原文タイトル:DeFiハッキングによる損失を止める方法 原文著者:sysls、openforage 原文翻訳:AididiaoJP、Foresight News
多くのDeFiプロトコルのハッキング事件を理解する中で、「国家行為体」への恐怖が生まれました。彼らは技術に長け、資源も豊富で、非常に長期的なゲームをしています;これらのスーパー悪役は、あなたのプロトコルやインフラの隅々まで調査し、脆弱性を探すことに集中しています。一方、普通のプロトコルチームの注意は六七つの異なる事業に散らばっています。
私は自称安全の専門家ではありませんが、高リスク環境でチームをリードした経験(軍隊や大規模資金の金融分野を含む)を持ち、緊急対応策の考案と計画に長けています。
私は心から信じています。偏執的な者だけが生き残れると。どのチームも最初から「安全に対していい加減でいいや」とは考えません;しかし、ハッキングは依然として起こります。私たちはもっと良くなる必要があります。
(データソース:https://defillama.com/hacks)
ハッキングは珍しくありませんが、その頻度は明らかに増加しています。2026年第1四半期は記録上最も多くのDeFiハッキングが発生した四半期であり、第2四半期が始まったばかりにもかかわらず、すでに前四半期の記録を破る見込みです。
私の核心仮説は:AIは脆弱性探索のコストを大幅に下げ、攻撃面を飛躍的に拡大させたということです。人間は100のプロトコルの設定を調査し誤設定を見つけるのに数週間かかるが、最新の基盤モデルは数時間で完了できる。
これにより、私たちのハッキングへの思考と対応方法は根本的に変わるはずです。AIが強力になる前の安全対策に慣れた古いプロトコルは、「秒殺」されるリスクにますます直面しています。
ハッキングの表面積は実際には三つに集約できます:プロトコルチーム、スマートコントラクトとインフラ、ユーザーの信頼境界(DSN、ソーシャルメディア等)。
これらの表面を特定したら、防御層を重ねていきます:
・予防:厳格に実行すれば、悪用される確率を最大限に低減できるプロセス。
・緩和:予防失敗時にダメージを制限。
・一時停止:巨大なプレッシャー下では最良の決定はできません。攻撃が確認されたら即座に全停止スイッチを起動。凍結はさらなる損失を防ぎ、思考の余裕を得るために……
・奪還:有毒または侵害されたコンポーネントの制御を失った場合、それらを放棄し交換します。
・復旧:失ったものを取り戻す。資金凍結や取引取り消し、調査支援を行う機関と事前に連携しておく。
これらの原則は、各層の防御を具体的に実行する指針です。
最先端モデルのAIを大量に活用し、コードベースや設定をスキャンして脆弱性を探し、広範な表面に対してレッドチームテストを行う:フロントエンドで脆弱性を探し、それがバックエンドに到達できるか試す。攻撃者もそうします。防御的スキャンで見つかるものは、彼らの攻撃的スキャンですでに発見済みです。
pashov、nemesisなどのスキルや、Cantina(Apex)、Zellic(V12)などのAIプラットフォームを使い、完全な監査前に素早くコードベースをスキャン。
潜在的な損害をもたらす操作には、多段階の手順とタイムロックを追加します。異常を発見したら介入し、凍結できる十分な時間を確保。
過去にはタイムロックや多段階設定に反対する理由は、プロトコルチームに摩擦をもたらすことでした。今や心配無用:AIはこれらの摩擦を裏で簡単に通過させることができます。
スマートコントラクトは、不変の「事実」を記述することで防御的に構築可能です:これらの事実が破られた場合、プロトコルのロジックは崩壊します。
通常、少数の不変条件しかありません。それらをコードレベルに慎重に昇格させ、各関数で複数の不変条件を強制実行するのは管理が難しくなるため注意。
多くのハッキングは、攻撃されたウォレットに起因します。これに対し、次のような設定が必要です:多署名が侵害されても、損害を迅速に抑制し、プロトコルをガバナンス可能な状態に戻せること。
これには、ガバナンス(すべてを決定)と救援(ガバナンスの安定性を回復させる能力、ただしガバナンス自体を置き換えたり覆したりしない)のバランスが必要です。
最初から仮定しましょう:あなたがどれだけ賢くても、ハッキングされる可能性はあると。あなたのスマートコントラクトや依存関係は失効するかもしれません。社会工学攻撃を受けることもあり、新しいアップグレードが予期しない脆弱性をもたらすことも。
こう考えると、損害を制限するレートリミッターや断路器は最良の味方です。損害を5-10%に抑え、凍結し、対応策を計画します。銃弾の雨の中で最良の決定を下すことは誰にもできません。
ハッキング前に対応策を考えましょう。できるだけプロセスをコード化し、チームとリハーサルを行えば、衝撃時に慌てることはありません。AI時代には、大量の情報をできるだけ早く提示できるスキルとアルゴリズムを持ち、要約や長文でコアメンバーに共有することが重要です。
完璧を求める必要はありませんが、生き残る必要があります。システムは最初から完璧ではなく、反復を重ねて教訓を吸収し、脆弱性に強くなっていきます。
被害を受けていない証拠があっても、油断は禁物です。最大の安全点は、最も危険なポイントでもあります。
不変条件を特定したら、それらをランタイムチェックに昇格させます。どの不変条件を実際に強制すべきか慎重に考える。
これがFREI-PI(Function Requirements, Effects, Interactions, Protocol Invariants)モデルです:各価値に関わる関数の終了時に、その関数が約束した王冠の不変条件を再検証します。CEI(Checks-Effects-Interactions)による抽干攻撃(フラッシュローン・サンドイッチ、オラクル支援の清算グリーフ、関数間の支払い能力の抽干)も、関数終了時の不変条件チェックで捕捉可能です。
状態化模擬テスト(Stateful fuzzing)は、プロトコルの公開された全表面に対してランダムな呼び出しシーケンスを生成し、各ステップで不変条件を断言します。多くの本番環境の脆弱性は複数取引にまたがるものであり、状態化模擬テストはこれらのパスを攻撃者より先に発見する唯一の信頼できる方法です。
不変条件を用いたテストで、生成されるすべての呼び出しシーケンスにおいて属性が成立することを断言します。形式検証と併用すれば、すべての到達可能な状態で属性が成立することを証明できます。あなたの王冠の不変条件は、この処理を受け入れるべきです。
複雑さは安全の敵です。外部依存は攻撃面を拡大します。原語を設計する際は、誰を信頼し何を信頼するかの選択をユーザーに委ねてください。依存を排除できない場合は、多元化し、単一故障点がプロトコルを破壊しないようにします。
監査範囲を拡大し、シミュレートされたオラクルや依存関係の失敗方法と、その失敗による災害の可能性に対してレートリミットを設ける。
最近のKelpDAOの脆弱性は一例です:彼らはLayerZeroのデフォルト設定requiredDVNCount=1を継承しましたが、この設定は監査範囲外でした。最終的に侵害されたのは、監査範囲外のオフチェーンインフラです。
DeFiの表面攻撃のほとんどは既に列挙されています。それぞれのカテゴリを一つずつ確認し、自分のプロトコルに該当するかどうかを問い、その攻撃ベクトルに対するコントロールを実施してください。レッドチームスキルを育成し、AIインテリジェンスにあなたのプロトコルの脆弱性を積極的に探させることは、今や基本的な要件です。
投票に基づくガバナンスでは、権力は最初、多署名ウォレットに集中し、拡散には時間がかかります。たとえトークン分散が広くても、委任はしばしば少数のウォレット(時にはn=1)に権威を集中させます。これらのウォレットが侵害されたとき、ゲームは終わりです。
「ガーディアンウォレット」を導入し、厳格な権限を付与します:それらはプロトコルの一時停止のみ可能で、閾値>=4/7の下で、極端な状況では被害を受けた委任を事前定義された代替ウォレットに切り替えることができます。ガーディアンはガバナンス提案を実行できません。
こうして、常にガバナンスの安定性を回復できる救援層を持ちつつ、ガバナンスを覆す権限は持たない仕組みです。閾値>=4/7のガーディアンの喪失確率は非常に低く(所有者の多様性を考慮)、ガバナンスが成熟し分散すれば、この層は段階的に廃止可能です。
多署名ウォレットは最低4/7の要件です。すべての7つの鍵を一人が制御しないこと。署名者は頻繁に交代させ、静かに行います。
鍵は常に日常使用のデバイスと連携させてはいけません。署名デバイスでインターネット閲覧やメール送受信、Slackの起動を行うと、その署名者はすでに侵害されているとみなしてください。
複数の多署名を持ち、それぞれ異なる用途に使います。少なくとも一つの完全な多署名が侵害されることを想定し、そこから計画を始めてください。単一の個人が十分な制御権を持ち、極端なシナリオ(誘拐、拷問等)でもプロトコルを破壊できないように。
資源があれば、プロトコルのTVLに対して高額な脆弱性賞金を設定する価値は非常に高いです。たとえ規模が小さくても、賞金はできるだけ寛大に(最低7-8桁の金額)設定すべきです。
国家行為体の攻撃に直面している場合、交渉は難しいかもしれませんが、「ホワイトハットセーフハーバー」プログラムに参加し、ホワイトハッカーに資金保護のための行動を委任し、発見された脆弱性の一定割合を手数料として支払うことも可能です(実質的には預金者が賞金を支払う形)。
以前も書きましたが、大規模言語モデルがより賢くなるにつれ、監査人の付加価値は低下します。ただし、私の見解は変わっていません。
まず、良い監査人は最先端を行きます。新しい技術を扱う場合、そのコードや脆弱性は訓練データに含まれていない可能性が高く、Token数を増やすだけでは新型脆弱性の発見には効果的ではありません。独自の脆弱性の最初のサンプルになりたくはありません。
次に、あまり知られていないメリットは、監査人に依頼することは彼らの評判を保証に使うことです。彼らが署名して承認し、あなたが攻撃された場合、彼らは強く援助したいと動機付けられます。安全性の専門家と関係を築くことは大きなアドバンテージです。
操作の安全性を成功の指標と見なします。フィッシング演習を行い、信頼できるレッドチームに社会工学攻撃を試させる。予備のハードウェアウォレットやデバイスを準備し、必要に応じて多署名全体を置き換えられるようにしておく。D-dayに慌てて購入しないように。
価値をプロトコルから移す経路の最大封鎖額が、その経路が脆弱性を悪用されたときの最大理論損失です。簡単に言えば:上限のない通貨発行関数は、無限発行の脆弱性に対して空白の小切手を切ることと同じです。上限のない償還関数は、資産残高の破損に対して空白の小切手を切ることと同じです。
あなたの退出経路の明確な数値を慎重に考えましょう。この数字は、あなたが許容できる最大損害と、ユーザーの最極端なUXニーズの間のバランスを取る必要があります。問題が起きたとき、これがあなたを完全な破滅から守るものです。
ほとんどのプロトコルには、呼び出し、取引、受信可能なリストと、ユーザーが絶対に行ってはいけないリストがあります。暗黙のものも含め、これらは信頼境界であり、正式に定義すべきです。
これを正式化することで、二段階のセッターを設定し、意味のある摩擦を生み出せます。攻撃者はまずホワイトリストに追加(またはブラックリストから除外)し、その後行動します。同時に両方を持つことで、新たなベクトルを密かに導入しようとしたとき、二つのプロセスを同時に突破しなければなりません:市場に許可(上場/統合)されていることと、その行動が禁止されていないこと(セキュリティ審査済み)。
誰も監視しなければ、殺開スイッチは無意味です。オフチェーンの監視者は不変条件を継続的に監視し、問題があればアルゴリズム的に警報を上げるべきです。最終的には、ガバナンス多署名の人間に情報が届き、数分以内に意思決定できる十分なコンテキストを提供します。
被弾したら、まず止血し、倒れる前に決断を下す。これがプロトコルの殺開スイッチ(UIにも反映させるべき):一つのボタンで全ての価値移動経路を一時停止。すべて停止できる補助スクリプトを準備し、すべての停止可能なコンポーネントを原子化して停止。
ガバナンスだけが停止解除を許可するため、殺開スイッチはガバナンスコントラクト自体を停止できません。守護者層がガバナンスコントラクトを停止できる場合、侵害された守護者層は永遠に復旧プロセスをロックします。
凍結と止血を行い、信頼できる関係者(事前に合意した少人数)をコミュニケーションチャネルに招集します。情報漏洩を防ぐため、表面上は小規模に。
意思決定者、実行者、根本原因の特定者、関係者との連絡役、記録係の役割を割り当て、演習を行います。全員が役割を理解し、リハーサル済みであれば、最悪の事態でも冷静に対応できます。
攻撃者が非常に巧妙な場合を想定します。最初の脆弱性はおとりかもしれず、その後の攻撃の種まきかもしれません。攻撃は、あなたに完全に誤った行動を取らせ、真の脆弱性を引き出すためのものです。
一時停止は十分に調査され、完全にコントロールでき、かつ悪用されないものでなければなりません。全プロトコルの凍結を目指し、特定のコンポーネントだけを停止させるのではなく、根本原因と攻撃ベクトルを見つけたら、隣接する表面や連鎖反応も含めて一括修復します。
事前に後継者を知っていることが安全なローテーションの前提です。私は「事前承認された後継者登録リスト」のアイデアが好きです:これにより、攻撃者は健全な守護者やガバナンスウォレットを侵害されたものに置き換えるのが難しくなります。これは、「ホワイトリスト/ブラックリスト」の考え方とも一致します。
重要な役割ごとに後継者アドレスを登録します。緊急時に唯一実行可能なローテーションは、「役割Xを後継者に置き換える」ことです。これにより、平時に後継者を評価し、慎重に調査し、面会も可能です。
根本原因と影響範囲を特定したら、アップグレードを実施します。これは最も危険なコードのデプロイになる可能性があり、既に理解を深めた攻撃者に対して行うものです。
十分なテストや監査なしにリリースを遅らせる。時間がない場合はホワイトハットと連携し、48時間の対抗審査期間を設けて新たな対抗策を検証。
盗まれた資金には半減期があります。脆弱性が実現すると、すぐにマネーロンダリングに流れます。Chainalysisなどのオンチェーン分析サービスを事前に準備し、攻撃者のアドレスクラスターをリアルタイムでマークし、クロスチェーンの跳躍時に取引所に通知して追跡させる。
また、取引所のコンプライアンス部門、クロスチェーンブリッジの管理者、ホスティング管理者、その他の管理権限を持つ第三者のリストも事前に用意しておく。
はい、痛いですが、攻撃者と対話を試みるべきです。多くのことは交渉で解決可能です。期限付きのホワイトハット賞金を提供し、期限前に全額返還された場合は法的措置を取らないと公表します。
国家行為体に直面している場合、交渉は難しいかもしれませんが、未熟な攻撃者なら、あなたの資産を狙う方法を見つけて低コストで逃げることもあります。
その前に、必ず法律顧問を同席させてください。
ハッキングは止まりません。AIがより賢くなるにつれ、攻撃は増加します。防御側が「敏感になる」だけでは不十分です。攻撃者と同じツールを使い、レッドチームテストを行い、継続的に監視し、損害に硬い制限を設けることで、最悪の事態でも生き残ることができるのです。
原文リンク
律動BlockBeatsの求人情報はこちらをクリック
律動BlockBeats公式コミュニティにぜひご参加ください:
Telegram購読グループ:https://t.me/theblockbeats
Telegram交流グループ:https://t.me/BlockBeats_App
Twitter公式アカウント:https://twitter.com/BlockBeatsAsia
371.04K 人気度
94.28M 人気度
111.14K 人気度
43.21K 人気度
1.01M 人気度
DeFiセキュリティガイド:AI時代における効果的なハッカー攻撃防御法は?
はじめに
多くのDeFiプロトコルのハッキング事件を理解する中で、「国家行為体」への恐怖が生まれました。彼らは技術に長け、資源も豊富で、非常に長期的なゲームをしています;これらのスーパー悪役は、あなたのプロトコルやインフラの隅々まで調査し、脆弱性を探すことに集中しています。一方、普通のプロトコルチームの注意は六七つの異なる事業に散らばっています。
私は自称安全の専門家ではありませんが、高リスク環境でチームをリードした経験(軍隊や大規模資金の金融分野を含む)を持ち、緊急対応策の考案と計画に長けています。
私は心から信じています。偏執的な者だけが生き残れると。どのチームも最初から「安全に対していい加減でいいや」とは考えません;しかし、ハッキングは依然として起こります。私たちはもっと良くなる必要があります。
AIは今回本当に違うことを意味している
ハッキングは珍しくありませんが、その頻度は明らかに増加しています。2026年第1四半期は記録上最も多くのDeFiハッキングが発生した四半期であり、第2四半期が始まったばかりにもかかわらず、すでに前四半期の記録を破る見込みです。
私の核心仮説は:AIは脆弱性探索のコストを大幅に下げ、攻撃面を飛躍的に拡大させたということです。人間は100のプロトコルの設定を調査し誤設定を見つけるのに数週間かかるが、最新の基盤モデルは数時間で完了できる。
これにより、私たちのハッキングへの思考と対応方法は根本的に変わるはずです。AIが強力になる前の安全対策に慣れた古いプロトコルは、「秒殺」されるリスクにますます直面しています。
表面と階層的思考を用いる
ハッキングの表面積は実際には三つに集約できます:プロトコルチーム、スマートコントラクトとインフラ、ユーザーの信頼境界(DSN、ソーシャルメディア等)。
これらの表面を特定したら、防御層を重ねていきます:
・予防:厳格に実行すれば、悪用される確率を最大限に低減できるプロセス。
・緩和:予防失敗時にダメージを制限。
・一時停止:巨大なプレッシャー下では最良の決定はできません。攻撃が確認されたら即座に全停止スイッチを起動。凍結はさらなる損失を防ぎ、思考の余裕を得るために……
・奪還:有毒または侵害されたコンポーネントの制御を失った場合、それらを放棄し交換します。
・復旧:失ったものを取り戻す。資金凍結や取引取り消し、調査支援を行う機関と事前に連携しておく。
原則
これらの原則は、各層の防御を具体的に実行する指針です。
最先端AIの積極的利用
最先端モデルのAIを大量に活用し、コードベースや設定をスキャンして脆弱性を探し、広範な表面に対してレッドチームテストを行う:フロントエンドで脆弱性を探し、それがバックエンドに到達できるか試す。攻撃者もそうします。防御的スキャンで見つかるものは、彼らの攻撃的スキャンですでに発見済みです。
pashov、nemesisなどのスキルや、Cantina(Apex)、Zellic(V12)などのAIプラットフォームを使い、完全な監査前に素早くコードベースをスキャン。
時間と摩擦は良い防御
潜在的な損害をもたらす操作には、多段階の手順とタイムロックを追加します。異常を発見したら介入し、凍結できる十分な時間を確保。
過去にはタイムロックや多段階設定に反対する理由は、プロトコルチームに摩擦をもたらすことでした。今や心配無用:AIはこれらの摩擦を裏で簡単に通過させることができます。
不変条件
スマートコントラクトは、不変の「事実」を記述することで防御的に構築可能です:これらの事実が破られた場合、プロトコルのロジックは崩壊します。
通常、少数の不変条件しかありません。それらをコードレベルに慎重に昇格させ、各関数で複数の不変条件を強制実行するのは管理が難しくなるため注意。
権力のバランス
多くのハッキングは、攻撃されたウォレットに起因します。これに対し、次のような設定が必要です:多署名が侵害されても、損害を迅速に抑制し、プロトコルをガバナンス可能な状態に戻せること。
これには、ガバナンス(すべてを決定)と救援(ガバナンスの安定性を回復させる能力、ただしガバナンス自体を置き換えたり覆したりしない)のバランスが必要です。
常に問題は起こる
最初から仮定しましょう:あなたがどれだけ賢くても、ハッキングされる可能性はあると。あなたのスマートコントラクトや依存関係は失効するかもしれません。社会工学攻撃を受けることもあり、新しいアップグレードが予期しない脆弱性をもたらすことも。
こう考えると、損害を制限するレートリミッターや断路器は最良の味方です。損害を5-10%に抑え、凍結し、対応策を計画します。銃弾の雨の中で最良の決定を下すことは誰にもできません。
今こそ最良の計画時間
ハッキング前に対応策を考えましょう。できるだけプロセスをコード化し、チームとリハーサルを行えば、衝撃時に慌てることはありません。AI時代には、大量の情報をできるだけ早く提示できるスキルとアルゴリズムを持ち、要約や長文でコアメンバーに共有することが重要です。
完璧を求める必要はありませんが、生き残る必要があります。システムは最初から完璧ではなく、反復を重ねて教訓を吸収し、脆弱性に強くなっていきます。
被害を受けていない証拠があっても、油断は禁物です。最大の安全点は、最も危険なポイントでもあります。
予防策
スマートコントラクト設計
不変条件を特定したら、それらをランタイムチェックに昇格させます。どの不変条件を実際に強制すべきか慎重に考える。
これがFREI-PI(Function Requirements, Effects, Interactions, Protocol Invariants)モデルです:各価値に関わる関数の終了時に、その関数が約束した王冠の不変条件を再検証します。CEI(Checks-Effects-Interactions)による抽干攻撃(フラッシュローン・サンドイッチ、オラクル支援の清算グリーフ、関数間の支払い能力の抽干)も、関数終了時の不変条件チェックで捕捉可能です。
良いテスト
状態化模擬テスト(Stateful fuzzing)は、プロトコルの公開された全表面に対してランダムな呼び出しシーケンスを生成し、各ステップで不変条件を断言します。多くの本番環境の脆弱性は複数取引にまたがるものであり、状態化模擬テストはこれらのパスを攻撃者より先に発見する唯一の信頼できる方法です。
不変条件を用いたテストで、生成されるすべての呼び出しシーケンスにおいて属性が成立することを断言します。形式検証と併用すれば、すべての到達可能な状態で属性が成立することを証明できます。あなたの王冠の不変条件は、この処理を受け入れるべきです。
オラクルと依存関係
複雑さは安全の敵です。外部依存は攻撃面を拡大します。原語を設計する際は、誰を信頼し何を信頼するかの選択をユーザーに委ねてください。依存を排除できない場合は、多元化し、単一故障点がプロトコルを破壊しないようにします。
監査範囲を拡大し、シミュレートされたオラクルや依存関係の失敗方法と、その失敗による災害の可能性に対してレートリミットを設ける。
最近のKelpDAOの脆弱性は一例です:彼らはLayerZeroのデフォルト設定requiredDVNCount=1を継承しましたが、この設定は監査範囲外でした。最終的に侵害されたのは、監査範囲外のオフチェーンインフラです。
表面攻撃
DeFiの表面攻撃のほとんどは既に列挙されています。それぞれのカテゴリを一つずつ確認し、自分のプロトコルに該当するかどうかを問い、その攻撃ベクトルに対するコントロールを実施してください。レッドチームスキルを育成し、AIインテリジェンスにあなたのプロトコルの脆弱性を積極的に探させることは、今や基本的な要件です。
原生的な救援能力を持つ
投票に基づくガバナンスでは、権力は最初、多署名ウォレットに集中し、拡散には時間がかかります。たとえトークン分散が広くても、委任はしばしば少数のウォレット(時にはn=1)に権威を集中させます。これらのウォレットが侵害されたとき、ゲームは終わりです。
「ガーディアンウォレット」を導入し、厳格な権限を付与します:それらはプロトコルの一時停止のみ可能で、閾値>=4/7の下で、極端な状況では被害を受けた委任を事前定義された代替ウォレットに切り替えることができます。ガーディアンはガバナンス提案を実行できません。
こうして、常にガバナンスの安定性を回復できる救援層を持ちつつ、ガバナンスを覆す権限は持たない仕組みです。閾値>=4/7のガーディアンの喪失確率は非常に低く(所有者の多様性を考慮)、ガバナンスが成熟し分散すれば、この層は段階的に廃止可能です。
ウォレットと鍵のトポロジー
多署名ウォレットは最低4/7の要件です。すべての7つの鍵を一人が制御しないこと。署名者は頻繁に交代させ、静かに行います。
鍵は常に日常使用のデバイスと連携させてはいけません。署名デバイスでインターネット閲覧やメール送受信、Slackの起動を行うと、その署名者はすでに侵害されているとみなしてください。
複数の多署名を持ち、それぞれ異なる用途に使います。少なくとも一つの完全な多署名が侵害されることを想定し、そこから計画を始めてください。単一の個人が十分な制御権を持ち、極端なシナリオ(誘拐、拷問等)でもプロトコルを破壊できないように。
賞金を考える
資源があれば、プロトコルのTVLに対して高額な脆弱性賞金を設定する価値は非常に高いです。たとえ規模が小さくても、賞金はできるだけ寛大に(最低7-8桁の金額)設定すべきです。
国家行為体の攻撃に直面している場合、交渉は難しいかもしれませんが、「ホワイトハットセーフハーバー」プログラムに参加し、ホワイトハッカーに資金保護のための行動を委任し、発見された脆弱性の一定割合を手数料として支払うことも可能です(実質的には預金者が賞金を支払う形)。
良い監査人を見つける
以前も書きましたが、大規模言語モデルがより賢くなるにつれ、監査人の付加価値は低下します。ただし、私の見解は変わっていません。
まず、良い監査人は最先端を行きます。新しい技術を扱う場合、そのコードや脆弱性は訓練データに含まれていない可能性が高く、Token数を増やすだけでは新型脆弱性の発見には効果的ではありません。独自の脆弱性の最初のサンプルになりたくはありません。
次に、あまり知られていないメリットは、監査人に依頼することは彼らの評判を保証に使うことです。彼らが署名して承認し、あなたが攻撃された場合、彼らは強く援助したいと動機付けられます。安全性の専門家と関係を築くことは大きなアドバンテージです。
操作の安全性を実践
操作の安全性を成功の指標と見なします。フィッシング演習を行い、信頼できるレッドチームに社会工学攻撃を試させる。予備のハードウェアウォレットやデバイスを準備し、必要に応じて多署名全体を置き換えられるようにしておく。D-dayに慌てて購入しないように。
緩和策
あなたの退出経路は損失の上限
価値をプロトコルから移す経路の最大封鎖額が、その経路が脆弱性を悪用されたときの最大理論損失です。簡単に言えば:上限のない通貨発行関数は、無限発行の脆弱性に対して空白の小切手を切ることと同じです。上限のない償還関数は、資産残高の破損に対して空白の小切手を切ることと同じです。
あなたの退出経路の明確な数値を慎重に考えましょう。この数字は、あなたが許容できる最大損害と、ユーザーの最極端なUXニーズの間のバランスを取る必要があります。問題が起きたとき、これがあなたを完全な破滅から守るものです。
ホワイトリスト(とブラックリスト)
ほとんどのプロトコルには、呼び出し、取引、受信可能なリストと、ユーザーが絶対に行ってはいけないリストがあります。暗黙のものも含め、これらは信頼境界であり、正式に定義すべきです。
これを正式化することで、二段階のセッターを設定し、意味のある摩擦を生み出せます。攻撃者はまずホワイトリストに追加(またはブラックリストから除外)し、その後行動します。同時に両方を持つことで、新たなベクトルを密かに導入しようとしたとき、二つのプロセスを同時に突破しなければなりません:市場に許可(上場/統合)されていることと、その行動が禁止されていないこと(セキュリティ審査済み)。
取り戻す
アルゴリズム監視
誰も監視しなければ、殺開スイッチは無意味です。オフチェーンの監視者は不変条件を継続的に監視し、問題があればアルゴリズム的に警報を上げるべきです。最終的には、ガバナンス多署名の人間に情報が届き、数分以内に意思決定できる十分なコンテキストを提供します。
停止して再調整
被弾したら、まず止血し、倒れる前に決断を下す。これがプロトコルの殺開スイッチ(UIにも反映させるべき):一つのボタンで全ての価値移動経路を一時停止。すべて停止できる補助スクリプトを準備し、すべての停止可能なコンポーネントを原子化して停止。
ガバナンスだけが停止解除を許可するため、殺開スイッチはガバナンスコントラクト自体を停止できません。守護者層がガバナンスコントラクトを停止できる場合、侵害された守護者層は永遠に復旧プロセスをロックします。
戦情室を立ち上げる
凍結と止血を行い、信頼できる関係者(事前に合意した少人数)をコミュニケーションチャネルに招集します。情報漏洩を防ぐため、表面上は小規模に。
意思決定者、実行者、根本原因の特定者、関係者との連絡役、記録係の役割を割り当て、演習を行います。全員が役割を理解し、リハーサル済みであれば、最悪の事態でも冷静に対応できます。
連鎖反応を考慮
攻撃者が非常に巧妙な場合を想定します。最初の脆弱性はおとりかもしれず、その後の攻撃の種まきかもしれません。攻撃は、あなたに完全に誤った行動を取らせ、真の脆弱性を引き出すためのものです。
一時停止は十分に調査され、完全にコントロールでき、かつ悪用されないものでなければなりません。全プロトコルの凍結を目指し、特定のコンポーネントだけを停止させるのではなく、根本原因と攻撃ベクトルを見つけたら、隣接する表面や連鎖反応も含めて一括修復します。
事前に承認された後継者のローテーション
事前に後継者を知っていることが安全なローテーションの前提です。私は「事前承認された後継者登録リスト」のアイデアが好きです:これにより、攻撃者は健全な守護者やガバナンスウォレットを侵害されたものに置き換えるのが難しくなります。これは、「ホワイトリスト/ブラックリスト」の考え方とも一致します。
重要な役割ごとに後継者アドレスを登録します。緊急時に唯一実行可能なローテーションは、「役割Xを後継者に置き換える」ことです。これにより、平時に後継者を評価し、慎重に調査し、面会も可能です。
アップグレード前の慎重なテスト
根本原因と影響範囲を特定したら、アップグレードを実施します。これは最も危険なコードのデプロイになる可能性があり、既に理解を深めた攻撃者に対して行うものです。
十分なテストや監査なしにリリースを遅らせる。時間がない場合はホワイトハットと連携し、48時間の対抗審査期間を設けて新たな対抗策を検証。
復旧
迅速な行動
盗まれた資金には半減期があります。脆弱性が実現すると、すぐにマネーロンダリングに流れます。Chainalysisなどのオンチェーン分析サービスを事前に準備し、攻撃者のアドレスクラスターをリアルタイムでマークし、クロスチェーンの跳躍時に取引所に通知して追跡させる。
また、取引所のコンプライアンス部門、クロスチェーンブリッジの管理者、ホスティング管理者、その他の管理権限を持つ第三者のリストも事前に用意しておく。
交渉
はい、痛いですが、攻撃者と対話を試みるべきです。多くのことは交渉で解決可能です。期限付きのホワイトハット賞金を提供し、期限前に全額返還された場合は法的措置を取らないと公表します。
国家行為体に直面している場合、交渉は難しいかもしれませんが、未熟な攻撃者なら、あなたの資産を狙う方法を見つけて低コストで逃げることもあります。
その前に、必ず法律顧問を同席させてください。
結論
ハッキングは止まりません。AIがより賢くなるにつれ、攻撃は増加します。防御側が「敏感になる」だけでは不十分です。攻撃者と同じツールを使い、レッドチームテストを行い、継続的に監視し、損害に硬い制限を設けることで、最悪の事態でも生き残ることができるのです。
律動BlockBeatsの求人情報はこちらをクリック
律動BlockBeats公式コミュニティにぜひご参加ください:
Telegram購読グループ:https://t.me/theblockbeats
Telegram交流グループ:https://t.me/BlockBeats_App
Twitter公式アカウント:https://twitter.com/BlockBeatsAsia