Hackenは2017年に実際のセキュリティ専門家とホワイトハッカーによって始まりました。彼らは体系的なコードレビューと脅威モデリングに焦点を当てています。Slowmistは2018年に登場し、さまざまなブロックチェーン向けの詳細な監査手法を構築し、トレーニングプログラムも提供しています。Trail of Bitsは2012年に設立され、Algorand、Chainlink、Uniswap、Ethereum 2.0などの大規模なプロジェクトを監査してきました。彼らはまた、複数のコントラクトをシミュレートして重大な脆弱性を検出できるツール「Manticore」も開発しています。
最近、スマートコントラクトのセキュリティ分野について深く掘り下げてきましたが、正直なところ、良いスマートコントラクト監査人の重要性を無視することは不可能になっています。オンチェーンに何かをローンチする人にとって、その需要は爆発的に増加しており、その理由も明白です。
見ての通り、スマートコントラクトは基本的に自動的に執行される契約であり、コードが条件を自動的に強制します。仲介者は必要ありません。しかし、それが問題でもあります。もしコードにバグがあれば、法的な救済措置もなく、やり直しもできません。資金はただ消えてしまいます。だからこそ、スマートコントラクト監査人の役割は「あると良いもの」から「絶対に必要不可欠なもの」へと変わったのです。
何かをデプロイしようとする際には、コードを徹底的にレビューし、ストレステストを行い、悪意のある攻撃者に見つかる前に脆弱性を暴き出せる人が必要です。しっかりとした監査は、ユーザーにとって資産が本当に安全であるという信頼を与えます。これは、信頼されるプロジェクトと、初日に攻撃を受けてしまうプロジェクトの違いです。
私はこれらの企業の運営方法を追跡してきましたが、トップクラスの企業は似たパターンを踏んでいます。包括的なコードレビューを行い、ロジックの欠陥を特定し、オーバーフロー問題やレースコンディション、悪意のあるイベントをテストする—チェックリスト全体をカバーします。ただし、それぞれに強みがあります。
Hackenは2017年に実際のセキュリティ専門家とホワイトハッカーによって始まりました。彼らは体系的なコードレビューと脅威モデリングに焦点を当てています。Slowmistは2018年に登場し、さまざまなブロックチェーン向けの詳細な監査手法を構築し、トレーニングプログラムも提供しています。Trail of Bitsは2012年に設立され、Algorand、Chainlink、Uniswap、Ethereum 2.0などの大規模なプロジェクトを監査してきました。彼らはまた、複数のコントラクトをシミュレートして重大な脆弱性を検出できるツール「Manticore」も開発しています。
次に、CertiKはAIと数学的アプローチを用いてコントラクトのロジックを分析します。彼らは3,640億ドル以上の資産を保護したと主張しています。OpenZeppelinは脆弱性発見におけるゲーミフィケーションを先駆け、無料の監視プラットフォーム「Defender」を提供しています。Kudelski Securityは200以上の監査を完了し、2,300億ドルの時価総額を守っています。Quantstampも200以上の監査を行い、2,000億ドル以上の資産を守る手助けをしています。SmartDec、Solidified、Chainsultingもそれぞれの実績と専門分野を持つ堅実な選択肢です。
面白いのは、スマートコントラクトの監査を受けることは単なるセキュリティ対策だけではなく、デプロイのスピードアップにもつながる点です。仲介者を介さないため、長期的にはコスト削減にもなります。さらに、監査人がロジックが意図通りに動作していることを検証することで、信頼性も向上します。
私が実感しているのは、適切な監査を受けていないプロジェクトは、ますますリスクが高くなっているということです。ユーザーもより賢くなっており、スマートコントラクト監査人がコードに署名しているかどうかを確認するようになっています。これはもはや最低限の条件です。
オンチェーンで本格的な何かを構築しているなら、このステップを飛ばすことはできません。重要なのは、監査を受けるかどうかではなく、どの監査人があなたの特定のユースケースに適しているか、そしてどれだけ早く完了させたいかという点です。