暗号の世界でずっと気になっていることがあるのを、さっき耳にしました。Kaiaの開発者Xアカウントが3月に侵害されていたのですが、正直それは、業界全体がずっと無視し続けている盲点を見事に表しています。

では、何が起きたのかというと——@KaiaDevelopersがハッキングされ、チームは緊急のアラートをメインアカウントから発信して、皆に侵害されたアカウントには近づかないように注意喚起しました。典型的な侵害対応ですよね？ でも、問題はここからです。これは孤立した事件ではありません。もっと大きな、はるかに広範なパターンの一部なのです。

考えてみてください。私たちはスマートコントラクトの脆弱性にばかり目を向け、監査に何百万ドルも費やし、ますます高度なセキュリティ基盤を構築しています。にもかかわらず、なぜか最も簡単な攻撃経路はソーシャルメディアのアカウントのままです。Ethereum Foundationは2023年に偽のライブ配信詐欺に遭い、Compound Financeは2024年にフィッシングリンクの問題を抱え、Uniswap Labsは同じ年にDiscordの侵害を受けました。挙げればきりがありません。

私が特に注目してしまうのは、こうしたアカウントが莫大な“信頼資本”を持っているという点です。1つの侵害された開発者アカウントが、実際にそのプロジェクトをフォローしている何千人もの人に悪意のあるリンクを拡散することができます。攻撃対象の“面”は技術的なものではなく、社会的なものです。そして、その方が防御するのははるかに難しい。

Kaiaチームが迅速に対応したことは正しいのですが、反応的な対策には限界があります。本当に重要なのは予防です。プロジェクトは、ソーシャルメディアのアカウントを、重要インフラと同じように扱い始めるべきです。投稿権限のすべてに対してハードウェアセキュリティキーを使うこと。実際に意味のある多要素認証を導入すること。アクセス権限をローテーションすること。誰がどの権限を持っているかについて定期的に監査すること。

そして、最終的に本当に必要なのは——業界としてこの手のことに関する標準化されたプロトコルが必要だということです。現状、セキュリティ基準はどこもバラバラです。真剣に取り組んでいるプロジェクトもあれば、実質的に何もしていないプロジェクトもあります。この不一致こそが、攻撃者に利用されているのです。

コミュニティの観点での最良の防御策は、検証の徹底です。あるプロジェクトからのお知らせを見たら、行動に移す前に複数の公式チャネルで突き合わせてください。ウェブサイトを直接確認します。プロジェクトが対応しているなら、暗号署名を探してください。ソーシャルメディアで見かけたリンクが正しそうに見えても、ただクリックしないことです。

Kaiaの件は、ブロックチェーンのセキュリティがコードのはるか外側に及ぶことを思い出させてくれます。これはコミュニケーション基盤、アクセス制御、インシデント対応、そしてコミュニティの認知の問題です。これらがすべて連携して初めて守れるのに、いずれかが欠ければ攻撃者のために扉を開けたままになってしまいます。

こうしたことが、業界の標準を前進させるべき理由です。正直に言えば、Twitterアカウントを守れないのに、ほかのどんなセキュリティ主張がどれほど信用できるのでしょうか？