主要な機関の専門家がWeb3のセキュリティプラクティスについて語り、AWS Web3 Developer Camp 2023は素晴らしいレビューです

12月7日、Amazon Web Services(AWS)が主導し、CrossSpaceコミュニティが独占的にサポートするWeb3 Developer CampがAWS Causeway Bayイベント会場で成功裏に開催されました。 「Web3セキュリティ」セミナーシリーズのオフライン共有セッションとして、このイベントは、Web3セキュリティ、ウォレット、L1/L2パブリックチェーン、クラウドサービス、取引所、投資機関の専門家や幹部を招き、その場で共有することに成功し、乾物でいっぱいのWeb3セキュリティカンファレンスを提示し、非常に議論されました。

AWSは、世界のクラウドサービス市場のリーダーとして、Web3業界のセキュリティプラクティスに注目し、積極的に模索してきました。 AWSは、一連のセキュリティ活動の組織化を主導することで、セキュリティに関する業界関係者の意識を向上させ、持続可能なWeb3エコシステムを構築し、2024年にさまざまなトラックを健全に発展させるための基盤を築くことを望んでいます。 カンファレンスには、Beosin、Conflux、Hashkey Exchange、OKX Wallet、Polkadot、Scroll、SlowMist、SNZ Capital、Taikoなど、多くの業界リーダーの専門家やパネリストが参加しました(順不同)。

記事の冒頭で、このイベントでの円卓会議のホットなトピックを振り返ってみましょう。 このセッションでは、主要なWeb3機関であるTaiko、Hashkey Exchange、Beosin、SNZ Capitalの幹部や専門家を招き、それぞれのプロジェクトがWeb3セキュリティミッションをどのように実装しているかについて話し合ったほか、人気のあるL1/L2パブリックチェーンであるConfluxとScrollが、2024年のテクノロジーとエコロジカル開発のロードマップを初めてオフラインで共有するのを聞くことができました。

左から:CrossSpaceのCEO(モデレーター)であるLeon氏、SNZ CapitalのMichael投資マネージャー、Taikoの最高戦略責任者であるTerence氏、ConfluxのCTOであるMing Wu氏、Scrollのアジア太平洋地域の成長責任者であるMarcus Liu氏、Hashkey Exchangeの取引所製品担当ディレクターであるVincent Wong氏、Beosinのセキュリティ研究者であるEaton氏。

座談会**:Web3プロジェクトが注目すべきセキュリティ問題?**

開発の過程で、Web3プロジェクトは盲目的に市場拡大を追求し、基本的なセキュリティを無視する傾向があり、今年は大規模なオンチェーン資金盗難事件が多数発生し、Web3の実践者に警鐘を鳴らしています。 セキュリティ分野に深く関わってきたBeosinのセキュリティ研究者であるEaton氏は、プロジェクトチームに次のような提案をしました:「プロジェクトチームは、監査時間を節約し、複雑なビジネスロジックの問題を解決するために、レビュープロセスをスピードアップし、運用開始時に契約の脆弱性を検出するために、AIと監査ツールの使用を学ぶ必要があります。 プロジェクト開発フェーズでは、チームはテストに重点を置き、テスト駆動開発アプローチを使用して、ビジネスロジックの正確性を確保する必要があります。 同時に、未知のセキュリティ脆弱性の導入を防ぐために、サードパーティアプリケーションの統合には注意することが重要です。 プロジェクトの完了後、プロジェクトチームは専門の監査チームを雇って監査を実施し、潜在的な脆弱性を特定して解決し、プロジェクトのセキュリティを確保することを強くお勧めします。 "

SNZ Capitalは、Web3インフラストラクチャおよびアプリケーションプロジェクトへの投資において豊富な経験を持っています。 また、インベストメント・マネジャーのマイケルは、SNZがポートフォリオ企業の安全性を重視していることを次のように述べています。 そのために、警備会社とパートナーシップを結び、ポートフォリオプロジェクトの開発チームに対して、あらゆるセキュリティサービスを提供しています。 インフラやミドルウェア領域におけるセキュリティ管理に加え、これらの企業に対して事後管理サービスも提供し、当社が熟知したセキュリティベンダーのサービスを確実に受けられるようにしています。 ポートフォリオ企業には、ビジネス戦略においてセキュリティを優先し、リアルタイムの不正、脆弱性監視、互換性評価などのセキュリティ監査の重要性を理解して、セキュリティ・バイ・デザインを確保することを求めています。 "

座談会**:** 適切に運営されているWeb3プロジェクトは、どのようにセキュリティプラクティスを実行するのですか?

ETHエコシステムで急成長しているオープンソースのZKロールアップであるTaikoは、完全に分散化されたアーキテクチャと検証へのマルチバリデーターの参加を通じてセキュリティを確保しています。 Taikoの共同開発者兼最高戦略責任者であるTerence氏は、円卓会議で「TaikoはETHと同等のRollupレイヤー2ネットワークであり、完全に分散化されたアーキテクチャを備えています。 その強みには、オープンソース、コミュニティ構築、セキュリティが含まれ、グローバルなコントリビューターの参加を通じてコードの品質とセキュリティを確保することに取り組んでいます。 Taikoは現在、10,000以上のプロポーザルノードとバリデータノードを持つテストネット上にあり、この数は今後も増え続けると予想されます。 これは、ユーザーが太鼓を信頼する必要がなく、他のレイヤー2ネットワークと差別化する重要な機能である集中型シーケンサーがないことを意味します。 "

投資ユーザーと直接取引する香港の認可された仮想資産取引所として、Hashkeyは最近製品範囲を拡大しており、顧客の信頼と信頼をどのように確保するかは最優先事項の1つです。 「Hashkey Exchangeは、SFCによって設定されたカストディポリシーを厳守することを約束します。 資産の98%はコールドウォレットに安全に保管されていますが、資産の高レベルのセキュリティを確保するためにホットウォレットに保管されているのはわずか2%です。 投資家の権利と利益をさらに保護するために、AONやOneDegreeなどの保険会社と提携し、ユーザーに追加の保険保護を提供しています。 Hashkey ExchangeのプロダクトディレクターであるVincent Wong氏はさらに、「Hashkey Exchangeは、顧客が正当で本物であることを保証するために、KYC検証から始まります。 同時に、パスワードリマインダー機能を提供し、アカウントのセキュリティを強化するために、ユーザーにパスワードの定期的な変更を要求します。 これに加えて、お客様に教材を提供し、ブロックチェーンの知識と関連施設を学び、研究し、理解するように招待します。 このようにして、お客様との長期的な信頼と関係を築き、お客様が当社のプラットフォームで取引する際に安全で保護されていると感じていただけるようにしたいと考えています。 "

座談会ホットトーク**:** Layer1/2****先導的なパブリックチェーン技術開発とエコロジカルサポート

レイヤー1を代表する大手パブリックチェーンとして、Confluxは最近、2024年の開発者ロードマップを発表しました。 CTOのMing Wu氏は、スマートコントラクトが独立したDAレイヤーと相互作用して大規模な状態を効率的に保存および取得できるようにするプログラム可能なデータ可用性ソリューションを積極的に探すなど、開発者エクスペリエンスを向上させるためのConfluxの計画のいくつかの方向性を共有しました。 AIプラットフォームをConfluxに統合し、インセンティブレイヤーとして位置づける取り組み。 スケーラビリティの向上とエコシステムの拡大のために異種仮想マシンアーキテクチャを積極的に検討し、プライバシー保護とアンチMEV機能を強化するためのマルチパーティコンピューティング(MPC)の統合に関する研究を行います。 「今後数年間で、より多くのアプリケーションシナリオに適応できるようにシステムのパフォーマンスを向上させることで、当社の技術をより成熟させ、実用化することを楽しみにしています」とMing Wu氏は述べています。 "

最近メインネットでローンチされた別のレイヤー2パブリックチェーンの代表であるScrollも、最近のエコロジカルセキュリティの実践を共有しました。 Scroll Asia PacificのHead of GrowthであるMarcus Liu氏は「セキュリティの面では、Scrollの主なセキュリティソースはZKPから来ています。ZKPはZKの数学的原理を使用してZKEVMが安全で信頼できる動作結果であり、ZK Proof 検証の第一層チェーンとしてETHにアップロードされます。 Scrollは、すべての契約と回路の厳格な監査に加えて、コミュニティメンバーと協力してオープンソースの精神でセキュリティを強化するためのバグバウンティプログラムも開設しました。 Decentralized Prover と Decentralized Sequencer のロードマップの次のステップでは、Scroll の分散化とセキュリティを強化することもできます。 "

円卓会議に加えて、AWS(Web3 Ethical Hacking and Best Security Practices)のトレーニング、警備会社SlowMist、次世代パブリックチェーンのPolkadot、Web3アプリケーションOKX Walletの専門家による乾物の共有も味わう価値があります。 次に、記録を通じてセキュリティの最前線に近づき、セキュリティリスクカテゴリ、実践的なセキュリティ戦略、アプリケーション側のセキュリティ、および生態学的開発セキュリティに関する知識と経験を理解しましょう。

スマートコントラクトの脆弱性は、2023 のハッカー攻撃カテゴリのトップ3としてリストを支配し続けています******

スマートコントラクトの脆弱性は、2023年も引き続き最も一般的なハッキングの1つです。 セキュリティ企業Beosinが今年第3四半期に発表したセキュリティレポートによると、コントラクトエクスプロイトは、秘密鍵の漏洩、データベース攻撃に次いで3番目に多い攻撃カテゴリーとなっています。 22件の契約エクスプロイトにより、合計で約9,327万ドルの損失が発生しました。 脆弱性の内訳によると、再入の脆弱性が最も多くの損失を引き起こし、契約の脆弱性イベントの損失の約82.8%が再入の脆弱性によるものでした。 "

AWS Web3ソリューションアーキテクトのDavid Sung氏とGong Tao氏は、再入エクスプロイトを含む、スマートコントラクトでよく見られる3種類のハッキングインシデントを共有しました。 この攻撃カテゴリでは、攻撃者がコントラクトのセキュリティの脆弱性を悪用して、トランザクションが完了する前に同じ関数を繰り返し呼び出し、コントラクトの資金を複数回転送または消費します。 この攻撃は、多くの場合、契約の設計の欠陥や適切な防御戦略の欠如が原因です。 再入攻撃はスマートコントラクトのセキュリティと安定性に深刻な脅威をもたらすため、再入攻撃に対する防御は、スマートコントラクトを開発する際の重要なタスクと見なす必要があります。

他の 2 つの一般的なタイプの攻撃には、委任された呼び出し攻撃、整数オーバーフロー攻撃、アンダーフロー攻撃が含まれます。 デリゲート呼び出し攻撃は、コードの再利用を容易にするように設計されており、EVM は、呼び出し元コントラクトのバイトコードを呼び出し元コントラクトのバイトコードに挿入するためのオペコード DELEGATECALL を提供します。 したがって、悪意のあるターゲット コントラクトは、呼び出し元のコントラクトの状態変数を直接変更 (または操作) できます。 整数オーバーフローおよびアンダーフロー攻撃は、算術演算の結果がSolidityデータ型の範囲外である場合に発生する攻撃であり、その結果、その状態変数が不正に操作されます。

ハッキング攻撃への対処方法を学びたい場合は、AWS Web3 Ethical Hacking and Best Security Practices Security Hands-on Courseを参照し、関連する専用ページにアクセスしてください。

Web3プロジェクト実行前、実行中、実行後のセキュリティポリシー

Web3プロジェクトは、運用の初期段階から潜在的なセキュリティリスクを認識する必要があり、スマートコントラクト、ブロックチェーンウォレット、取引所でセキュリティインシデントが発生することがよくあります。 SlowMist Hong Kong Communityの責任者であるTony氏は「ブロックチェーンセキュリティインシデントに直面した場合、SlowMistはインシデント前、インシデント中、インシデント後の3つの段階からソリューションを提供する。 プロジェクトチームは、開発の段階に応じて、安全性の観点から潜在的なリスクを評価できます。

セキュリティインシデントが発生する前に、プロジェクトチームは潜在的なセキュリティリスクに関する包括的なテストを実施できます。 この段階では、SlowMistのレッドチームテストは、プロジェクトチームが企業の人員、企業のビジネスシステム、企業のサプライチェーン、企業のオフィスシステム、企業の物理的セキュリティなどの実際の脆弱性からの潜在的な攻撃を評価し、脆弱なノードの保護を優先し、攻撃者のコストを増やすためのカスタマイズされたセキュリティ防御ソリューションを提供するのに役立ちます。

セキュリティインシデントが発生した場合、プロジェクトチームはオンチェーンおよびオフチェーンのセキュリティのリアルタイム監視を強化し、セキュリティ会社と協力して潜在的なセキュリティ脅威をタイムリーに発見して対応する必要があります。 セキュリティインシデントが発生した場合は、SlowMistの緊急対応サポートサービスやオンチェーンおよびオフチェーンの追跡および調査サービスを使用して、タイムリーに攻撃から防御し、インシデントの根本原因を突き止めるなど、防御措置を直ちに講じる必要があります。

多くのWeb3プロジェクトチームは、セキュリティ企業からの短期的なガイダンスだけに頼るのではなく、コード設計段階でセキュリティを考慮する必要があることを考慮し、SlowMistはWeb3プロジェクトのセキュリティプラクティス要件をGithubでオープンソース化し、開発環境で注意を払う必要があるセキュリティリスクを詳細にリストアップしました。 これにより、プロジェクトチームは、Web3プロジェクトのセキュリティプラクティスの要件に基づいて独自のセキュリティシステムを構築および改善し、セキュリティ監査後に特定のセキュリティ機能を持つことを効果的に促進します。

最先端技術を積極的に取り入れる**, 安全な**Web3アプリケーションを作成する**

ブロックチェーンの基盤技術の成熟に伴い、Web3フロントエンドアプリケーションが次々と登場しており、OKX Walletは間違いなく優れたユーザーエクスペリエンスを備えた製品です。 ダイレクト・トゥ・エンド・ユーザー・アプリケーションとして、ユーザーの資金とデータのセキュリティを確保しながら、ユーザー・エクスペリエンスを向上させるにはどうすればよいでしょうか。 OKX WalletのプロダクトマネージャーであるDarrel Wang氏は、システム下部のセキュリティ強化、フルスタックのセキュリティ機能、最先端のセキュリティテクノロジーの積極的な採用に関する秘訣を共有しました。 以下で共有しましょう。

まず、OKX Walletは、ユーザーの資産に関連する商品が金融機関のセキュリティを確保するために、システムレベルで強化されています。 アプリケーションのセキュリティを強化することで、ハッキングを防止し、ユーザーが安全な環境で取引できるようにするよう努めています。

第二に、OKX Walletはフルスタックのセキュリティ機能に重点を置いています。 ノードサービス、ブロックエクスプローラーからユーザー端末まで、アップストリームとダウンストリームの完全なサービス機能により、プロセス全体で製品のコンプライアンスと優れたセキュリティパフォーマンスが保証されます。 例えば、本製品が提供するプロアクティブなリスク警告機能は、フィッシングサイトの出現を積極的に防止し、ユーザーの資産の安全性をさらに確保します。

第三に、OKX Walletは革新性を強調し、最先端のテクノロジーを積極的に採用しています。 今年は、Account Abstraction Protocol(EIP-4337)に基づくスマートコントラクトアカウントを立ち上げ、ウォレットのセキュリティ管理機能を大幅に向上させます。 MPCの秘密鍵なしウォレットは、マルチパーティのセキュアコンピューティング技術を使用して、単一障害点によって引き起こされる秘密鍵セキュリティのリスクを軽減し、ユーザーが秘密鍵を失うことを恐れないようにします。

OKX Walletは、金融会社ではなく、テクノロジー企業としての地位を確立しています。 彼らの目標は、製品のコア原理とテクノロジーの観点から問題を解決し、ユーザーに安全で便利なデジタルトランザクション体験を提供することです。

Substrate Frameworkは、開発者がより安全なブロックチェーンを構築するのに役立ちます

多くの開発者は、ブロックチェーンを構築するためのオープンソースでモジュール式で拡張可能なブロックチェーン開発フレームワークであるSubstrateに精通しています。 Polkadotリレーチェーンの基盤となるブロックチェーンフレームワークは、Substrateで構築されています。 では、Substrateはどのようにしてこのエコシステムの開発者にセキュリティを提供するのでしょうか? Polkadotエコシステムのコア開発者であるJimmy氏は、イベントで、Substrateフレームワークの下では、開発者はParityの専門エンジニアが提供するコンポーネント(パレット)を事前に構築でき、実行時にアップグレードでき、チェーンフォークを必要とせず、さまざまなコンセンサスメカニズムから選択でき、異なるチェーン間の相互運用性とセキュリティを実現すると指摘しました。

Jimmy氏はさらに、Polkadotの中核的な目標は、ブロックチェーンのクロスチェーンの相互運用性とスケーラビリティを可能にすることであると指摘しました。 Polkadotは、異なるブロックチェーンを接続して、互いに通信し、調和して機能できるようにします。 このアーキテクチャにより、異なるブロックチェーン間でのデータ交換と価値の移転が可能になり、ネットワーク全体の効率とスケーラビリティが向上します。 そのアーキテクチャには、リレーチェーンとパラチェーンが含まれ、リレーチェーンは検証とセキュリティを担当し、パラチェーンは特定の機能を提供します。 さらに、Polkadotは、スケーラビリティ、セキュリティ、分散化の3つの主要な属性間のトレードオフに焦点を当て、独自のアーキテクチャアプローチとブリッジングテクノロジーを採用して、資産の安全で効率的な転送を実現します。

Web3** プロジェクト チームは、クラウド サービス インフラストラクチャに長けている必要があります****,** サービス カテゴリ、セキュリティ、柔軟性に焦点を当てる

クラウドサービスは、取引所、パブリックチェーンからフロントエンドアプリケーションまで、Web3の特に重要な基盤インフラであり、これらはすべてクラウドサービスと切り離せません。 Web3プロジェクトでは、クラウドサービスプラットフォームのサービス範囲、セキュリティ、柔軟性が特に重要です。 AWSはWeb3における「お馴染みの」クラウドサービスプロバイダーであり、AWSソリューションアーキテクトのDavid David氏はイベントでこれら3つの側面に応えた。

サービスカテゴリ別では、AWSは世界で最も広く採用されているクラウドプラットフォームであり、グローバルに分散したデータセンターを含む200以上の機能豊富なサービスを提供し、さまざまなWeb3企業の独自のインフラストラクチャニーズに対応しています。 AWS は多くの Web3 プロジェクトにサービスを提供しており、最も広く使用されている 7 つの AWS サービスには、EC2 (Nitro Enclaves)、KMS/CloudHSM、API Gateway、S3、Elastic Block Store、Shield Advanced、WAF が含まれます。

セキュリティの面では、AWSはプロジェクト関係者にセキュリティ、コンプライアンス、ガバナンスサービスを提供することに尽力してきました。 AWS Nitro System では、セキュリティがチップレベルに組み込まれており、インスタンスハードウェアを継続的に監視、保護、検証して、潜在的な攻撃対象領域を最小限に抑えます。 また、AWSは、他のどのクラウドプロバイダーよりも多くのセキュリティ基準と認証をサポートしています。 その中で、KMS/CloudHSMと組み合わせたNitro Enclavesは、Web3 BUIDLersに最高のクラウドベースの秘密鍵セキュリティ管理ソリューションを提供し、業界で広く採用されており、Shield AdvancedとWAFは、dApps、Node、およびさまざまなWeb3インフラストラクチャレイヤーのセキュリティ保護を提供します。

柔軟性の面では、AWSはプロジェクトオーナーにさまざまなサービスカテゴリとさまざまな製品の価格オプションを提供し、コストの最適化を支援します。 Davidは、「当社は、お客様のプロジェクトのデータ分析ニーズのほぼすべてを満たすために、幅広い分析および機械学習サービスを提供しています。 データ移動、データストレージ、ビッグデータ分析、ログ分析、ストリーミング分析、ビジネスインテリジェンス、機械学習(ML)など、コストを削減するサービスを柔軟に選択できます。 "

AWSで安全なクラウドアプリケーションを構築し、AWSが提供するWeb3エコシステムをサポートする方法を知る必要がある場合は、クリックして詳細をご覧ください。

以上がこのイベントの本質であり、Web3 BUIDLersと開発者に刺激を与えたいと考えています。 私たちは、Web3エコシステムが業界のすべての関係者の継続的なセキュリティコンセンサスにより、急速な成長の次の段階を先導できることを心から願っており、CrossSpaceは引き続きAWS、業界の高品質のセキュリティ企業、およびWeb3エコシステムの参加者と協力して、より多くの共有活動をすべての人にもたらします。