A16zクリプトは、「スペックは法則である」と主張し、6億4900万ドル分のエクスプロイトの後、DeFiのセキュリティ改善に取り組む

a16z Cryptoによると、1680億ドル規模のセクターが成熟するには、DeFiプロトコルは「ハッキング後のパッチ」セキュリティを超えて、ソフトウェアに安全保証をハードコードする必要がある。 1月11日の投稿で、同社の上級セキュリティリサーチャーであるパク・デジュン氏は、 主張した DeFiの開発者は、試行錯誤に頼るのではなく、セキュリティに関してより原則的なアプローチを採用すべきである。 この転換の核心は、プロトコルが行えることを制約する標準化された仕様の利用にある。そして、事前に定義された正しい行動に関する仮定に違反するトランザクションは自動的に元に戻される。パク氏はこう述べた。 「これまでに起きたほぼすべての攻撃は、実行中にこれらのチェックのいずれかに引っかかって、ハッキングを阻止する可能性があった」とパク氏は語った。「したがって、かつて人気のあった『コードが法である』という考えは、『仕様が法である』という考えへと進化していく」。 このような考え方は、実行時強制または不変条件チェックと呼ばれることもあり、新しいものではない。しかし、DeFiプロトコルがコード内のバグを悪用するハッカーから自分たちを守ろうと苦労している現在、新たな注目を集めている。 昨年、ハッカーが スワイプした ブロックチェーンセキュリティ企業スロウミストの報告書によると、コードの悪用によって6億4,900万ドル以上が流出した。2021年からイーサリアムブロックチェーン上で稼働しているという、バランサーやいったんは実績のあるプロトコルでさえも例外ではなかった。 ロスト 12月にハッカーがコードのバグを悪用して1億2,800万ドルを盗んだ。 最近の数か月間、DeFiの開発者は、ハッカーが人工知能をますます活用してDeFiプロトコルの脆弱性を発見し、それを悪用していることを恐れている。 「銀の弾ではない」 パク氏の提案が広く採用されれば、悪用行為の防止に大きく貢献する可能性がある。しかし、それには欠点もある。 イムニューフィのセキュリティ責任者であるゴンサロ・マガライャス氏は、「DeFiプロトコルは、多くの場合、最も安い手数料を提供することで競合に勝っている。トランザクションに追加のチェックを加えると、ガス代が増加し、ユーザーを失う恐れがある」と語った。 DL ニュースマガリャエス氏は不変性チェックが優れたセキュリティ戦略であると述べたが、それらはすべてをカバーすることはできない—特にプロトコルの開発者が合理的に予測できないエクスプロイトについてはそうである。「銀の弾丸ではない」と彼は述べた。 暗号通貨セキュリティ企業であるAsymmetric Researchの共同創設者であるフェリックス・ヴィルヘルム氏は、チェックを適切に機能させるのは難しいと語った。 DL ニュース「多くの脆弱性や現実世界でのハッキングにおいては、通常の運用下で誤検知することなくハッキングを検出する不変条件を記述するのは困難であり、場合によっては不可能です。」と彼は述べました。 ウィルヘルム氏は、ランタイム強制がプロトコルセキュリティにおいて重要な要素であると語りました。しかし、これは通常、短期間のタイムフレームで資金の異常な流れなどを検出するための異常検知に使われます。 「これは役立つものの、多くの場合、攻撃を完全に阻止するのではなく、被害の拡大を抑えるか、チームに通知するだけにとどまっています。」と彼は述べました。 多くのプロトコルがすでに不変条件チェックを採用しています。 ソラナベースのローンプロトコルであるカミノは、すでに チェック中 昨年3月にCertora Proverを使用して重要な不変条件を検証しました。 120億ドルのXRPトークンの裏にあるブロックチェーンであるXRP Ledgerも、不変条件のチェックを実装しています。ブロックチェーンの開発者は 言った チェックが必要なのは、XRP Ledgerが複雑であり、コードが誤って実行される可能性が高いためです。 「不変条件はトリガーしてはいけませんが、まだ発見されていない、あるいはこれから作られるであろうバグからXRP Ledgerの整合性を保証します。」とXRP Ledgerの開発者は述べました。 ティム・クレイグ氏は、DLニュースのエディンバラを拠点とするDeFi担当記者です。ヒントを送る場合は tim@dlnews.com。