オンチェーンセキュリティについてどれくらい知っていますか。一般の人々は暗号化された資産のファイアウォールをどのように構築するのでしょうか。

Mint Ventures ｜2025-04-03 20:00

この記事では、特定のセキュリティインシデントから、誰もが注意を払う必要のあるセキュリティ原則、そして業界全体の開発規模に至るまで、あらゆる内容を取り上げます。

モデレーター: Alex 、Mint Ventures リサーチパートナー

ゲスト: ブロックチェーンセキュリティ企業 BlockSec の CEO、周亜金氏

録音時間: 2025.3.28

免責事項：このポッドキャストで議論された内容はゲストの機関の見解を表すものではなく、言及されたプロジェクトはいかなる投資アドバイスも構成するものではありません。

BlockSecのサービス範囲と対象顧客

アレックス:今回のエピソードでは、暗号化された世界のセキュリティという、誰にとっても関係の深いトピックについてお話します。私たちは、実際のリスクに遭遇するまでは、ニュースで報道されるセキュリティインシデントの被害者になることはないと考えがちです。資産用のファイアウォールを構築し、安全な環境に投資する方法は、暗号化の旅を始める前に必ず知っておくべきテーマです。このポッドキャストでは、ブロックチェーンセキュリティ企業 BlockSec の Zhou Yajin 氏をお招きし、暗号化セキュリティについてお話しいただきます。周先生、よろしくお伝えください。

周亜進：皆さんこんにちは。私の名前は周亜進です。私は現在、BlockSec の CEO を務めています。私は浙江大学でサイバースペースセキュリティの研究者でもあります。皆さんにお会いできてとても嬉しいです。

アレックス:さて、今日は本題に入りましょう。多くのリスナーはブロックチェーンセキュリティ企業やセキュリティサービスについてあまり詳しくないのではないかと思います。周さん、まずはBlockSecについて紹介してください。どのようなサービスを提供していますか?どのような人々や機関が顧客になるのでしょうか?

Zhou Yajin:はい、BlockSec は Web3 セキュリティ企業です。私たちは2021年にウー教授と私が共同で設立しました。 Web3 のセキュリティについて語るとき、まず思い浮かぶのはおそらくセキュリティ監査でしょう。実際、BlockSec の事業範囲はセキュリティ監査に限定されません。当社は、その他のセキュリティ製品およびサービスも多数提供しています。具体的には、サービスは3つの主要なセクションに分けられます。最初のセクションは、オンチェーンプロトコルのセキュリティと呼びます。オンチェーンプロトコルは、DeFi、NFT、またはその他のアクティビティを実行するためにブロックチェーン上に展開されるスマートコントラクトです。これらの契約のセキュリティはどのように確保されるべきでしょうか? BlockSec は、セキュリティ監査サービスとセキュリティ監視製品を提供します。私たちがより懸念している2番目の分野は、資産のセキュリティです。いわゆる資産セキュリティとは、ユーザーが手元に持っている資産を指します。たとえば、これらの資産は独自の契約ウォレット内にあるか、またはいくつかのオンチェーンプロトコルに投資されています。これらのユーザー資産のセキュリティを確保する方法も、当社の BlockSec が提供するサービスの 1 つです。 3番目の部分はコンプライアンスと監督です。ますます多くの伝統的な金融機関が暗号通貨業界に参入していることがわかります。最近、米国の伝統的な銀行が、暗号通貨が国境を越えた決済業界に参入するなど、チェーン上でいくつかのステーブルコイン資産を発行したというニュースがありました。実際、これらの伝統的な金融機関がこの業界に参入した後、監督に困難な問題をもたらしました。規制当局は監督方法を知らず、これらの機関は規制を遵守する方法を知りませんでした。そのため、当社は規制当局が暗号通貨業界に参入するプレーヤーを監督するのを支援したり、暗号通貨業界に参入する従来の機関が規制を遵守するのを支援したりもしています。これらが当社の事業の3つの分野です。

当社の顧客は多岐にわたります。誰もが思いつくのは、チェーン上の貸付プラットフォームや分散型取引プラットフォームなど、チェーン上で分散型金融やその他のサービスを提供するプロジェクト関係者です。これらのプロジェクト関係者は私たちの顧客です。私たちは、スマートコントラクトをチェーンに展開する前にセキュリティ監査を実施し、セキュリティの観点から開発したスマートコントラクトをレビューして、セキュリティ上の脆弱性がないか確認するお手伝いをします。セキュリティ上の抜け穴がある場合は、適時に修正する必要があります。同時に、彼らのプロトコルがチェーン上に展開された後、私たちは彼らのプロトコルのセキュリティリスクを監視するための7×24時間監視プラットフォームも持つことになります。セキュリティリスクが発生した場合、当社のプラットフォームはプロトコルに速やかに通知し、リスクと攻撃を自動的にブロックします。したがって、チェーン上にスマートコントラクトを展開する開発者とプロジェクト関係者が、当社の典型的な顧客となります。 2 番目のタイプの典型的な顧客は、資産を所有する人々であり、おそらく契約ウォレットに資産を保有する富裕層の顧客、またはチェーン上のいくつかの契約に投資する富裕層の顧客です。当社のサービスと製品は、投資先のプロトコルのセキュリティをより適切に監視するのに役立ちます。コインの表裏のように、プロトコルプロジェクトの観点から、プロトコルのセキュリティの向上を支援できます。プロトコルに投資する高純資産のクライアントの観点から、私たちは彼らが投資したプロトコルのセキュリティを監視するお手伝いをすることができます。投資したプロトコルに攻撃などのセキュリティリスクが発生した場合、できるだけ早く資金を引き出せるようにする必要があります。 3 番目のタイプの顧客は、先ほど述べた監視とコンプライアンスです。このタイプの顧客は主に規制機関です。たとえば、香港証券先物委員会は実は私たちの顧客です。海外の法執行機関もいくつかあります。デジタル通貨に関わる犯罪を捜査する必要がある場合、証拠の抽出や資金の追跡などの捜査活動を容易にするために、当社のツールとプラットフォームを使用する必要があります。これが基本的に当社の事業全体とクライアントの範囲です。

暗号化セキュリティのための3つのヒント

アレックス：なるほど。周教授は、顧客のタイプ、そのニーズ、そして業界の概要についてお話ししました。 2 番目の質問は、特に多くのリスナーが Web3 について学び、投資を始めようとしているため、個人投資家にとってより関連性が高いかもしれません。暗号投資の分野に参入したばかりの友人がいて、あなたが暗号セキュリティサービスに従事していることを知っている場合は、暗号セキュリティについて3つの提案をしてください。あなたなら彼にどの3つの提案をしますか？

周亜進：これは非常に良い質問です。友人たちはよく私に安全に関するアドバイスを求めます。彼らもこの業界に参入したいと思っていますが、多くの人が何らかのリスクに遭遇しているようだと聞いています。かつてこんなジョークがありました。「暗号通貨の世界に入ってフィッシングや詐欺に遭わなければ、この分野でベテランプレイヤーにはなれないだろう。」もちろんこれは冗談ですが、この業界には確かに多くのリスクがあることがわかります。 3 つの提案をするとしたら、最初のものは間違いなく誰もが思いつくであろう、秘密鍵の保護に関するものになります。暗号通貨の分野では、資金を所有していることをどのように証明するのでしょうか?実際、アカウントの所有権を証明するには秘密鍵を使用します。秘密鍵は単なる数字の文字列であり、個人の身元とは一切結び付けられません。この数字の列が紛失または漏洩すると、他人があなたと同じようにあなたの資金を管理できるようになります。これは私たちの現実の世界とは大きく異なります。現実世界では、銀行のパスワードが漏洩した場合、銀行に電話して口座を凍結するよう依頼し、他の人があなたのお金を引き出せないようにすることができます。しかし、暗号通貨の世界では、秘密鍵が漏洩した場合、秘密鍵を持っている人は制限なくあなたのアカウントから資金を送金することができます。一般的に言えば、秘密鍵を保護する方法はいくつかあります。たとえば、秘密鍵を保護するためのハードウェアウォレット、コントラクトウォレット、または携帯電話アプリがあります。それぞれの方法には、実際には独自の長所と短所があります。私自身の経験と、私たちの周りのセキュリティに詳しい友人たちの全体的な経験から判断すると、基本原則は、秘密鍵のニーモニックを書き留めて金庫に保管することです。金庫が自宅にあるか銀行にあるかにかかわらず、しっかりと保管し、通常は移動しないでください。基本的には使用する必要はありません。次に、ハードウェアウォレットや携帯電話など、比較的信頼できるデバイスを使用して秘密鍵を保存します。この携帯電話は専用デバイスである必要があります。その他の操作には使用しないでください。独自のデジタル資産を管理するためにのみ使用されます。これが最初の提案です。 2 番目の提案は、チェーン上で取引を行う際にセキュリティとリスクに注意することです。本質的に、覚えておかなければならないことはただ一つ、タダ飯など存在しないということだ。チェーン上で取引を行う際、ユーザーはフィッシングの非常に高いリスクに直面することがわかりました。私たちがよく知っている暗号通貨業界の多くのKOLやOGはフィッシング攻撃に遭遇し、多額の金銭を失っています。未知のウェブサイトが、いわゆるエアドロップ報酬を得るためにウォレットを接続するように要求した場合、この時点ではより注意する必要があり、安全性に注意を払う必要があります。 3 番目の提案は、暗号資産に関する基本的な知識が必要だということです。基礎知識とは、暗号資産における認可の概念を指します。これは従来の金融とは異なります。たとえば、USDT や USDC などのデジタル資産を所有している場合、オンチェーン署名を通じて契約または他のユーザーに資産を承認できます。このような承認は、ウォレットを通じて、理解できない奇妙なものに署名するだけで実現できます。したがって、ウォレット署名に署名する際に、承認されたトランザクションを理解していなかったり、騙されたりして署名すると、他の人があなたのデジタル資産をすべて使用できるようになります。したがって、ウォレットに署名するときに誤ってそのようなトランザクションに署名しないように、承認に関する基本的な知識が必要です。まとめると、基本的な提案は次のとおりです。1 つ目は、独自の秘密鍵を保護することです。いくつかの実用的な方法が示されています。 2 つ目は、オンチェーン取引を行う際に常に注意し、セキュリティを意識してフィッシング詐欺を回避することです。 3 つ目は、承認されたトランザクションに誤って署名しないように、Crypto の承認メカニズムの基本を理解することです。

アレックス：実は私の周りには富裕層の友人がたくさんいて、彼らも業界の OG やベテランです。論理的に言えば、彼らは皆、あなたが言及したようなセキュリティ意識をある程度持っていますが、毎年、私の周りの大口投資家が強盗に遭ったという話を聞きます。業界には、プロのハッカーがあなたをターゲットにした場合、彼はあなたの財布にお金があることを知っている、という格言があります。彼が利用可能なすべてのリソースを使用した場合、逃げることは困難になることが多いでしょう。この発言は意味を成すと思いますか?本当にそうなのでしょうか？

周亜進：とても良い質問ですね。実際、セキュリティの問題、特に暗号セキュリティに関わる問題は、本質的に不均衡な対立です。ウォレットに十分な資産がある場合、標的型攻撃の標的になりやすくなります。一度誰かの標的型攻撃のターゲットになると、彼らはソーシャルエンジニアリングリソース、技術リソース、その他のリソースなど、多くのリソースを動員して、ターゲットの日常の行動パターン、生活習慣などに基づいてあなたに対する攻撃方法を設計します。この状況では、100％確実とは言えませんが、他の人があなたと戦うために多くのリソースを動員しており、あなたには自分自身しかいないため、自分自身を守ることは非常に困難です。つまり、非常に非対称な対立なのです。このような状況において、基本的な原則は、まず第一に、中国人の間では富を露出すべきではないという格言があり、つまり資産を公開すべきではなく、個人のオフラインのアイデンティティとオンチェーン資産のアイデンティティとの関係を明らかにしないようにするということだと思います。 2つ目のポイントは、たとえ高額資産ユーザーであっても、資産が他人に漏洩している可能性があるため、資産を可能な限り隔離する必要があるということです。つまり、日常生活で普段運用している資産は、専用ウォレットに最大10万元程度しか入っていないことになります。他人があなたをターゲットにした場合、最大でもこの10万元をだまし取ることができるだけです。その他の大きな資産は、めったに使用する必要のないウォレットに保管する必要があります。これらの資産を使用する必要がある場合は、非常に大きなリスクを回避するために、セキュリティの専門家に依頼して、より適切な運用手順と仕様を検討する必要があります。

最も印象に残ったセキュリティインシデント3件

アレックス：なるほど、これは本当に重要なアドバイスですね。これまでのキャリアで経験した最も印象的なセキュリティインシデントを 3 つ教えてください。それはあなた自身の経験であっても、友人からのものであっても、あるいはあなた自身の観察からのものであっても構いません。

周亜進：私たちが個人的に関わり、深い印象を残したセキュリティインシデントをいくつかお話しします。私が覚えている最初の例は、2023年2月10日頃、Platypus Protocolと呼ばれるチェーン上のプロトコルが攻撃されたときです。その他の機能も備えた貸出プラットフォームです。このプロトコルにはセキュリティ上の脆弱性があり、ハッカーはそれを利用して約900万ドルの資産を盗みました。この事件が私に深い印象を残した理由は、ハッカーがPlatypusプロトコルを攻撃する際にミスを犯したからです。スマートコントラクトを攻撃する場合、彼自身がスマートコントラクトを開発する必要があります。スマートコントラクトは、独自に動作できるコードの文字列として理解できます。ハッカーが攻撃する場合、独自の攻撃契約を展開し、この攻撃契約によって攻撃プロセス全体が完了します。しかし、攻撃者も人間であり、人間が間違いを犯すことは誰もが知っています。彼は攻撃用スマートコントラクトの作成時にミスを犯し、そのコントラクトに悪用される可能性のある脆弱性がありました。この脆弱性により、攻撃契約に保存されている資金が抽出される可能性がありますが、この資金も Platypus プロトコルを攻撃することで取得された資金です。セキュリティ企業として、私たちはチェーンへの攻撃を常に追跡しており、チェーン上で発生した攻撃を初めて検出できる一連の攻撃検出エンジンを備えています。偶然にも、カモノハシが襲われたとき、私たちはすぐにそれを察知しました。当社は、攻撃の原因は何であったのか、どこに脆弱性があるのかなど、このセキュリティインシデントについて独自に分析します。同時に、プロジェクト関係者に連絡して支援し、パッチを適用して問題に対処する方法をお伝えします。このプロセス中に、ハッカーの脆弱性を発見し、プロジェクト関係者にそれが悪用される可能性があることを伝えました。その後、私たちはプロジェクト関係者と協力して、攻撃者の契約から攻撃資金950万ドルのうち240万ドルを引き出すための一連のコードを開発しました。これは、ブロックチェーンセキュリティの歴史全体において、ハックバックと呼ばれる行為が初めて行われたケースでもあります。ハックバックとは、抜け穴を利用して盗まれた資金を抽出し、プロジェクト関係者に返還することを意味します。これは特に興味深い対決であり、私は非常に感銘を受けました。

アレックス：以前から Platypus とは協力関係にあったのですか、それともこの事件の後で初めてコミュニケーションを取り始めたのですか?

周亜進：実は以前は協力関係がなかったのですが、この事件が起きてから連絡を取り合うようになったんです。セキュリティインシデント処理プロセス全体について詳しく説明できます。当社には社内に独自のセキュリティ攻撃エンジンがあります。セキュリティインシデントが発生すると、当社のエンジンは直ちに警報を発し、社内に緊急対応チームが配置され、共同でインシデントを分析します。まず、どのプロトコルが攻撃されているかを確認し、次にオンチェーンの Twitter やその他の手段など、さまざまな手段を通じてプロジェクト関係者に連絡を試みます。 Platypus の場合、以前は連絡先情報がありませんでした。私たちは Twitter を通じてプロジェクト関係者に連絡を取り、攻撃全体の理由の分析を支援しました。プロジェクト関係者は、攻撃を受けた理由を知らなかったことが多々あったためです。いずれにせよ、契約金は消えてしまったが、その理由は不明だ。現時点では、分析を支援するセキュリティ会社が必要です。分析後、プロトコルをどのように修復するかが問題となります。原因が明らかな場合は、脆弱性を修正する必要があります。パッチの適用方法、パッチ適用後の安全性、盗まれた資金の追跡についても、私たちのようなセキュリティ会社の支援が必要です。私たちは緊急対応プロセス全体を通じてプロジェクト関係者と協力します。具体的には、このケースでは、私たちは実際に以前はこのプロジェクトと連絡を取っていませんでしたが、幸運にも、処理プロセス中に間に合うように連絡を取り、資金の一部を回収することができました。実際、攻撃を発見したがプロジェクト関係者に連絡が取れないケースの方が多かった。

2番目のケースも非常に興味深いもので、これも2023年に発生しました。このケースはParaSpaceと呼ばれるプロジェクトに関係しているため、中国のリスナーの方には馴染みがあるかもしれません。 ParaSpace は、Bored Ape を担保にしたり、他の資産を借りたりするために使用できる NFT です。多くの中国のOGが実際にBored Ape NFTの所有者であることを知っています。このプロトコルには実際にセキュリティ上の脆弱性があり、2023年3月に攻撃を受けました。北京時間で午前か正午頃だったことをはっきり覚えています。当社のシステムが最初の警告を発した後、まずプロジェクト関係者に連絡して原因を分析します。しかし、当社のシステムで発生した最初の攻撃トランザクションはチェーン上で元に戻されていたことが判明しました。元に戻すということは、攻撃者が攻撃時に十分な取引手数料を持っていなかったため、攻撃取引をチェーンに正常にアップロードできなかったことを意味します。しかし、彼の攻撃のトランザクション動作と痕跡はチェーン上で公開されています。当社のシステムは、失敗したもののチェーンに再度追加されたトランザクションであるリバーストランザクションも検出できます。これは、これが攻撃トランザクションであると判断する当社のエンジンの機能です。判断を下した後、攻撃トランザクションの挙動をシミュレートし、それと同じ攻撃トランザクションを自動生成する方法を考えましたが、この攻撃は引用符で囲む必要があり、トランザクション内の利益アドレスを自分のアドレスに置き換える必要があります。このようにして、現在危険にさらされている契約内の資金を救出し、それを当社の安全な口座に預け、その後、プロジェクト関係者に連絡して資金を返還することができます。これは、悪者のナイフが切り倒そうとしているが、何らかの理由で最初の試みが失敗する、と言っているのに似ています。同じ方法を使用して事前に資金を引き出すこともできます。そうすれば、攻撃者が 2 回目に攻撃を試みたときに、プロトコルに資金がなくなり、攻撃は失敗します。このアイデアが浮かんだ後、実際にこのプロセスを迅速に自動化できるシステムが社内にできました。その後、私たちは自動的に「攻撃」トランザクションを生成し、それをチェーンに投稿し、ParaSpace プロトコルから 500 万ドルの資産を引き出しました。その後、私たちはプロジェクト関係者に連絡して資金を返還してもらいました。これは実はとても興味深いです。これは史上最大の金額です。私たちはこれをレスキューと呼んでいます。これはチェーン上の資金を節約するアクションを意味します。この救出がなければ、彼らの資産は略奪されていたかもしれない。

しかし、このセキュリティインシデントは、セキュリティに関する道徳的および倫理的な問題が数多く関係しているため、実際には私たちに多くのことを考えさせました。たとえば、攻撃を観測した後、プロトコル内の資金を引き出しますが、それは本質的には依然として攻撃トランザクションです。攻撃者の行動をシミュレートします。善意で資金が引き出されプロジェクト関係者に返還されたとしても、厳密に言えばそれは攻撃です。これにはコンプライアンスと安全倫理の問題が関係します。当時私たちが考えていたのは、悪者が善人をナイフで刺しているのを見たとき、それを止めようとするべきか、それともそのまま放っておくべきかということでした。道徳的および安全倫理的な問題がいくつかあるとはいえ、それを止めるために行動を起こすことが私たちの選択であると思います。この事件の後、私たちは、先ほどお話ししたようにハッキングによってチェーンのセキュリティを守ることはできないということを深く認識しました。プロジェクト所有者は、直面するセキュリティリスクについて、できるだけ早く知らされる必要があります。プロジェクトが攻撃を受けたことを認識し、自動化された運用戦略をいくつか構成する必要があります。こうしたセキュリティインシデントが発生した場合、当社のシステムは、攻撃が成功しないようにプロトコルを自動的に一時停止できるようにする必要があることをユーザーに通知します。攻撃を防ぎ、ユーザーの資金を節約するだけでなく、セキュリティ上の倫理的リスクも回避します。これが、これら 2 つのインシデントの後に私たちが開発した、攻撃監視およびブロック製品である Phalcon の全体的なアイデアです。これは私が記憶している2番目の重大なセキュリティインシデントです。

アレックス:そのとき、このセキュリティインシデントに気づいたと思います。先ほど防御攻撃について言及しましたね。詳細をお聞きしたいのですが。先ほど述べたリバート攻撃が発生した後、保護攻撃を開始するかどうかについて社内で議論し、決定する必要があります。事件の発覚から資金保護の決定まで、どれくらいの時間が経過しましたか?

周亜進：とても早かったです。最初に知ってから完了するまでに、ほんの数分しかかかりませんでした。当社では、セキュリティ処理プロセスが非常に充実しているため、セキュリティ上の問題を把握した後、すぐに議論し、決定を下します。決定が下された後は、自動化ツールがいくつかあるため、すぐに作業を進めることができます。

アレックス：なるほど。

周亜進： 3番目のケースは、最近誰もが注目すべきBybitのセキュリティインシデントです。 2月には15億ドル相当の資産が盗まれた。この攻撃は、セキュリティ業界においてこれまでに発生したセキュリティインシデントの中で最も損害額が大きいものでもあり、その損失額は先ほど述べた 2 つのセキュリティインシデントとは大きく異なります。これまでの2つのセキュリティインシデントは契約の抜け穴が原因でしたが、Bybitのセキュリティインシデントは実際にはスマートコントラクトの抜け穴とは何の関係もありません。私たちはそれを長い信頼の連鎖と呼んでいます。これほど多額の資金と長い信頼の連鎖を持つシステムにおいて、攻撃者はソーシャルエンジニアリング攻撃を通じて最も弱いリンクを見つけ、攻撃を完了しました。具体的には、Bybit ではスマートコントラクトウォレットである SAFE と呼ばれるコントラクトウォレットを使用して管理します。 SAFE はマルチ署名ウォレットです。 3 人が同時に開ける必要がある錠前と考えることができます。そうして初めて、ロックが解除され、中の資金を取り出すことができるのです。このロックは、このようなコントラクトウォレットを提供するプロジェクトによって作成されました。このシステムの信頼チェーンは、SAFE ウォレットの開発者、SAFE プロトコルを操作する人々、SAFE ウォレットを使用する際のブラウザの UI インターフェイスなど、非常に長いことがわかります。 SAFEウォレットの運営者、つまり3つの鍵を持つBybitの従業員、または資金を操作する権限を持つ人物も存在します。 SAFE ウォレットは、コンピューターのブラウザまたはハードウェアウォレットを通じて操作する必要があります。ここには多くの側面が関係していることがわかります。セキュリティについて言えば、セキュリティ攻撃と防御の難しさは、システムのセキュリティレベルはシステム内の最短のボードに依存するため、防御時にはシステムに欠陥がないようにする必要があることです。攻撃者は、システムの適切に構築された部分に侵入する必要はありません。システムの最も弱いポイントを見つけて、そのポイントを通じて攻撃を開始するだけで、プロセス全体が完了します。 Bybit の場合、攻撃プロセス全体は次のようになります。まず、スマートコントラクトのウォレットであるBybit SAFEウォレットに多くの資産が含まれていることが判明したため、これは標的型攻撃であると判断される可能性があります。彼らが選んだターゲットは SAFE ウォレットの開発者です。先ほど述べたように、最終的には誰が操作するにしても、資産を操作するには SAFE が提供する UI インターフェイス、つまり Web サイトを経由する必要があるからです。ソーシャルエンジニアリングなどの手段で開発者のコンピュータに侵入し、開発者にSAFEのWebサイトに悪意のあるコードを展開させ、誰かがSAFEのWebサイトにアクセスしてウォレットを操作すると、表示される操作動作がチェーン上の実際の操作動作と一致しないが、一般ユーザーにはそれがわからないとしたらどうなるでしょうか。たとえば、一般ユーザーが銀行のアプリで操作すると、銀行のアプリで 100 元の送金が表示されますが、実際には 900 元が送金されています。しかし、このアプリで見たのは 100 元の送金であるため、わかりません。 APPの開発者やSAFEウォレットの開発者に侵入し、ウォレット内の操作者が見る操作インターフェースを実際の動作ルールと矛盾させると、攻撃プロセス全体を完了することができます。実際、このようにも行われます。では、この開発者の許可をどうやって取得できるのでしょうか?攻撃プロセス全体は、いくつかのソーシャルエンジニアリング攻撃を通じて完了しました。この場合、SAFE 開発者がハッキングされたとしても、実際には他の機会が残っています。たとえば、ウォレットが署名時に署名されたトランザクションの内容を伝えることができ、それが Web サイトで表示されるトランザクションと一致しない場合、実際に可能性があります。過去には多くの銀行が U シールドを採用していました。経験があれば、U シールドのボタンを押すと、500 元が送金されていることを示す表示画面が表示されることがわかります。 Uシールドデバイスで確認することができます。実際にこの問題は解決します。なぜなら、たとえ私のアプリが攻撃されたとしても、アプリは100元を送金したと伝えますが、最後に確認しようとすると、Uシールドは500元を送金したと伝え、矛盾が見つかるからです。特に Bybit の場合、署名ウォレットに優れたリマインダー機能があれば、実際にそのような攻撃を防ぐことができます。しかし残念なことに、この場合、署名ハードウェアウォレットのパフォーマンスは特に良好ではありませんでした。 SAFE の UI がハッキングされた後、悪意のあるアップグレードトランザクションが署名され、その後、攻撃者がウォレットを乗っ取って 15 億ドルを送金しました。これは私に深い印象を残したものです。この事件から得られた一つの発見は、多額の資金を扱う場合には相互検証が必要であるということだ。単一のプロバイダーまたは単一のポイントが伝える情報を信頼することはできません。単一のベンダーまたは単一のインターフェースから情報を得ることに依存している場合、それが侵害されると、システムリンクは失われます。したがって、相互検証が必要になります。あなたが見ているものが第三者の観点から見て真実であるかどうかを確認するために、第三者の協力が必要です。このような場合、リスクはさらに軽減されます。

ソーシャルワーカーの攻撃の経験

アレックス:今おっしゃったケースでは、「ソーシャルエンジニアリング攻撃」という用語があります。おそらく、すべてのリスナーがこの概念の意味を理解できるわけではないでしょう。説明していただけますか？

周亜進：ソーシャルエンジニアリング攻撃の正式名称はソーシャルエンジニアリング攻撃です。技術的な手段ではなく、あなたの仕事の習慣、対人関係、職務責任などを利用して、あなたに対する一連の攻撃方法を設計します。私が個人的に経験したソーシャルワーカーによる攻撃の例を挙げると、皆さんにも理解しやすくなります。 BlockSeo の CEO として、私は頻繁に情報を受け取りますが、それは主に 2 つのカテゴリに分類されます。最初のカテゴリは、ポッドキャスト、カンファレンス、インタビューへの参加への招待です。 2 番目のカテゴリは、投資機関です。これらの機関は、お客様に連絡して、投資機会についてお知らせします。かつて、会社のメールアカウントを通じて、投資機関の人間であり、投資機会について話し合いたいと言っているメールを送ってきた人に会ったことがあります。当社のセキュリティ意識は非常に強いです。私たちは彼の電子メールとドメイン名を観察し、時には彼の会社のウェブサイトや投資プロフィールを見るために身元調査を行います。背景調査を行った後、これまで聞いたことのない組織であるにもかかわらず、非常に評判の良い組織であることがわかったので、カレンダーで予約を入れました。しかし、この時点で最初の奇妙な現象が起こったことに気づくでしょう。カレンダーで会議をスケジュールしても、会議リンクは提供されません。会議をスケジュールするときは、通常、Zoom、Google Meet、またはその他の会議ソフトウェアに接続します。しかし、彼は会議のリンクを提供しておらず、予約のみを提供していました。会議の時間になったら、彼にメールを送り、すでに会議が始まっているので会議リンクを送ってほしいと伝えます。彼はすぐにあなたに会議リンクを送信します。リンクをクリックすると、奇妙なことに気づくでしょう。ソフトウェアをダウンロードするように求められます。あなたがこの時点で経験不足で、今後の会議に不安を感じている場合、彼はあなたの不安を利用し、電子メールであなたを催促し続け、電子メールであなたを攻撃するでしょう。あなたはこの機会を逃さず利用したいと思い、ためらうことなくソフトウェアをインストールするかもしれませんが、実際にはそれは、コンピュータに保存されている秘密鍵を盗む悪意のあるコンポーネントを含むビデオ会議です。これは私が実際に経験したソーシャルエンジニアリング攻撃です。つまり、攻撃者は会議前の私の不安を利用して、会社での私の立場と職務を狙っていたことがわかります。

アレックス：数日前、業界で大きな注目を集めたイベントを見ました。あるプロトコルの創設者は、オフラインパーティーに参加していたとき、携帯電話を10分ほど離したところ、携帯電話のウォレットに入っていた数百万元ほどが盗まれたと語った。この攻撃が彼の携帯電話が手元にないときに発生したと仮定すると、これもソーシャルエンジニアリング攻撃の一種でしょうか?

周亜進:はい、これはソーシャルエンジニアリング攻撃の一種だと思いますが、通常の意味でのソーシャルエンジニアリング攻撃とは少し異なります。なぜなら、この場合、彼の携帯電話は一定期間だけ彼から離れていたからです。もちろん、他の人が彼を招待したり近づいたりする主な目的は彼の携帯電話を奪うことかもしれませんが、携帯電話を手に入れた後、携帯電話のロックを解除して中の資金を取り出すには、実際には非常に強力な技術的サポートが必要です。

ブロックチェーンプロトコルとやりとりする際のセキュリティ原則

アレックス：なるほど。先ほど、代表的な重大なセキュリティインシデントについていくつかお話ししました。さて、私たちのような一般人がブロックチェーンプロトコルとやり取りする場面に戻りましょう。あなたが言ったように、あなたが以前に担当したプロジェクトの多くは Defi プロトコルであり、私たちの多くもチェーン上でやり取りするときに Defi プロトコルを使用しています。これらの Defi プロトコルや他のプロトコルとやり取りする場合、従う必要のあるセキュリティ原則はありますか?一般ユーザーのほとんどはコードを読む能力がなく、署名された情報を読むことさえできない可能性があると思います。この場合、このリスクを最小限に抑えるにはどうすればよいでしょうか?

周亜進：一般ユーザーがオンチェーン取引をしたい場合、まずプロジェクト関係者の身元調査を行う必要があると思います。これはかなり重要だと思います。少額の資金でチェーンプロジェクトに投資して試してみたいという場合は大丈夫かもしれません。しかし、あなたが真剣にオンチェーンプロトコルに投資したい投資家であると主張する場合、資本の量が比較的大きいため、プロジェクトパーティに対してより適切なデューデリジェンスを実施する必要があるかもしれません。ここでのデューデリジェンスは、基本的に以下のレベルに分けられます。最初のレベルは、このプロジェクトの創設者が誰であるか、そしてその創設者が匿名であるかどうかを示すことです。一部のオンチェーンプロトコルは匿名プロトコルプロジェクトであるためです。プロトコルの品質を知る必要があり、公に知られている創設者が誰であるか、そしてその創設者がプロジェクトを堅牢化してきた経歴があるかどうかを知る必要があります。これはとても重要です。つまり、まず契約書自体の構成と設立者の身元について背景調査を行う必要があります。 2 番目のポイントは、プロジェクトパーティ自体の技術的能力について背景調査を行う必要があるということです。プロジェクトが大手セキュリティ会社によって監査されているかどうかを確認できます。先ほどおっしゃったように、多くのユーザーはテクノロジーやコードを理解しておらず、監査レポートを理解できないかもしれませんが、監査レポートをダウンロードして、いくつかの重要なポイントを簡単に確認することはできます。たとえば、どの企業が監査を実施したか、その企業の評判はどうか、レポートに重大なセキュリティ上の抜け穴があるかなどです。報告書で中核的なセキュリティ脆弱性が発見されたからといって、必ずしもプロトコルが安全でないことを意味するわけではありません。むしろ、セキュリティ会社がより熱心に取り組んでセキュリティ上の脆弱性を発見し、プロジェクト全体のセキュリティリスクを軽減する可能性があることを意味します。私たちはこの問題を弁証法的に見なければなりません。プロジェクト関係者の身元調査を済ませた後は、基本的に段階的なアプローチで関係者とやり取りする必要があります。一度に多額の資金を投資しないでください。依然として比較的高いリスクが伴います。もう 1 つは、攻撃監視、ツール、プラットフォームなどの専門的なセキュリティツールを使用する必要があることです。多額の資本をお持ちの場合は、投資するプロトコルのセキュリティリスクを常に認識しておく必要があります。当社の Phalcon プラットフォームなどの一部のプラットフォームを通じて、投資するプロトコルの全体的なセキュリティを監視できます。資本の少ないユーザーにとって、オンチェーン取引を行う際に警戒すべき主なリスクはフィッシングだと思います。結局のところ、プロトコルが攻撃される可能性は比較的低いですが、チェーン上のフィッシングや認証などのリスクは、一般ユーザーがチェーン上にいる限りいつでも発生する可能性があります。こうしたリスクを防ぐためには、空から何も降ってこないのだから欲張り過ぎないようにしましょう。やり取りをする際は、それが公式の Web サイトであり、模倣 Web サイトではないことを確認してください。公式サイトであることを確認する方法については、やはり一定の情報収集・整理能力が必要になるかもしれません。もちろん、セキュリティツールを使用してフィッシング Web サイトを識別することもできます。この方法で、いくつかのリスクを回避できます。

アレックス:事件に気づきました。数日前、Binance は多くのプロジェクトのトークンを削除し、提供できるオペレーションが基準を満たしていないため、それらを削除しました。するとプロジェクト側は、さまざまな問題により、今後プロジェクトは運営されず、半ば放棄された状態になるだろうと発言した。したがって、このユーザーが 1、2 年前に DeFi プロトコルを使用した可能性があると仮定しましょう。現在、このプロトコルを担当する人は誰もおらず、コードをアップグレードする権限が誰にあるかは誰も知りません。このような特定のケースでは、アップグレード権限が適切に管理されていないため、ハッカーや悪意のある人物によって取得される可能性があります。以前の承認がキャンセルされない場合、ウォレット内の資金はこれらの後続の影響によって危険にさらされることになります。

周亜金：はい、それも可能です。特に、先ほどおっしゃったように、ユーザーが何らかのプロトコルに資金を承認し、これらのプロトコルとスマートコントラクトが維持されなくなった場合、承認が取り消されなければ、実際にセキュリティ上のリスクが発生する可能性があります。この問題の解決策としては、一般ユーザーに対して定期的に権限を確認することを常に推奨してきました。使用していない承認を取り消すことができます。多くのユーザーは、自分がどのプロジェクトを承認したか知らない場合があります。私たちは、認可診断ツールと呼ばれるツールを開発しました。アドレスを入力すると、このアドレスがどのプロトコルに対して承認されているかがわかります。多くのユーザーが実際には数十のプロトコルを承認しており、その多くは現在非アクティブになっていることがわかりました。これらの非アクティブなプロトコルやセキュリティがアップグレードされていないプロトコルには、セキュリティ上の脆弱性がある可能性があります。セキュリティ上の抜け穴がある限り、あなたが承認したプロトコルの抜け穴を通じて他人があなたの資金を送金することができ、これは実際には非常に大きなリスクです。

アレックス：なるほど。やり取りの安全性についてもう一つ質問があります。過去に攻撃を受けたことがある DeFi プロトコルやその他のプロトコルにかかわらず、DEX に対する盗難や攻撃の数は、貸付やステーキングに比べて比較的少ないことがわかりました。これは、これら 2 種類のプロトコルのスマートコントラクトの種類と関係があるのでしょうか?それとも別の理由があるのでしょうか?

周亜進：その通りです。相対的に言えば、DEX のセキュリティリスクは、他のレンディング、イールドファーミング、一部の金融デリバティブプロトコルよりも低くなります。まず、DEX の全体的なプロトコルは比較的単純であり、チェーン上の DEX におけるプロトコルは xy=k などの定数積です。もちろん、Uniswap V3 は少し異なりますが、その基本的な中核は定数積式です。まず第一に、そのプロトコルはシンプルであり、第二に、Uniswap という非常に優れた参照例がすでに存在します。多くの DEX は Uniswap からフォークされているため、チェーン上に DEX を展開するにはいくつかの簡単な変更を加えるだけで済みます。全体的なセキュリティリスクの位置付けは低くなります。ただし、レンディング、イールドファーミング、その他のレバレッジレンディング、およびより複雑な機能を備えた一部のプロトコルの場合、プロトコル自体の設計は比較的複雑です。たとえば、貸付プラットフォームを構築する場合、原理的には資産 A を預けて資産 B を貸し出すことになります。資産全体の健全性を私が管理していれば、すべてうまくいきます。しかし、たとえば、担保としてサポートしたい資産の種類、資産の価格変動、レバレッジをサポートしたい場合、ユーザーが返済したとしても全体的な健全性が維持されることを常にどのように保証できるでしょうか?プロトコル自体の複雑さは比較的高いため、これらのプロトコルが攻撃される可能性が高くなります。これが第一の理由だと思います。 2つ目の理由は、DEX自体がお金を保管しないということです。もちろん、DEX 内のお金は流動性プロバイダーによって提供され、つまり、流動性を提供するお金がそこに入れられます。実際に DEX を使用する場合は、スワップしてトークン A を入れるだけで、トークン B はすぐに戻ってくるので、資産は DEX プールにはありません。 DEX のプールが攻撃されたとしても、ほとんどのユーザーはお金を失うことはありませんが、流動性を提供するユーザーは損失を被ることになります。しかし、貸付プラットフォームと他のプラットフォームでは異なります。あなたの資産は実際にそこに預けられており、過剰担保されています。他にもより複雑なプロトコルがある場合は、その中に多くのユーザーの資産が保持されることになります。攻撃を受けた後、被害を受けるユーザーのグループは比較的大きくなります。これが2番目の理由だと思います。

さらに、DEX が過去に攻撃されたことも判明しました。攻撃された理由は比較的単純です。まず第一に、DEX のリスク露出は実際には認可にあります。スワップを行う場合は、DEX のルーティングコントラクトに独自のトークンを承認する必要があります。ルーティングコントラクトはお金を保管するものではありませんが、ルーティングコントラクトに任意の実行の脆弱性がある場合、DEX を承認したすべてのユーザーの資金が奪われる可能性があります。最も大きな損失を引き起こした DEX の脆弱性は主にこのタイプであることがわかりましたが、このタイプは比較的簡単に検出できます。監査人が比較的有能であれば、実際に検出するのは非常に簡単です。

アレックス:では、先ほどおっしゃった認証の脆弱性の場合、監査会社が DEX にそのような恣意的な実行権限があることを発見した場合、通常はそれが不合理であるとアドバイスしたり、レポートを公開する際に全員にそのことを思い出させたりするのでしょうか?

周亜進：はい、これは抜け穴であり、不合理であるに違いありません。セキュリティ会社がこれを監査する場合、これは非常に重大な脆弱性であるため、修正する必要があります。

ブロックチェーンセキュリティ業界の現状と可能性

アレックス:さて、私たちはセキュリティ攻撃と防御、そして個人資産のセキュリティを保護する方法に関する具体的な問題についてたくさん話しました。今日は最後の質問、ブロックチェーンセキュリティ業界の状況についてお話ししましょう。おっしゃる通り、2021年と2022年にはDeFiの数が多いため、ブロックチェーン・セキュリティ業界の顧客数は非常に多くなります。では、今年現在、セキュリティ業界の規模はどのくらいなのでしょうか?開発状況と利益レベルはどうですか?

周亜進：これは非常に良い質問です。私たちはブロックチェーンセキュリティ業界に携わっているため、会社をより発展させるためには、業界の現在の段階と限界がどこにあるかを常に把握しておく必要があります。現時点では、ブロックチェーンセキュリティ業界全体の時価総額に関する認められたデータは実際には存在しません。しかし、ネット上にはいくつかのレポートがあり、また独自の推計によると、ブロックチェーンセキュリティの業界全体の規模は年間約30億ドルだと考えられています。この規模は、従来のサイバーセキュリティ業界と比較すると、実のところ比較的小さいものです。たとえば、2024 年には、従来のサイバーセキュリティの規模は約 1,000 億米ドルになるはずです。実は、1,000ドルと30億ドルの間には大きな隔たりがあります。ブロックチェーンセキュリティは本質的にブロックチェーン業界に役立つ安全な製品とサービスであるため、これは業界全体の現在の開発状況に関係していると思います。ブロックチェーン業界全体は、実はまだ初期段階にあります。例えば、それ以前の比較的良好な発展期は、いくつかの新しいイノベーションが生まれたDefi Summerの期間でした。Defi Summerの金融イノベーションブームの後、過去1〜2年間は特に優れた革新的なものは出てこなかったようで、ブロックチェーン業界全体の規模は実際に2022年に最高のTVLに達しました。当時のブロックチェーンセキュリティ全体の最高TVLレベルは1,770億ドル、つまり1,000億ドル以上だったと記憶しています。しかし今日、このプログラムに参加する前に、データを見てみました。現在のTVLは990億で、ピーク時の半分強です。その結果、我が国のブロックチェーン業界の発展はボトルネックに遭遇したようです。

しかし同時に、私たちはこの業界に新たな可能性も発見しました。それは、伝統的な金融機関が徐々にこの業界に参入し始めているということです。伝統的な金融機関がこの業界に参入しつつある兆候がいくつかあります。たとえば、従来の銀行はチェーン上でステーブルコインを発行しており、これは規制に準拠しています。 Stripe などの従来の決済プロバイダーは暗号通貨による決済をサポートしています。一部の越境決済では、従来の越境電子商取引が直面する決済問題を解決するために暗号通貨を使用しています。したがって、2021年と2022年のDeFiサマーのようなTVLの新たな高値を引き起こしたイノベーションはないものの、現実のシナリオのニーズを持つ従来の金融機関や商人がこの業界に参入しており、参入後は業界全体にコンプライアンスをもたらすことになるでしょう。業界がさらに成長したいのであれば、規制の枠組みとシステムに準拠して発展しなければなりません。これは、ここ 1 ～ 2 年で見られるチャンスだと思います。したがって、一般的に言えば、ブロックチェーンセキュリティの全体的な産業規模はまだ比較的小さく、まだ初期段階にあります。しかし、伝統的な金融機関の参入や、監督とコンプライアンスの強化により、この分野で爆発的な成長を遂げる可能性は依然として比較的大きいと考えています。これは私自身の観察です。

大手セキュリティ会社の堀

アレックス：わかりました。 2021年と2022年は、ブロックチェーンセキュリティ企業、特にスマートコントラクト監査を行っている企業が非常に収益を上げていたように思え、非常に印象に残っています。有名なセキュリティ会社でも、順番を飛ばして監査を迅速に手配できれば、それは特権であると考えるところもあります。大手セキュリティ企業の主な防御壁は何だと思いますか?

周亜進：いくつかポイントがあると思います。最初のポイントはブランドと信頼についてです。特にセキュリティ監査は、実は非常に強力なブランド認知度を必要とするサービスです。先ほどおっしゃったように、以前市場が好調だった頃は監査が非常に人気があり、待つのに長い時間がかかることもありました。実際、これは今日の大手セキュリティ監査会社でも同様です。プロジェクト関係者が監査に来たときに、すぐに人材が用意できるわけではありません。ブランド効果を持つ大手セキュリティ企業は、依然として供給が需要を上回る状況にあります。ですから、堀とはブランドと信頼であると私は考えます。ブロックチェーンセキュリティ業界でより良いブランドイメージを確立する方法と、そのブランドの背後にある信頼 (その信頼がユーザー、プロジェクト関係者、その他の参加者から得られるかどうかにかかわらず) は非常に重要です。 2 点目は、安全で革新的な技術の必要性です。ブロックチェーンのセキュリティ問題を解決し、セキュリティ監査を実施する以外に、補完する必要のあるソリューションは本当にないのでしょうか?セキュリティ監査は、プロジェクトのスマートコントラクトがチェーンに展開される前にセキュリティレビューを実施するという問題のみを解決できます。ただし、プロジェクトが実際に開始された後、プロジェクト関係者がパラメータを変更したり、日常的な設定を行ったりする場合があります。キューイングやコストを考慮し、毎日のアップグレードは監査されません。つまり、スマートコントラクトがデプロイされた後には、さまざまな理由によりセキュリティ上の問題が多数発生します。このような問題を解決するには、セキュリティ監査だけに頼ることはできません。このような問題を解決するには、革新的なセキュリティ技術と製品が必要です。これは、BlockSec と他のブロックチェーンセキュリティ作業との大きな違いでもあると思います。プロトコルがオンラインになる前のスマートコントラクトのセキュリティのためのセキュリティ監査サービスに加えて、スマートコントラクトがオンラインになった後の攻撃の監視とブロックをカバーできるプラットフォームも備えています。また、インテリジェント監査と攻撃監視の両方を備え、スマートコントラクトのライフサイクル全体をカバーできる世界で唯一のブロックチェーンセキュリティ企業でもあります。これはとても重要です。この市場でユーザーが本当に問題を解決できる、安全で革新的なテクノロジーと製品が必要です。 3 番目のポイントは、コンプライアンス、規制、地政学的影響です。暗号通貨業界は、大規模な開発機会を得るために、最終的には規制に準拠する必要があります。誰もがこの見解に同意するわけではありませんが、私たちはこの業界に長年携わっており、この業界が発展するためには、伝統的な古い資金をこの業界に引き付けるために、業界が公然と、コンプライアンスと規制のシステムの下で運営されなければならないことを理解しています。このような状況では、規制に準拠した製品とサービスを事前に準備する必要があります。コンプライアンスおよび規制製品サービスでは、業界の規制ポリシーとコンプライアンス要件を比較的深く理解し、それを製品に変換できることが求められます。もう一つのいわゆる地政学的影響は、一部の地域がサプライヤーを選択する際に、実際に地政学的考慮事項を考慮に入れることです。たとえば、香港の規制当局は米国以外のサプライヤーからの製品を優先する場合があります。したがって、規制ポリシーのコンプライアンスを深く理解し、より優れた製品を持ち、地政学的影響力も持つことができれば、これがブロックチェーンセキュリティ企業の堀となると思います。

アレックス:分かりました。本日は、特定のセキュリティインシデントから、誰もが注意を払う必要のあるセキュリティ原則、業界全体の開発規模まで、さまざまな観点から暗号化セキュリティについて議論します。本日は私たちの番組にお越しいただき、これらの洞察を共有していただいた周亜進さんに心より感謝いたします。今後、さらに関連した話題についてお話しする機会があれば幸いです。

周亜金：ありがとう、アレックス。