ブロックチェーンセキュリティプロトコルを更新するための根本的な必要性

分散型ファイナンス(DeFi)は、総額1,000億ドルを超えるロックされた価値(TVL)を維持するためにここにあります。 ハイライト これらの新しい金融ツールへの信頼の証拠。 この投資は増え続けるでしょうが、TVLの新しい記録ごとに、天文学的な損失を伴う別のネットワーク攻撃が報告されているようです。

暗号犯罪は2020年に57%減少しましたしかし、DeFiハッキングが急増し、企業や投資家に数十億米ドルの費用がかかりました。 3月だけでも、わずか5日間でいくつかの攻撃がありました。 有料ネットワークは1億8000万ドルを失う。 5月下旬、PancakeBunny 2億ドル以上を失った フラッシュローンのエクスプロイトで。

現在のブロックチェーンセキュリティプロトコルには、抜け穴やハッキングが多すぎることは明らかです。 じゅうたんの引っ張りからフィッシング詐欺まで、このスペースのセキュリティとテクノロジーは、数字が示すほど成熟していません。 しかし、このギャップを埋めるために開発者とユーザーの両方が実装できる重要なプラクティスがあります。

分散型テクノロジーは依然として集中化されています

プロトコルがどれほど分散化されていると主張しても、基盤となる構造は依然として集中化されています。 インターネットのコア機能の1つであるDNSレコードを見ると、すべてのドメイン名は依然として一元化されています。ドメインに対する最終的な権限を持つ政府、州、または企業のいずれかが所有しており、必要に応じてドメインを遮断できます。

分散化内の集中化の例は、スマートコントラクトです。 イーサリアムまたはBinanceのスマートコントラクトを作成する人は、コードの内容について最終決定権を持っており、ラグプルなどの悪質なプログラムをスマートコントラクトにコーディングする方法があります。

2020年夏の収穫量農業ブームの間に、DeFiに注がれるお金から利益を得るために多くのプロトコルが出現し、これは今年も続きました。 3月、 TurtleDexはラグプルを実行しました、これは事実上スマートコントラクトの裏口であり、投資家から250万ドルが盗まれました。 この意図的な機能により、開発者は詐欺をプログラムし、コード内の他のイベントに応じて実行することができます。TurtleDexは、ラグプルをプログラムした今年の多くのプロジェクトの1つです。

関連: 収穫農業は流行ですが、DeFiは私たちがお金とやりとりする方法を変えることを約束します

スマートコントラクト監査は、ラグプルを防ぐための良い方法ですが、それでも、開発者が監査済みのスマートコントラクトを未監査のものに切り替える場合があります。 コンパウンダーの場合 実証する 詐欺プロジェクトがその空間で知られている評判の良い名前から影響力を得るのはどれほど簡単か。 彼らは、Harvest FinanceとYearn.financeをすばやく活用してから、ユーザーの手に負えず、数百万ドルの暗号通貨を持って立ち去ることができました。

関連: DeFiプロジェクトのデフォルトの監査は、業界を成長させるために必須です

ハッキングの最近の傾向

ラグプルとは別に、準備ができていないと会社全体が崩壊する可能性のある多くの一般的な攻撃があります。 51%の攻撃(マイナーのグループがネットワークのマイニングハッシュレートの50%以上を制御し、トランザクションレコードを除外または操作して、二重支払いを実行したり、ブロックチェーンを混乱させたりする場合)は依然として頻繁に発生します。 Firo そして グリン どちらも最近51%の攻撃を受けました。

時価総額がトップの暗号通貨プロジェクトでさえ、まだ安全ではありません。 2月は 200日間のXVGトランザクションが報告されました Vergeネットワーク上のは消去され、事実上「トップ100暗号でこれまでに行われた中で最も深い再編成」になりました。

これらのエラーはブロックチェーンエクスペリエンスの一部として受け入れますが、たとえば、同じことが大手銀行に起こった場合の反応はどうなるでしょうか。 多くのメディアの見出しとユーザーやクライアントからの騒動があるでしょう。 ユーザーが少ないため、これらのイベントは暗号通貨ではほとんど見過ごされていますが、最近の強気相場では、これは変化しています。 必然的に、パブリックブロックチェーンのセキュリティがさらに精査されるでしょう。

ラグプルのようなハッキングを防ぐための練習

開発者にとって残念なことに、暗号で作業している間は常にハッキングが発生する可能性があります。 問題は、ハッキングを防ぐ方法ではなく、ハッキングされる可能性を防ぐ方法です。 ハードウェアウォレットのいくつかの進歩— GnosisSafeのマルチシグニチャウォレットたとえば、全体的なセキュリティを向上させるための重要な要素です。

マルチシグウォレットを使用すると、複数のユーザーが同じウォレットのキーを保持でき、アカウントでアクションを実行するには相互参加が必要になります。 このようなウォレットは、取引を行うために複数のユーザーからの入力を必要とするため、このタイプのボールトでラグプルを実行することはほとんど不可能です。

敷物の引っ張りを防ぐためのもう1つのセキュリティ対策は、タイムロックです。 多くの分散型アプリはタイムロックを使用しているため、開発者がユーザーをじゅうたんに引っ張ろうとすると、資金を削除するために約12〜24時間の警告が表示されます。

これらのタイプのセキュリティ慣行は、DeFiへの幅広い信頼を促進し、業界を前進させるセキュリティを取り巻く文化を生み出します。

暗号通貨のウォレットセキュリティの改善

ウォレットのセキュリティは、最終的には、よりスマートなプラクティスを実装する開発者とユーザーに帰着します。 定期的なセキュリティ監査と内部セキュリティ慣行はすべて、より安全なウォレットに貢献できます。

セキュリティ監査は優れたソリューションですが、Uniswapやその他 自動マーケットメーカーベース 分散型取引所(DEX)は許可がないため、定期的な監査を実行することはできません。 ベストプラクティスは、「フェアローンチ」コイン(DEXからローンチされるプロジェクト)の詳細を理解することです。 これらのプロジェクトの多くは高品質ですが、多くは大きな悪用があることが知られています。 オープンソースコードを使用すると、誰でも簡単に自分で監査し、スマートコントラクトが安全かどうかを確認できるため、ユーザーは優れたセキュリティを実践するためのツールを増やすことができます。

ユーザーに優れたセキュリティを実践するように依頼することは大きな偉業のように思えるかもしれませんが、暗号通貨、特にDeFiの多くの利点にアクセスするために必要です。 従来の銀行では、銀行がセキュリティに責任を負っていますが、暗号通貨では、セキュリティは開発者とユーザーの慣行に帰着します。

銀行のパスワードを忘れたり、間違った人に送金したりした場合は、銀行に連絡して、問題が解決するまで取引を軽減することができます。 しかし、暗号通貨では、キーを紛失したり、間違ったアドレスに送金したりした場合、バックアップオプションはありません。 もちろん、多くの利点の1つは、資金が暗号通貨で利用可能かどうかを心配する必要がないことですが、銀行はドアを閉め、資本管理を課すことができます。 起こりました 2015年のギリシャの銀行危機で。

結論

開発者として、私たちは相互検証とセキュリティ監査を実装する必要があります。また、ますます改善されるセキュリティ慣行を開発する責任を互いに負わせる必要があります。

ユーザーは、独自のセキュリティプロトコルの実行を検討し、ストレージの微妙な違いや潜在的なハッキングシナリオを理解する必要があります。 パッシブ暗号ホルダーの良い習慣は、ハードウェアウォレットをインターネットから切断するか、100%オフラインでファームウェアの更新のためにオンラインで同期する必要のない紙のウォレットを用意することです。

インターネットハッキングの元々のタイプの1つであるフィッシング攻撃は、今でも一般的で頻繁に発生しています。 フィッシングの試みに対抗する方法は、送信者が本物かどうかを確認することです。

Webサイトに秘密鍵やシードフレーズを入力したり、公開チャネルやDMの誰かに送信したりしないでください。 通常、シードフレーズは、最初にウォレットを設定するときにのみ入力する必要があります。 さらに、パスワードを忘れた後にウォレットを回復する必要がある場合、既存のウォレットを新しいデバイスにインポートする必要がある場合、または互換性のあるウォレットソフトウェアを使用する必要がある場合にのみ、シードフレーズを入力する必要があります。 一般に、シードがいかなる種類のソフトウェアにも漏れないハードウェアウォレットデバイスを使用することをお勧めします。多くの場合、信頼できるウォレットアプリケーションやソフトウェアでさえ推奨できません。

新しいグローバル(主に)DeFi経済を構築し続けるには、セキュリティを改善して、主流の採用と資本が引き続き宇宙に流れ込み、次世代が経済的自立の新たなフロンティアにアクセスできるようにすることが重要です。

この記事には、投資に関するアドバイスや推奨事項は含まれていません。 すべての投資と取引の動きにはリスクが伴い、読者は決定を下す際に独自の調査を行う必要があります。

ここに記載されている見解、考え、意見は著者のみのものであり、必ずしもコインテレグラフの見解や意見を反映または表現しているわけではありません。

カダン・シュタデルマン ブロックチェーン開発者、運用セキュリティの専門家、KomodoPlatformの最高技術責任者です。 彼の経験は、政府部門の運用セキュリティでの作業、テクノロジースタートアップの立ち上げから、アプリケーション開発や暗号化にまで及びます。 カダンは2011年にブロックチェーンテクノロジーへの旅を開始し、2016年にコモドチームに加わりました。