分散型金融 (DeFi) は 100 億ドルを超えるトータル バリュー ロック (TVL) を抱えて存続しており、これはこれらの新しい金融商品に対する信任投票を裏付けています。その投資は増加し続けるでしょうが、TVL で新しい記録が出るたびに、新たな恐ろしい被害のサイバー攻撃が報告されているようです。

仮想通貨は57年に2020％減少したが、DeFi攻撃は劇的に増加し、企業や投資家に数十億ドルの損失を与えている。 5 月だけでも、わずか 180 日間で複数の攻撃があり、有料ネットワークは 200 億 XNUMX 万ドルの損失を被りました。 XNUMX月下旬、PancakeBunnyはフラッシュクレジット悪用でXNUMX億ドル以上を失った。

現在のブロックチェーンセキュリティプロトコルには抜け穴が多すぎることは明らかです。カーペット引きから詐欺まで、この空間のセキュリティとテクノロジーは数字が示すほど完璧ではありません。ただし、開発者とユーザーの両方がこの空白を埋めるために採用できる重要な実践方法があります。

分散型テクノロジーは依然として集中化されています

プロトコルがどれほど分散的に宣言されても、基本的な構造は依然として集中化されています。最も重要なインターネット機能の 1 つである DNS レコードを見てみましょう。各ドメイン名は依然として中央で所有されており、ドメインに対する最終的な権限を持ち、必要に応じてドメインを非アクティブ化できる政府、州、または企業によって所有されています。

分散化における集中化の一例はスマートコントラクトです。イーサリアムやバイナンスのスマートコントラクト作成者は、コードの内容について最終決定権を持っており、カーペット引きのような悪質なスキームをスマートコントラクトにコード化する方法があります。

2020年夏の生産性ファームブームの際、DeFiに流入する資金を活用するために多くの丸太が出現するのを見てきましたが、それは今年も続いています。 2.5月、TurtleDexはカーペットプルを実施しましたが、これは実際にはスマートコントラクトのバックドアであり、その結果、投資家はXNUMX万ドルを盗まれました。この機能により、開発者はコード内の他のイベントに応答して実行されるチートをプログラムできるようになります。TurtleDex は、今年プログラム的にカーペットを破ったいくつかのプロジェクトのうちの XNUMX つです。

接続済み： 利益は誰の口にもかかっていますが、DeFi はお金の扱い方を変えると約束しています

スマート コントラクトの監査はカーペット化を防ぐ優れた方法ですが、それでも開発者がテスト済みのスマート コントラクトをテストされていないスマート コントラクトに引き渡しているケースが見られます。 Compounder 事件では、その場でよく知られ評判の高い名前の評判を簡単に手に入れる詐欺プロジェクトが示されています。彼らは、ユーザーの上にカーペットを敷いて数百万ドルの仮想通貨を持ち去る前に、Harvest Finance と Yearn.finance をすぐに利用することができました。

接続済み： DeFiプロジェクトの標準監査は業界の発展にとって必須です

現在のハッキングの傾向

カーペット引き以外にも、準備ができていないと会社全体を崩壊させる可能性のある一般的な攻撃が数多くあります。 51% 攻撃、つまり、マイナーのプールがネットワークのマイニング ハッシュ レートの 50% 以上を制御し、トランザクション レコードを差し押さえたり操作して二重支出やチェーン ブロックを破壊できるようにする攻撃は、これまでにも頻繁に発生しています。最近フィーロとグリンは両方とも51％の攻撃を受けました。

一部の最高額の暗号プロジェクトでさえ安全ではありません。 200月には、文字通り「トップ100の仮想通貨におけるこれまでで最も重大な出来事」として、Vergeネットワーク上のXNUMX日間のXVG取引が削除されたと報告された。

私たちはこれらの間違いをブロックチェーン体験の一部として受け入れますが、たとえば同じことが大手銀行で起こったらどう反応するでしょうか?多くのメディアで取り上げられ、ユーザーや顧客の間で騒動が起きる可能性があります。暗号通貨ではユーザーが少ないため、これらの出来事はほとんど注目されませんが、最近の強気市場で状況は変わりつつあります。必然的に、パブリックブロックチェーンのセキュリティはより厳しく監視されることになります。

カーペットを引っ張るケオなどのハッキング防止方法

残念ながら、暗号通貨分野で作業する開発者にとって、ハッキングは常に選択肢の 1 つです。問題は、ハッキングをどうやって防ぐかではなく、自分自身がハッキングされないようにする方法です。 Gnosis Safe のマルチシグネチャ ウォレットなど、ハードウェア ウォレットのいくつかの進歩は、全体的なセキュリティを向上させるための重要な推進力です。

マルチシグ ウォレットを使用すると、複数のユーザーが同じウォレットのキーを保持できるようになり、アカウントでアクションを実行するには両方の参加が必要になります。このようなウォレットでは取引を行うために複数のユーザー入力が必要となるため、このタイプの金庫でカーペットを引くことは事実上不可能です。

カーペットが引っ張られるのを防ぐもう 12 つのセキュリティ方法は、タイムロックです。多くの分散アプリケーションはタイムアウトを使用しているため、開発者がユーザーを取得しようとすると、コインをクリアするためのアラートが約 24 ～ XNUMX 時間以内に届きます。

この種の安全慣行は、DeFi に対する幅広い信頼を促進し、業界を前進させる安全文化を生み出すでしょう。

暗号通貨ウォレットのセキュリティの向上

ウォレットのセキュリティは最終的には、より賢い方法を使用する開発者とユーザーに依存します。定期的なセキュリティレビューと内部セキュリティ慣行はすべて、ウォレットの安全性を高めるのに役立ちます。

セキュリティレビューは良い解決策ですが、Uniswap やその他の自動マーケットメーカーベースの分散型取引所 (DEX) は許可されていないため、定期的なレビューを実行できません。ベストプラクティスは、「フェアローンチ」コイン、つまりDEXからローンチされたプロジェクトの詳細を理解することです。これらのプロジェクトの多くは高品質ですが、その多くは優れたパフォーマンスを発揮することで知られています。オープンソース コードにより、スマート コントラクトが自分自身にとって安全であるかどうかを誰でも簡単にテストして検証できるようになり、優れたセキュリティを実践するためのより多くのツールがユーザーに提供されます。

ユーザーに優れたセキュリティの実装を求めるのは大変なことのように思えるかもしれませんが、特に暗号通貨と DeFi の多くの利点を利用するにはそれが必要です。従来の銀行では、銀行がセキュリティの責任を負いますが、暗号通貨の場合、セキュリティは開発者とユーザーの慣行に依存します。

銀行のパスワードを忘れた場合、または間違った相手に送金した場合は、銀行に連絡して、問題が解決されるまで取引を軽減することができます。しかし、暗号通貨には、キーを紛失したり、間違ったアドレスに送金したりした場合のバックアップオプションがありません。もちろん、利点の 2015 つは、XNUMX 年のギリシャ銀行危機の際に起こったように、銀行が閉鎖され資本規制が課される可能性がある一方で、資金が仮想通貨で利用可能になることを心配する必要がないことです。

まとめ

開発者として、私たちはセキュリティ テストと相互検証を実施し、改善されたセキュリティ プラクティスの開発についてお互いに責任を負う必要があります。

ユーザーは、独自のセキュリティ プロトコルの実装を検討し、ストレージと潜在的な攻撃シナリオの微妙な違いを理解する必要があります。受動的暗号保有者にとっての良い習慣は、ハードウェア ウォレットをインターネットから切断するか、100% オフラインでファームウェアの更新にオンライン同期を必要としないペーパー ウォレットを切断することです。

インターネット攻撃の初期形態の 1 つであるフィッシング攻撃は、依然として広く普及しており、一般的です。フィッシング攻撃に対抗する 1 つの方法は、送信者の信頼性を確認することです。

秘密キーやシード フレーズを Web サイトに入力したり、パブリック チャネルや DM で誰かに送信したりしないでください。一般に、シードフレーズを入力するのは、ウォレットを初めて設定するときのみにしてください。さらに、パスワードを忘れた後にウォレットを復元する必要がある場合、既存のウォレットを新しいデバイスにインポートする場合、または互換性のあるウォレット ソフトウェアを使用する必要がある場合にのみ、シード フレーズを入力する必要があります。一般に、いかなる種類のソフトウェアにもシードを決して与えないハードウェア ウォレット デバイスを使用する必要があります。信頼できるウォレット アプリやソフトウェアであってもハッキングされることはありません。

私たちが新しい（主に）グローバルな DeFi 経済を構築し続ける中で、次世代が経済的自立という新たな境地に到達できるように、一般に受け入れられ資本が宇宙に注ぎ続けられるように、セキュリティを向上させることが重要になります。