策のうち、攻撃ブロックは特に注目に値します。これは、プロジェクト チームが事前に展開して攻撃をブロックし、自動応答プラットフォームを使用して攻撃による損失をゼロにできるためです。
作戦会議室の設置、攻撃原因分析の実施、資金の流れの追跡は、攻撃後に講じられる対策であり、損失を軽減し、将来の同様の攻撃を防ぐのに役立ちますが、回復が困難な多額の損失を引き起こした可能性があります。さらに、プロジェクトの評判が傷つき、ユーザーの信頼が失われると、広範囲に悪影響を及ぼす可能性があります。リスクはどこにでも存在しており、防ぐのは難しいように見えますが、プロジェクト関係者は事前に予防策を講じることができ、これもより推奨されるアプローチです。
攻撃ブロック
攻撃検出はハッカー攻撃について学ぶための重要な手段ですが、ハッカー攻撃と闘いたい場合は、検出だけでは十分ではありません。自動化された攻撃ブロック機能がなければ、手動で対応策を講じるには手遅れになることが多いためです。 KyberSwap、Gamma Strategies、Telcoin 攻撃を例に挙げると、これらのプロトコルは攻撃から数分または数時間後に対応策を講じ、この期間中にハッカーは複数の攻撃トランザクションを開始し、膨大な量の資産を盗みました。 7 月の Velocore および Rho 攻撃により、Linea および Scroll チェーン全体が動作を停止し、L2 チェーンの集中化の問題にユーザーの注意が集まりました。
攻撃ブロックにより、早期検出と自動プリエンプションという 2 つのコア テクノロジーに依存するハッカー攻撃を自動的に防ぐことができます。早期検出とは、攻撃トランザクションがチェーンにアップロードされる前、まだメモリ プール段階にある間に、攻撃トランザクションを特定できることを意味します。自動フロントランニングとは、攻撃トランザクションがチェーンにアップロードされる前に、フロントランニング トランザクションを送信してプロトコルを一時停止することで、攻撃トランザクションの実行を防ぎます。この方法では、実際に攻撃が発生する前に攻撃をブロックし、損失を回避します。
このカテゴリでは、BlockSec Phalcon がこれらのコア テクノロジーを備えた唯一の製品です。ハッカーが攻撃トランザクションを開始すると、Phalcon の攻撃監視エンジンがトランザクションを事前に検出し、攻撃アラートをユーザーにプッシュし、一時停止プロトコルを自動的に先取りして損失を 0 に減らすことができます。この製品の攻撃ブロック機能は、過去に 20 件を超えるホワイトハット救助で検証され、2,000 万米ドル以上の資産を節約しました。
自動応答
攻撃をブロックするプラットフォームに加えて、Phalcon、Hexagate、Hypernative などのプラットフォームは、攻撃が発生したときに自動的に対応することもできます。
このようなプラットフォームに加入すると、ユーザーはさまざまなプロトコルリスクの監視と対応策を設定できます。トランザクションが監視ルールに該当した場合、システムは事前にユーザーが設定した対応策(プロトコルの一時停止など)を自動的に開始し、損失を軽減します。ただし、一部のプラットフォームには攻撃検出エンジンが搭載されていないため、システムは攻撃トランザクションを直接識別してユーザーに通知することができず、トランザクションが攻撃であると判断できる条件をユーザーがカスタマイズする必要があります。攻撃トランザクションの特性は非常に複雑であり、ユーザー (多くの場合、契約開発者) は必ずしも十分なセキュリティ知識を持っているわけではないため、これはユーザーにとって非常に困難です。
作戦室
プロトコルが攻撃に直面した場合、作戦会議室の設置が特に重要です。これは、プロトコルが状況を理解し、タイムリーにコミュニティと情報を同期し、複数の分野の専門家の緊密な協力が必要な対応策を講じるためのリソースを効果的に統合するのに役立ちます。
SEAL 911 は、「ユーザー、開発者、セキュリティ研究者が緊急事態において信頼できるセキュリティ専門家に直接つながることを支援する」ことを目的としています。ユーザーは SEAL 911 Telegram Bot (https://t.me/seal_911_bot) を通じてこのサービスを利用でき、プロジェクトが攻撃された場合、セキュリティ上の課題に対処するための作戦会議室が迅速に形成されます。
攻撃原因の分析
プロトコルが攻撃された場合、スマート コントラクト内の脆弱性やその脆弱性が悪用された方法など、問題の原因を特定することが重要です。攻撃トランザクションを分析するには、 Phalcon Explorer 、OpenChain、および Tenderly のいずれかのツールを使用する必要があります。
資金の流れの追跡
資金フロー追跡とは、攻撃者の初期資金とチェーン上の攻撃利益を追跡して、関連するアドレスとエンティティを特定することを指します。これらの資産が中央組織(中央取引所やその他の機関レベルの組織など)に渡った場合、資金の凍結を支援するために法執行機関に連絡することができます。
この分野の代表的な企業/製品としては、Chainaracy、TRM Labs、ARKHAM、ELLIPTIC、MetaSleuthなどが挙げられます。たとえば、MetaSleuth はクロスチェーンの資金の流れを自動的に追跡し、リッチ アドレス タグを提供できます。 ARKHAM は、プロトコル当事者が調査報奨金を公開して、攻撃者の資金の流れの追跡に協力するようコミュニティ メンバーを奨励できるコミュニティを設立しました。
安全教育リソース
知識は最良の防御線です。前述のセキュリティ ベンダーと製品に加えて、DeFi セキュリティにとって重要な役割がもう 1 つあります。それは教育プラットフォームです。これらのプラットフォームが提供するリソースや情報は、DeFiの実践者やユーザーがセキュリティの知識を深く理解し、セキュリティ意識を高め、セキュリティスキルを養うのに役立ち、DeFiセキュリティの発展を促進する上で重要な役割を果たします。私たちはこれらのプラットフォームに敬意を表し、注目に値するいくつかのプラットフォームを以下に共有します。
SΞCURΞUM:イーサリアムのセキュリティに特化したDiscordコミュニティで、スマートコントラクトのセキュリティコンテスト「Secureum RACE」を定期的に開催
🔗 https://x.com/TheSecureum
セキュリティ インシデント ダッシュボード:このプラットフォームは、損失額が 10 万ドルを超える攻撃インシデントをリアルタイムで集計および更新し、損失額、影響を受けるチェーン、脆弱性の種類、攻撃原因分析、PoC などの詳細情報を提供します。
🔗 https://app.blocksec.com/explorer/security-incidents
Rekt: DeFi ニュースのダークウェブとして知られており、DeFi エクスプロイト、ハッキング、詐欺の詳細な分析を提供します。
🔗 https://rekt.news/
RugDoc: DeFi セキュリティと教育コミュニティ。このプラットフォームはプロジェクトのリスク評価情報を提供するほか、DeFiエコロジーとテクノロジーを紹介するプラットフォームRugDocWiKiも備えている。
🔗 https://rugdoc.io/
DeFiHackLabs: Web3 セキュリティ コミュニティは、Web2 セキュリティの人材が Web3 分野に参入できるよう支援することに専念しており、世界中に 2,000 人を超えるメンバーと約 200 人のホワイト ハッカーがいます。DeFiHackLabs ウェアハウスは豊富な学習リソースを提供しています。
🔗 https://x.com/DeFiHackLabs
Solodit:このプラットフォームは、Web3 監査会社から過去の監査レポートを収集します。
🔗 https://solodit.xyz/
Ethernaut: Web3/Solidity に基づくゲーム。プレイヤーは CTF と同様に、イーサリアム コントラクトの脆弱性を特定する必要があります。
🔗 https://ethernaut.openzeppelin.com/
結論
セキュリティ問題は毎年数十億ドルの損失を引き起こしており、DeFiエコシステムにとって深刻な長期的な脅威となっています。現在、ほとんどのセキュリティ対策は、プロジェクトがオンラインになる前のセキュリティ問題に重点を置いています。ただし、セキュリティに「特効薬」はありません。プロトコル開発のさまざまな段階で、プロトコルのライフサイクル全体を通じて、そのセキュリティを確保するための対応する対策が必要です。
私たちは、プロジェクトがオンラインになった後も業界がセキュリティの重要性を認識し、プロトコルのリスクを監視し、攻撃を自動的にブロックするための措置を講じることを望んでいます。
また、DeFi エコシステムがセキュリティ第一のコンセンサスを形成し、ユーザーの資産セキュリティをより適切に保護できることを期待しています。
