Web3 のサイバーセキュリティ: 時流に安全に乗る方法

最近、 Forresterの新しいレポートに出くわしました。「Web3 アプリケーション (NFT を含む) は攻撃に対して脆弱であるだけでなく、従来のアプリケーションよりも (ブロックチェーンの分散型の性質により) より広範な攻撃面を提示することがよくあります。」

この発見により、私は Web3 の専門家と話をして、Web3 のサイバーセキュリティ スペースを深く掘り下げ、どのようなリスクが存在し、 約 30 億ドル(2021 年現在) の価値がある市場を悩ませる可能性があるかを確認するようになりました。

仮想通貨、DeFi、NFT の企業を構築、保護、資金提供するベンチャー スタジオ、 Zokyoの創設者兼 CEO であるHartej Sawhney氏に連絡を取りました。 Hartej は、Web3 業界のパイオニアとして、デジタル資産エコシステムの標準を高め、セキュリティ、透明性、およびコンプライアンスの業界ベンチマークを設定する製品とサービスを導入する上で重要な役割を果たしてきました。

特に、スマート コントラクトの監査中に特定された一般的なサイバーセキュリティの脆弱性、web3 関連のサイバー詐欺におけるソーシャル エンジニアリングの役割、web3 アプリケーション開発に投資する前に考慮すべきサイバーセキュリティ リスク、NFT を保護する方法、およびもっと。

会話を楽しもう！

Hartej さん、あなた自身について、またどのようにしてブロックチェーン/web3 セキュリティの専門家になったのか教えていただけますか?

もちろん！ 2013 年にラスベガスに住んでいたとき、仮想通貨に真剣に取り組みました。当時、私は Zuldi というフィンテックのスタートアップを経営していました。これは、食品および飲料の従来の PoS システムと統合されたモバイル POS (POS) ソリューションです。

2016 年、私はブロックチェーンとサイバーセキュリティの交差点に立つ会社を作るというビジョンを持って、「クリプト OG」である Yo Sub Kwon と共に Hosho を共同設立しました。

当時、この交差点に座っている会社は世界中にありませんでした。もちろん、一部の企業は、より大きなエンティティ内に別の部門を切り開いて、スマート コントラクトの監査に重点を置いています。それでも、「暗号化/Web3 サイバーセキュリティ企業」と自称し、ソース コードとスマート コントラクトの監査以上のものをカバーする企業は 1 つもありませんでした。とはいえ、情報セキュリティ、運用セキュリティ、侵入テスト、コンプライアンス全般などを専門とする会社はありませんでした。

私たちはHoshoを非常に速く築き上げました。米国ラスベガスを拠点とする私たちは、すぐに 37 人のチームに成長し、会社の最初の 12 か月で約 400 万ドルの収益を上げました。私たちはリモート ファーストではなく、ほとんどの従業員はラスベガスを拠点としていました。そのアプローチから多くの教訓を学びました。

スマート コントラクト監査人が独自のトークンを必要とする理由が思いつかなかったので、ICO を開始しませんでした。そのため、独自のトークンを発行することはなく、ベンチャー キャピタルを調達しないことに決めました。特に当時はそうでした。これは主に、当社が独自の製品を構築していないという事実によるものです。私たちの核心は、依然としてサービス指向のビジネスであり、シリコンバレーのベンチャーキャピタリストにとってあまり魅力的ではありませんでした。

2018 年に仮想通貨市場が暴落し、スマート コントラクトの監査に対するすべての需要が本質的に消滅しました。私たちは、ラスベガスのオフィスで働いている有名で評判の良いホワイト ハット ハッカーの高価なチームを維持できませんでした。そのため、悲劇的なことに、私たちは全員を手放し、チームを解雇しなければなりませんでした。

その後まもなく、ラスベガスからウクライナのキエフに引っ越しました。 2 か月以内に、私は Zokyo をセットアップし、ウクライナを拠点とするスマート コントラクト監査人を雇用し始めました。 Zokyo のランディング ページを作成し、スマート コントラクトの監査を開始しました。弱気相場の間、作業は ICO のスマート コントラクトの監査から、レイヤー 1 ブロックチェーンのチャンクの監査に変わりました。

いつの間にか DeFi の夏がやってきて、スマート コントラクト監査の需要が戻ってきました。当時、私は世界中を旅し、主要なブロックチェーンと仮想通貨のカンファレンスで講演し、すべての主要な地域で最高のブロックチェーン ビルダーを厳選したプライベート イベントを開催しました。この事実と Hosho での実績のおかげで、サイバーセキュリティ ソリューション、特にスマート コントラクトの監査を求める企業から連絡を受けるまでに時間はかかりませんでした。

スマート コントラクトを監査すると、サイバーセキュリティの脆弱性が見つかることがよくありますか?スマート コントラクトに対する最も一般的なサイバー攻撃の種類は何ですか?また、監査中のスマート コントラクトに抜け穴が見つかった場合はどうしますか?

スマート コントラクトを監査すると、再入可能性、悪意のあるライブラリ、 ERC20 API 違反、暗黙の可視性レベル、安全でない型推論、ブロック ガス制限による DoS 、タイムスタンプ依存性などの脆弱性に遭遇することがあります。潜在的な脆弱性に遭遇するたびに、調査結果を開発チームと共有し、修正する機会を提供します。チームが特定されたすべての脆弱性を修正したら、スマート コントラクトを再度監査します。

ほとんどの場合、ベテランの開発者は、何年にもわたって犯した最も一般的な間違いから教訓を学び、それを繰り返さないようにしています。

現在、重大な脆弱性のほとんどは、開発者がコードを書くときに考慮していないコントラクトおよびエッジ ケースの基礎となるビジネス ロジックに起因しています。これが、行ごとの手動コード レビューを実施することが重要な理由です。

一般に、スマート コントラクトが Zokyo の監査に見事に合格するには、何が必要でしょうか?

監査に合格したスマート コントラクトは、ベスト プラクティスを実装し、特別な権限を持つコントラクト所有者を持ちません。たとえば、ブラック スワン イベントが発生した場合の問題を軽減する可能性のある堅牢な設計 — 所有権の点で分散化されており、アクターが実装やロジックに対して過度の権限や制御を持たないようにします。

95% または 100% のカバレッジで単体テストを実施することが重要です。チームは、重大度レベルに関係なく、推奨事項に基づいてすべてのバグを修正します。また、将来の開発計画と、それらが実際の製品にどのように影響するかについて、オープンな議論を行います.

web3 アプリケーション、分散型プラットフォーム、またはトークンの構築に投資する前に、どのようなサイバーセキュリティ リスクを考慮する必要がありますか?

投資する前に、評判の良いチームメンバーと複数の同時監査に参加することが重要です。高レベルから製品の設計またはロジックを理解するには、監査レポートを検討する必要があります。まず、監査レポートがコミュニティ用に、2 番目に投資家用に、3 番目に開発チーム用に作成されます。

Web2 とは対照的に、Web3 は応答性よりも予防的なセキュリティを要求するというのは本当ですか?なんで？

Web3 トランザクションは不変です。したがって、一度発生すると元に戻すことはできません。これにより、財務上の影響が重大になる可能性があるため、予防的なセキュリティが web3 にとって重要になります。そのため、これは web2 の反応的な検出と応答のセキュリティ モデルからの逸脱です。

ブロックチェーン ネットワークは、デジタル資産や多くの場合有形資産が管理されているため、サイバー犯罪者にとって特に魅力的な標的です。 Zokyo での直接の経験に基づいて、web3 でアイス フィッシングなどのソーシャル エンジニアリング詐欺の使用が増加していると思いますか?はいの場合、web3 のセキュリティへの影響と、それらとどのように戦うべきかについて詳しく教えていただけますか?

ソーシャル エンジニアリング攻撃は、業界を悩ませ続けています。ただし、web3 のソーシャル エンジニアリングは少し異なります。攻撃者は、フィッシング メールを送信する代わりに、人気のある Twitter アカウントを侵害し、無防備なユーザーに仮想通貨のプレゼント企画や NFT プロジェクトを宣伝することもあります。

最近、ハッカーが Sky Mavis の 4 つの Ronin バリデーターと Axie DAO が運営するサードパーティのバリデーターにアクセスするようになったのは、フィッシングが原因でした。

Web3 企業は、事後対応型のインシデント駆動型のセキュリティ アプローチを実装する余裕はありません。

企業は、初期段階の企業であっても、最高の基準とサイバー規制へのアプローチを提示するCISO カウンシルのハンドブックを活用するチーフ イノベーション セキュリティ オフィサー (CISO) を雇う必要があります。 CISO ハンドブックは、最も重要なフレームワークの 1 つである、米国商務省の NIST (国立標準技術研究所) をカバーしています。

Layer Zero などの有名なプロジェクトに投資している Tier1 暗号ファンドの中に Zokyo を見ました。投資先の企業をどのように選んでいますか？また、現在最も活況を呈している web3 セクターはどれですか?

Zokyo は、多くの一流の投資会社と密接に提携しており、プロジェクトの技術的およびセキュリティ投資の精査を行うための社内の専門知識とリソースを構築してきました。私たちが投資する企業は、質的および量的デューデリジェンスの両方に合格しています。私たちは、技術アーキテクチャ、エンジニアリング スマート コントラクト、トークン エコノミクスの設計とレビュー、およびサイバーセキュリティを備えた一連の初期段階の企業をサポートしてきました。私たちの投資の焦点の多くは、コア暗号インフラストラクチャに向けられています。

Hartej さん、LinkedIn では、あなたは自分のことを「NFT ホーダー」と呼んでいます。 NFT のコレクションを保持することに関して、個人的に最も気にかけているサイバーセキュリティのリスクは何ですか?また、web3 詐欺からどのように保護できますか?

悲しいことに、2022 年には、NFT 犯罪による損失が 6 倍以上に増加しました。私が見た NFT 犯罪のほとんどは、ストレージやシード フレーズとは関係のない悪意のある署名/エラーです。

NFT の問題は、インタラクティブであることを意図していることです。それらを単にボールトすることはできません。多くの場合、ハードウェア ウォレットの使用を勧められます。それでも、Ledger などのハードウェア ウォレットは、悪意のあるトランザクションに署名しているときにあなたを救うことはできません。

NFT ポートフォリオを保護するには、ホット ウォレット、コールド ウォレット、ボールト (2 つ目のハードウェア ウォレット) を使用する際の階層構造が必要です。ホット ウォレットを使用して NFT を作成し、コントラクトとやり取りします。特定の期間に NFT を作成/購入するために必要な資金のみが必要です。コールド ウォレットには、出品する資産を保管します。第 3 に、in/out トランザクションのみを実行するボールトがあります。それでも、このウォレットを Web サイトに接続したり、コントラクトとやり取りしたりすることはありません。

web3 でユーザーが管理するスペースに関しては、ユーザーが適切なサイバー衛生を実装して自分のデータとプライバシーを保護することに失敗した場合、他の実施メカニズムはほとんどない可能性が高いという声明があります.これは、web3 インフラストラクチャ自体のセキュリティに対する本質的なリスクを表しています。本当ですか？

ユーザーとして、特にこの分野では、サイバーセキュリティのベスト プラクティスに従う必要があります。 web3 の要点は、ユーザーに力を与え、完全に制御できるようにすることです。ただし、これはユーザーが自分のデータに対してより責任を持つようになるため、もろ刃の剣です。そのため、web3 では (web2 よりも多く)、フィッシング、キーロガー、マルウェアなどのソーシャル エンジニアリング攻撃は、web2 よりもはるかに破壊的である可能性があります。