韓国メディアがCertiK創設者顧栄輝氏にインタビュー：ハッカー攻撃が300％増加、セキュリティ第一の苦境からの脱出の道

CertiK ｜2025-04-18 18:55

4月17日、韓国の有名テクノロジーメディア「Korea IT Times」は、CertiKの共同創設者である顧龍輝教授との独占インタビューを掲載した。顧栄輝氏は、安全性は後付けではなく基本原則として捉えるべきであり、プロジェクトの最初から全体戦略に組み込むべきだと述べた。

4月17日、韓国の有名テクノロジーメディア「Korea IT Times」は、CertiKの共同創設者兼CEOである顧龍輝教授との独占インタビューを掲載した。両者は、CertiKの第1四半期「HACK3D」セキュリティレポート、ハッカー攻撃手法の反復、セキュリティ防御技術の革新的な道筋などについて深く議論した。

Gu Ronghui 氏は、セキュリティは後付けではなく基本原則として考慮されるべきであり、プロジェクトの最初から全体的な戦略に組み込むべきだと考えています。「『セキュリティ第一』の積極的な戦略は、信頼できる Web3.0 アプリケーションの基盤を構築する上で非常に重要です。」具体的には、形式検証、ゼロ知識証明、マルチパーティコンピューティングなどの最先端技術を積極的に活用して、ブロックチェーンプロトコルとスマートコントラクトの保護機能を総合的に強化することを提唱しています。これは、CertiK を設立した当初の意図とビジョンでもあり、厳密な形式検証テクノロジーを通じて Web3.0 の世界をより安全で信頼できるものにすることです。

セキュリティに対するこの取り組みは、短期的な市場動向の産物ではなく、むしろ顧栄輝の技術的理想の長期にわたる探求と実践から生まれたものです。イェール大学博士課程時代にGoogleチームから「完璧」と称賛されたCertiKOSシステムの開発に参加したことから、現在5,300億ドル以上のデジタル資産に対するセキュリティモートを構築するまで、彼は常に業界のセキュリティを保護し、業界の信頼を高めることに尽力してきました。

顧栄輝氏は、安全保障は競争上の優位性ではなく共通の責任であると繰り返し述べている。彼は研究所の学術的成果を産業界の安全な実践に変換し、さらに「責任の共有」という概念を産業界の協力に取り入れました。一流大学を卒業したこのテクノロジーリーダーは、数学的論理の検証可能性を利用してハッカー攻撃の不確実性と戦い、Web3.0 時代のセキュリティ座標を技術的な理想と現実の間に固定しています。

以下はインタビュー全文です。

独占インタビュー | Web3.0の最前線を守る——CertiK CEOがブロックチェーンのセキュリティ脅威と防御策を解説

急速に発展するWeb3.0分野では、ブロックチェーンのセキュリティが最優先事項となっています。この記事では、コロンビア大学のコンピューターサイエンス教授である共同創設者が率いるCertiKの使命、つまりブロックチェーンエコシステムのセキュリティ強化に焦点を当てています。 CertiK は、形式検証テクノロジーを通じてブロックチェーンとスマートコントラクトのセキュリティの向上に取り組んでおり、Web3.0 セキュリティの業界リーダーとなっています。

Korea IT TimesはCertiKのHack3d: 2025年第1四半期セキュリティレポートを詳しく調査し、デジタル資産の盗難とセキュリティ脅威の新たな傾向を明らかにしました。この記事では、ゼロ知識証明やマルチパーティコンピューティングなどの最先端技術についても取り上げ、ブロックチェーン開発者に実践的なアドバイスを提供し、セキュリティ分野における AI の二重の役割についても探ります。従来の金融機関が徐々にブロックチェーンに関与するようになるにつれて、セキュリティ上の課題も増大し、ユーザーを保護し、エコシステムの整合性を維持するための積極的な対策が重要になります。この記事の目的は、複雑なブロックチェーンセキュリティ環境を乗り切るために役立つ重要な洞察を実務者に提供することです。

Q: あなた自身とCertiKの中心的な使命について簡単に紹介してください。

A: 私はCertiKの共同創設者兼CEOであり、コロンビア大学の教授でもあります。私と CertiK の使命は、Web 3.0 エコシステムのセキュリティを強化することに深く根ざしています。

CertiKは2017年に設立されました。その中核となるコンセプトは、形式検証技術を使用してブロックチェーンプロトコルとスマートコントラクトのセキュリティを継続的に監視および強化し、安全で正しい動作を確保することです。当社は、学術界と産業界の最先端のソリューションを統合し、Web3.0 アプリケーションがセキュリティを確保しながら持続的に拡張できるよう支援します。これまでに、当社は 4,900 社を超える企業顧客にサービスを提供しており、5,300 億米ドルを超えるデジタル資産を保護し、115,000 件を超えるコードの脆弱性を特定しています。

Q: CertiK は最近 Hack3d: 2025 Q1 セキュリティレポートをリリースしました。主な調査結果は何ですか?

回答: 2025 年第 1 四半期に、オンチェーン詐欺事件による損失は約 16 億 6,000 万米ドルで、前四半期から 303% 増加しました。これは主に、2月下旬に発生したBybit取引所のハッキングによるもので、ハッカーは約14億ドルを盗んだ。前四半期と同様に、今四半期もイーサリアムが攻撃の主な標的となり、3件のセキュリティインシデントが発生し、資産総額は15億4,000万米ドルの損失となった。さらに衝撃的なのは、第 1 四半期に盗まれた資産のうち、わずか 0.38% しか回収されなかったことです。

Q: ブロックチェーン攻撃の主な標的は、前四半期と比べて変化しましたか?

回答: 2025 年第 1 四半期の傾向は 2024 年末の傾向を継続しており、イーサリアムは依然として最も大きな打撃を受けている分野です。 2024年第4四半期にイーサリアムで発生したセキュリティインシデントは合計99件で、第1四半期の93件と比較して増加しました。これは継続的なテーマです。2024 年を通じて、Ethereum ベースのプロジェクトは最も多くのセキュリティインシデントを経験しました。 2025年までこの状況は続くと思われます。

Bybit のハッキング事件も典型的なケースです。Ethereum エコシステムに基づく Safe-Wallet ウォレットがハッキングされ、大きな損失が発生しました。イーサリアムが攻撃の焦点となっている理由は、多数の DeFi プロトコルと膨大な量のロックされた資産があるためです。一方、イーサリアム上の多くのスマートコントラクトには脆弱性があります。

Q: ブロックチェーンセキュリティ業界は、ますます巧妙化する攻撃手法にどのように対応していますか?

A: 攻撃者は、ソーシャルエンジニアリング、AI テクノロジー、スマートコントラクト操作などの高度な戦略を使用して、既存のセキュリティ保護メカニズムを回避するケースが増えています。デジタル資産がより広く使用されるようになり、その評価が高まるにつれて、業界はプロジェクトの整合性とユーザー資産のセキュリティを確保するために新たな状況に適応する必要があります。

業界は積極的に課題に対応し、ゼロ知識証明（ZKP）やオンチェーンセキュリティなどの革新的なテクノロジーの開発を推進しています。これらのテクノロジーは、プライバシーを保護しながら、トランザクションの監査、攻撃の追跡、資産の回復を可能にすることで、ますます深刻化するセキュリティ問題に対する有望なソリューションを提供します。マルチパーティコンピューティング (MPC) は、秘密鍵の制御を複数のパーティに分散することで鍵管理をさらに強化し、単一点障害のリスクを排除して、攻撃者が許可なくウォレットにアクセスするのを大幅に困難にします。これらのセキュリティ技術は進化を続け、ハッカー攻撃に抵抗し、分散型エコシステムの整合性を維持する上で重要な役割を果たすことになります。

Q: ブロックチェーン開発者やプロジェクトチームにどのようなセキュリティアドバイスを与えますか?

A: 最初から安全性を優先することは、譲れない原則であるべきです。セキュリティを後から考慮するのではなく、開発のあらゆる段階に統合すると、潜在的な脆弱性を早期に特定し、長期的には時間とリソースを大幅に節約できます。この積極的な「セキュリティ第一」戦略は、信頼できる Web 3.0 アプリケーションの基盤を構築する上で非常に重要です。開発プロセス全体にセキュリティを統合すると、脆弱性を事前に発見し、その後の修復にかかるコストを節約できます。

さらに、ブロックチェーンセキュリティ組織による包括的かつ公平な第三者監査を求めることで、独立した視点が得られ、社内チームが見落とす可能性のある潜在的なリスクを特定することもできます。このタイプの外部評価は、脆弱性をタイムリーに特定して修正するのに役立つ重要なレビュー手順を提供し、それによってプロジェクトの全体的なセキュリティを強化し、ユーザーの信頼をさらに高めます。

Q: ブロックチェーンのセキュリティにおいて AI はどのような役割を果たすのでしょうか?それはプラスの影響でしょうか、それとも新たなリスクをもたらすのでしょうか?

A: AIはCertiKのセキュリティシステムにおいて重要なツールであり、ブロックチェーンシステムのセキュリティを確保するための中核戦略の1つに組み込んでいます。 CertiK は AI テクノロジーを使用してスマートコントラクトの脆弱性と潜在的なセキュリティ上の欠陥を分析し、これまで以上に効率的に包括的な監査を完了できるように支援しますが、人間の専門監査チームに取って代わることはできません。

ただし、攻撃者は AI を使用して攻撃方法を強化することもできます。たとえば、AI はコードの弱点を特定したり、コンセンサスメカニズムを回避したり、システムを防御したりするために使用できます。これは、セキュリティ対決の閾値が引き上げられたことを意味し、AI アプリケーションがますます普及するにつれて、業界はより強力なセキュリティソリューションに投資する必要があります。

Q: 形式検証とは何ですか?ブロックチェーン監査の有効性はどのように向上するのでしょうか?

A: 形式検証とは、コンピュータプログラムが期待どおりに動作することを数学的に証明する方法です。これは、プログラムの特性を数式として表現し、自動化ツールの助けを借りて検証することによって機能します。

この技術は、ハードウェア設計、ソフトウェアエンジニアリング、サイバーセキュリティ、AI、スマートコントラクト監査など、テクノロジー業界のさまざまな分野で幅広く活用できます。ただし、形式的な検証は手動による監査の代わりに使用されるものではないことを強調しておく必要があります。スマートコントラクトの場合、形式検証では自動化された方法を利用して契約のロジックと動作を評価しますが、手動監査ではセキュリティ専門家がコード、設計、展開の包括的なレビューを実施して潜在的なセキュリティリスクを特定します。これら 2 つは相互に補完し合い、共同でスマートコントラクトの全体的なセキュリティを向上させます。

Q: 従来の金融機関がブロックチェーン競争に参入するにつれて、セキュリティ上の脅威の種類や高度さは変化すると思いますか?

A: Web3.0 とブロックチェーン業界の初期段階では、攻撃者は通常、フィッシング攻撃、RugPull、ウォレットの脆弱性の悪用などの方法を使用して、個々のユーザーまたは小規模プロジェクトを標的にします。 Hack3d レポート 2025 年第 1 四半期によれば、これらの課題は依然として残っています。しかし、伝統的な機関や大企業の参加により、ネットワークの完全性に関するセキュリティリスクも新たな段階に入ります。この変革の背景には、プロジェクト資産の規模の拡大だけでなく、エンタープライズレベルのアプリケーションに特有のセキュリティニーズと規制要件、そしてブロックチェーンと従来の金融システムの深い統合があります。

従来の金融機関のほとんどがサイバー脅威への対処経験を持っていることを考えると、悪意のある攻撃者は、従来の一般的なウォレットの脆弱性を狙った攻撃から、構成エラー、カスタムスマートコントラクトの脆弱性、従来のシステムと統合されたインターフェースのセキュリティ上の欠陥など、より標的を絞ったエンタープライズレベルの弱点へと攻撃の洗練度を高めていくことが予想されます。