DeFiの永続的なセキュリティ問題の責任者を特定する

DeFi製品にロックされた資産の総額が7月に2倍の40億ドルを超え、現在では分散型金融セクターは前例のない人気を獲得し続けています。 近づいています 50億ドルのマーク. 

同時に、資金への直接アクセスの誘惑を考えると、ユーザーや開発者の間でそのようなアプリケーションに対する需要が高まっているため、悪意のある人物の標的になっています。過去数か月の間に、ハッカーはDeFiプロジェクトから2700万ドル以上を盗み、近い将来、さらに多くの攻撃が行われると予想されています。この場合、DeFiセクターはセキュリティをイーサリアムに強く依存していますか？ETH2.0の発売により、その分野でさらに改善がもたらされますか？?

DeFiアプリはハッカーのための新しい暗号交換です

2023〜 2023年には、暗号交換がハッカー攻撃の最大の標的でしたが、2023年には、分散型の金融市場が注目を集めています。これは主に、プラットフォームのスマートコントラクトの脆弱性と技術的に不完全なセキュリティメカニズムによって可能になります。同時に、ハッキングの歴史が示すように、攻撃者は脆弱性だけでなく、ブロックチェーンのさまざまな正当な機能を使用して攻撃を実行します.

これは、皮肉にもDeFi保護に対処すると主張するプロトコルである8月の初めにハッカーがOpynを攻撃した方法です。プロジェクトのネイティブトークンの悪用により約371,000ドルが盗まれ、イーサリアムのプットオプションに対する二重支払い攻撃が実装され、ユーザーの資金へのアクセスが許可されました。.

以前は、スマートコントラクトコードの脆弱性により、別のDeFiプロジェクトハックが発生し、Lendf.me分散型貸付プロトコルと分散型暗号交換Uniswapから2,500万ドルが盗まれました。どちらの開発者セットも、ERC-777プロトコルの上に独自のアドオンを構築し、スマートコントラクトを再入可能攻撃に対して脆弱にしました。このような攻撃の間、ハッカーは元のトランザクションが承認または拒否されるまで、繰り返し資金を引き出します。.

コードの脆弱性が原因で、6月28日に別のハッキングが発生しました。ハッカーは、トークンデフレメカニズムを悪用して、BalancerプラットフォームからETHおよびその他のアルトコインで500,000ドル以上を盗み、送金ごとに取引金額の1％を破壊しました。.

イーサリアムのせいですか?

明らかに、DeFiプロジェクトのアキレス腱はスマートコントラクトコードのバグと脆弱性ですが、これについて正確に責任を負うのは何ですか？アプリを起動する前にコードを適切にテストまたは監査しないのはDeFi開発者ですか、それともイーサリアムのアーキテクチャに問題があるのでしょうか。つまり、プラットフォームにほとんど依存していません。?

一方、DeFi融資プラットフォームKavaLabsのCEOであるBrianKerrが以前にCointelegraphに語ったように、Solidityプログラミング言語では起こりうるバグをテストすることはほとんど不可能であるため、EthereumブロックチェーンのアーキテクチャはDeFiセクターのセキュリティ要求に対応できません。.

ただし、ほとんどのDeFiプラットフォームはEthereumブロックチェーンフレームワーク上に構築されているため、特にこれらの実験の結果が製品の最終バージョンのリリース前に徹底的に監査されていない場合は、元のソースコードを実験しており、ハッカーに門戸を開く可能性があります.

ConsenSysDiligenceのセキュリティエンジニア兼監査人であるShayanEskandari氏は、DeFiハッキングのほとんどは、プラットフォームの立ち上げ直前に開発者によって行われた変更が先行しているとCointelegraphに語った。たとえば、ERC-20が標準的な方法で実装されなかったり、一部の新しいトークンデザインで、ERC-20トークンの動作を変更する機能が追加され、予期しない問題が発生しました。 Eskandariによると、このような変更はバランサープール攻撃とLendf.meハッキングにつながりました.

これは、場合によっては、特定のプラットフォームで作業しているチームが責任を負うことを示唆しています。 Cointelegraphとの会話で、フルスタックのDeFiアグリゲーターであるPlutusDeFiのCEOであるArnieHillは、ほとんどのDeFi開発者は製品開発の初期段階にあるため、セキュリティに十分な注意を払っていないと述べました。スマートコントラクトのセキュリティではなく、ブロックチェーン上で融資サービスを構築する方法に焦点を当て、技術面と資本化にさらに注意を向けます。」

さらに、DeFi製品の複雑さは、彼らと残酷な冗談を言います, によると Digital CurrencyGroupの投資家であるLarrySukernik氏は、次のように述べています。「頭脳が大きく、仕事に取り掛かる必要のある人々がいます。そして、それらが機能するようになると、多くの場合、複雑で見事な、しかし非常に使用できない製品になります。」

Litecoin（LTC）の作成者であるCharlie Leeは以前、分散化はすべての責任であると主張していました。チームが攻撃の際にそれを制御または一時的に無効にすることができなかったため、分散化が実際にOpynオプションプロトコルのハッキングの理由でした.

ただし、業界が若いことを考えると、ハッカーの存在は当然のことです。それにもかかわらず、DeFiセクターが進化するにつれて、その開発者は増大するセキュリティリスクを非常に認識し、それらを減らすために取り組む必要があります。

「市場の拡大には、より深刻な保護メカニズムの使用と規制当局および監査人との協力が必要です。結局のところ、これはもはや単なるDAppのネットワークではなく、開発の初期段階にある数十億ドルの金融市場であり、したがって、デジタルの場合と同じように、ハッキングは避けられません。数年前の銀行業界。」 

最新によると 報告する 研究会社DgenがオープンソースのDeFiプロトコルAaveと共同で公開し、DeFiプロジェクトがハッキングの標的になって以来、開発者は紛争解決のためのサンドボックスと明確なフレームワークに取り組み始めました。アナリストはまた、スケーリングが現在DeFi開発者にとって最優先事項である限り、2016年のDAO事件と同様の大規模なハッキングが再び発生する可能性があると指摘しました.

分散型ファイナンスプロジェクトの背後にあるもう1つの考えられる問題は、資産価格などの重要なデータを提供するためにデータオラクルに依存していることです。スイスのオープンソースDeFiオラクルプラットフォームであるDIAの共同創設者であるPaulClaudiusがCointelegraphに語ったように、独自の構成可能性を備えたDeFiプラットフォームと製品の加速する成長は相互依存性を生み出し、資産価格データの確かなソースを必要とします。

「現在、ほとんどのDeFiプロジェクトには、透過的でオープンソースで信頼性の高い価格データソリューションがありません。多くは、オラクルが価格設定データに使用する方法論さえ共有していません。悪意のある人物が信頼性の低いデータソースで技術的および方法論的な脆弱性の両方を悪用する可能性があるため、これは大きなリスクを生み出します。」

監査、デューデリジェンスおよび保険

それで、DeFiチームがセキュリティリスクを軽減するためにできることはありますか？彼ら自身とユーザーの資金のために高レベルのセキュリティを首尾よく維持する多くの製品があることを考えると?

Aaveの統合リーダーであるMarcZellerは、プロトコル内の主要なハッキングを回避するために、DeFiプラットフォームに新しいトークンを追加する前にデューデリジェンス手順を実行することの重要性を強調しました。彼はまた、分散型金融を扱うプロジェクトは、保険会社のサービスを使用してユーザー資金をさらに保護する可能性があると述べましたが、これは必ずしも十分ではありません. 

ハッキングとの闘いにおける保険の役割について話す、合成資産プラットフォームSynthetixの創設者であるKain Warwick, 前記 DeFi保険は非常に限られており、次のように付け加えています。保険が出現します。」

攻撃がすでに発生している場合は保険に加入することをお勧めしますが、攻撃を防ぐことがタスクの場合、ハッカーがコードの欠陥を悪用する前にネットワークの脆弱性を検出して修正するために、DeFiプロジェクトが必要とするのは疑わしいトランザクションの監査と追跡です。アナリストは、ハッキングされたプラットフォームから来た可能性のある暗号通貨を追跡およびロックダウンする上で、暗号交換が重要な役割を果たしていると指摘しています.

関連：DeFiハック：分散型ファイナンスがすべきこととすべきでないこと?

業界が拡大するにつれて、DeFi開発者が規制当局と協力し、ハッキングが発生した場合に紛争解決と仲裁を可能にするサンドボックスと明確なフレームワークの両方に取り組むことがますます重要になっています。ヒルによると：

「市場の拡大には、より深刻な保護メカニズムの使用と規制当局および監査人との協力が必要です。結局のところ、これはもはや単なるDAppのネットワークではなく、開発の初期段階にある数十億ドル規模の金融市場です。」

ETH2.0はより多くのセキュリティをもたらしますか?

スケーラビリティとともに、ネットワークのアップグレードによってDeFiにセキュリティがもたらされると考える人もいれば、Ethereumのプルーフオブステークアルゴリズムへの2.0の移行により、DeFiセクターがさらに危険にさらされると言う人もいます。アナリストのタルン・チトラ、ドラゴンフライ・キャピタルの投資家、ハシーブ・クレシの調査に基づく 来た DeFiプロトコルはPoSアルゴリズムに基づくネットワークセキュリティメカニズムに反して実行されるという結論に達しました。問題は、DeFi貸付にロックされた資金がステーキングに参加しないため、セキュリティであるということです。.

MolochDaoアナリスト 確認済み ETH 2.0への移行により、DeFiアプリケーションの新しい攻撃ベクトルが開かれる可能性があること。ただし、これにはプラス面があります。ETH2.0への攻撃は、ETH1.0への攻撃よりも拡張が容易です。.

関連：有効活用：イーサリアムはベンチマークを設定するために深刻な数字を積み上げます

コンセンシスのアナリスト、タナー・ホーバンとトム・ボーガーズによると、展開前に、特にイーサリアム2.0への移行の最初の段階で、DeFi業界は多くの新しい攻撃に直面するでしょう。その理由は、移行の開始時に、検証者は、プルーフオブワークチェーンがプルーフオブステークチェーンと完全にマージされるまで、ETHをブロックする必要があるためです。これは流動性を低下させ、研究の著者によると、集中化につながる可能性があります.

そのため、DeFi製品は再び大規模なハッキングに直面する可能性がありますが、保険および監査ツールの開発、および世界的な規制当局による市場参入により、最終的にはより安全になります。イーサリアム2.0は軟膏に独自のフライを追加する可能性がありますが、新しいモデルのゆっくりとした段階的な展開と十分なテストにより、リスクは最小限に抑えられる可能性があります.