セキュリティ監査は重要ですが、その結果は通常異議が唱えられません。1回のレビューではすべての脆弱性を常に見つけることができません。公開監査は、ホワイトハットハッカーにDeFiインセンティブを通じた監査結果の二重チェックを促すことで、Web3全体のセキュリティを向上させる可能性があります。なぜなら、それによりバグバウンティを小規模プロジェクトでも手頃な価格で提供できるようになるからです。## なぜ通常の監査が必ずしも十分ではないのかHackenによるQ3セキュリティレポートによると、Web3業界は2024年だけで驚異的な18億ドルを失いました。これらの損失の約40%は、スマートコントラクトの脆弱性や再入攻撃のような予防可能な問題によるものでした。驚くべきことに、ハッキングされたプロジェクトの90%が監査を受けたことがなく、セキュリティの重大な見落としが浮き彫りにされています。従来のセキュリティ監査は不可欠です。プロジェクトのライフサイクルの重要なポイントでの詳細で専門家主導のレビューを提供し、ユーザー資金の安全を確保します。ただし、これらの監査の中央集権化の性質のため、その結果に異議を唱える機会は通常ありません。プロジェクトが二次監査に投資することがない限り、これはまれな出来事です。すべてを捉えるために単一のレビューを期待することは現実的ではありません。最も熱心な監査人でさえ、人為的なエラーに陥りやすいです。この問題の解決策は、web3の分散化の理念にあります。暗号資産プロジェクトは、より広範な白帽ハッカーコミュニティを巻き込んで公開監査を行うことができ、分散化された、継続的でコミュニティ主導のセキュリティレビューを提供できます。## 分散型セキュリティ監査:原則と特典分散型監査を設計する上で最も重要な問題は、独立した監査人に強いインセンティブを与える一方で、プロジェクトに追加費用がかからないようにすることです。 DeFiツールを通じてこのバランスを取る可能性がある方法を1つ示しましょう。セキュリティプラットフォームが新しいクライアントから監査のリクエストを受けるたびに、専用のスマートコントラクトベースの報酬プールを立ち上げると想像してみてください。企業は監査のコストの一部をこのプールに充て、そのトークン保有者はプラットフォームのトークンをステーキングすることでさらに貢献します。プラットフォームが独自の監査を完了した後、独立したセキュリティ研究者が参加し、クライアントのコードを二重チェックします。コミュニティ監査が完了すると、独立した監査者とステーカーはプールから報酬を受け取ります。DualDefense Flash PoolsはHackenでの動作方法です。プライベート監査を支払うすべてのクライアントは、追加のパブリック監査を受け取り、二重のセキュリティモデルが作成されます。そして、DeFiの真の精神に則り、コミュニティの参加はステーキング報酬でインセンティブが与えられます。このアプローチには、コミュニティが高い実質利回りのAPYインストルメントを獲得し、監査人が調査結果のピアテストを歓迎し、白帽ハッカーが有効なバグ発見の報酬を得ることができるという広範な利益があります。クリーンコードを見つけるために、クリーンコードを見つけることさえ報酬が支払われます。暗号プロジェクトにとっては、コードの安全性の増加を意味します。 Web3産業全体にとって、セキュリティの向上とサイバー犯罪の防止に向けた現実的なアプローチを提供します。分散化された監査は、特に新興のweb3プロジェクトに対するセキュリティへのアクセスを民主化します。多くの仮想通貨のスタートアップは優れたMVPを持っていますが、しばしば従来のバグバウンティにはリソースが不足しており、倫理的なハッカーがどれだけのバグを発見するかを予測することはできません。私たちが提案するモデルは、固定されたコミュニティ資金による報酬プールを用いて、セキュリティを初めからアクセス可能で予測可能なものにしています。このモデルを実装することは、監査会社にとってかなり具体的なリスクをもたらします。外部の監査人による作業の検証を許可することで、プラットフォームの評判をかけます。しかしこのようにすることで、会社はさらに注意深く監査に取り組む刺激を得ることができます。自身の作業結果が公になることを知っているため、この結果として、業界全体が利益を受けることになるでしょう。スマートコントラクトの監査人は、監査後に立ち去るべきではありません。大胆になり、責任を取る時が来ています。ついに、パブリックオーディットプールは、ディーファイが欠けているもの、つまり現実のお金で裏付けられた報酬を導入します。このモデルは、インフレーションのトークン発行による利回りが駆動されることがないため、持続不能な成長と価値の減少をもたらすことが多い問題を保証します。その代わりに、ユーザーは実際の市場活動から利益を得ることができ、ディーファイにおけるより持続可能な金融モデルに向けた一歩を踏み出します。従来の監査とオープンコミュニティによる監査を組み合わせることで、あらゆるスケールのプロジェクトに適した強固なセキュリティモデルの道を開くことができます。DeFiによるインセンティブによって支えられた公開監査は、web3におけるアクセス可能で堅牢かつ積極的なセキュリティ文化に向けた転換の一歩となります。ダイマ・ブドーリン**Dyma Budorin**は、Hackenの共同創設者兼CEOであり、リーディングのブロックチェーンセキュリティ監査官であり、EEA DRAMA(DeFiリスク評価・管理・会計グループ)の共同議長であり、暗号通貨業界の基準の共同筆者でもあります。Deloitteでの監査経験を8年以上積んだ後、ウクルスペースエクスポートで監査顧問、ウクリンマシュ(ウクライナの国営機関)で戦略・開発副CEOを務めました。暗号通貨愛好家であり、サイバーセキュリティの専門家であるDymaの洞察力はBBC、Wired、Cointelegraph、Coindeskなどの信頼できるメディアで取り上げられています。また、ウクライナのブロックチェーン協会の副会長も務めています。
サイバーセキュリティの分散化:パブリック監査はWeb3に利益をもたらす
セキュリティ監査は重要ですが、その結果は通常異議が唱えられません。1回のレビューではすべての脆弱性を常に見つけることができません。公開監査は、ホワイトハットハッカーにDeFiインセンティブを通じた監査結果の二重チェックを促すことで、Web3全体のセキュリティを向上させる可能性があります。なぜなら、それによりバグバウンティを小規模プロジェクトでも手頃な価格で提供できるようになるからです。
なぜ通常の監査が必ずしも十分ではないのか
HackenによるQ3セキュリティレポートによると、Web3業界は2024年だけで驚異的な18億ドルを失いました。これらの損失の約40%は、スマートコントラクトの脆弱性や再入攻撃のような予防可能な問題によるものでした。驚くべきことに、ハッキングされたプロジェクトの90%が監査を受けたことがなく、セキュリティの重大な見落としが浮き彫りにされています。
従来のセキュリティ監査は不可欠です。プロジェクトのライフサイクルの重要なポイントでの詳細で専門家主導のレビューを提供し、ユーザー資金の安全を確保します。ただし、これらの監査の中央集権化の性質のため、その結果に異議を唱える機会は通常ありません。プロジェクトが二次監査に投資することがない限り、これはまれな出来事です。すべてを捉えるために単一のレビューを期待することは現実的ではありません。最も熱心な監査人でさえ、人為的なエラーに陥りやすいです。
この問題の解決策は、web3の分散化の理念にあります。暗号資産プロジェクトは、より広範な白帽ハッカーコミュニティを巻き込んで公開監査を行うことができ、分散化された、継続的でコミュニティ主導のセキュリティレビューを提供できます。
分散型セキュリティ監査:原則と特典
分散型監査を設計する上で最も重要な問題は、独立した監査人に強いインセンティブを与える一方で、プロジェクトに追加費用がかからないようにすることです。 DeFiツールを通じてこのバランスを取る可能性がある方法を1つ示しましょう。
セキュリティプラットフォームが新しいクライアントから監査のリクエストを受けるたびに、専用のスマートコントラクトベースの報酬プールを立ち上げると想像してみてください。企業は監査のコストの一部をこのプールに充て、そのトークン保有者はプラットフォームのトークンをステーキングすることでさらに貢献します。プラットフォームが独自の監査を完了した後、独立したセキュリティ研究者が参加し、クライアントのコードを二重チェックします。コミュニティ監査が完了すると、独立した監査者とステーカーはプールから報酬を受け取ります。
DualDefense Flash PoolsはHackenでの動作方法です。プライベート監査を支払うすべてのクライアントは、追加のパブリック監査を受け取り、二重のセキュリティモデルが作成されます。そして、DeFiの真の精神に則り、コミュニティの参加はステーキング報酬でインセンティブが与えられます。
このアプローチには、コミュニティが高い実質利回りのAPYインストルメントを獲得し、監査人が調査結果のピアテストを歓迎し、白帽ハッカーが有効なバグ発見の報酬を得ることができるという広範な利益があります。クリーンコードを見つけるために、クリーンコードを見つけることさえ報酬が支払われます。暗号プロジェクトにとっては、コードの安全性の増加を意味します。 Web3産業全体にとって、セキュリティの向上とサイバー犯罪の防止に向けた現実的なアプローチを提供します。
分散化された監査は、特に新興のweb3プロジェクトに対するセキュリティへのアクセスを民主化します。多くの仮想通貨のスタートアップは優れたMVPを持っていますが、しばしば従来のバグバウンティにはリソースが不足しており、倫理的なハッカーがどれだけのバグを発見するかを予測することはできません。私たちが提案するモデルは、固定されたコミュニティ資金による報酬プールを用いて、セキュリティを初めからアクセス可能で予測可能なものにしています。
このモデルを実装することは、監査会社にとってかなり具体的なリスクをもたらします。外部の監査人による作業の検証を許可することで、プラットフォームの評判をかけます。しかしこのようにすることで、会社はさらに注意深く監査に取り組む刺激を得ることができます。自身の作業結果が公になることを知っているため、この結果として、業界全体が利益を受けることになるでしょう。スマートコントラクトの監査人は、監査後に立ち去るべきではありません。大胆になり、責任を取る時が来ています。
ついに、パブリックオーディットプールは、ディーファイが欠けているもの、つまり現実のお金で裏付けられた報酬を導入します。このモデルは、インフレーションのトークン発行による利回りが駆動されることがないため、持続不能な成長と価値の減少をもたらすことが多い問題を保証します。その代わりに、ユーザーは実際の市場活動から利益を得ることができ、ディーファイにおけるより持続可能な金融モデルに向けた一歩を踏み出します。
従来の監査とオープンコミュニティによる監査を組み合わせることで、あらゆるスケールのプロジェクトに適した強固なセキュリティモデルの道を開くことができます。DeFiによるインセンティブによって支えられた公開監査は、web3におけるアクセス可能で堅牢かつ積極的なセキュリティ文化に向けた転換の一歩となります。
ダイマ・ブドーリン
Dyma Budorinは、Hackenの共同創設者兼CEOであり、リーディングのブロックチェーンセキュリティ監査官であり、EEA DRAMA(DeFiリスク評価・管理・会計グループ)の共同議長であり、暗号通貨業界の基準の共同筆者でもあります。Deloitteでの監査経験を8年以上積んだ後、ウクルスペースエクスポートで監査顧問、ウクリンマシュ(ウクライナの国営機関)で戦略・開発副CEOを務めました。暗号通貨愛好家であり、サイバーセキュリティの専門家であるDymaの洞察力はBBC、Wired、Cointelegraph、Coindeskなどの信頼できるメディアで取り上げられています。また、ウクライナのブロックチェーン協会の副会長も務めています。