今月初めにCurve Financeのウェブサイトが大規模なDNSハイジャックを受けた後、ハッカーが暗号資産企業を狙う新たな手法に対する懸念が高まっている。SNSの侵害からフロントエンドの脆弱性、スマートコントラクトの脆弱性まで、Web3エコシステムは持続的な脅威に直面している。
DeFiと暗号資産が人気を集めるにつれ、悪意ある目が増えている。攻撃は今やほぼ避けられないものとなっている。では、どのように抵抗が達成されるのか。Curve Financeの創設者であるマイケル・エゴロフ氏が、BeInCryptoとの独占インタビューでこれらのトピックについて語った。
カーブファイナンス、ハッキングに対応
今年、暗号資産史上最大の窃盗事件が発生し、それは孤立した事件ではなかった。DeFiエコシステムへの高度な攻撃が増加しており、コインベースでの内部フィッシング、プロトコルレベルでのzkSyncでの脆弱性の悪用、そしてCurve Financeでの大規模なDNSハックが含まれる。
エゴロフ氏はWeb3業界の構造的脆弱性とその対応方法について議論した。
「従来のウェブセキュリティの問題は新しいものではない。Web2の世界では、こうした問題による被害はしばしば抑えられるため、大きな問題ではなかった。しかし、暗号資産では、すべての取引がほぼ瞬時に最終的なものとなるため、リスクが非常に異なる。この結果、このセクターのセキュリティ基準は非常に高く、今日のインターネットインフラはこれらの要求を満たすように構築されていない」と同氏は述べた。
Curve Financeは、主要な分散型取引所であり、DeFiの脆弱性についての議論において強力な背景を持つ。長い歴史の中で、Curveは重要なセキュリティインシデントに直面し、管理してきたが、何度も、同社はセキュリティアプローチを継続的に適応させることを余儀なくされた。
しかし、今月初め、取引所のウェブサイトが最新の標的となった。最終的に、DEXは公式ドメインを変更せざるを得なかった。エゴロフ氏の見解では、問題は最終的に我々が知るインターネットに内在するものである。
「私の見る限り、技術的にもっと良くできたことはなかった。この問題は今回は外部的なものであった。私の意見では、ウェブアプリケーションの構築方法に根本的な問題がある。安全性を最優先にしてゼロから構築された安全なデスクトップアプリケーションが必要だ」とエゴロフ氏は述べた。
具体的には、Curve攻撃や最近のハッキングを可能にしたいくつかの構造的脆弱性を指摘した。Web3アプリは依然として、サイトのドメイン名をフロントエンドホスティングに接続するためにDNSレジストラを使用して、何らかの静的ウェブサイトとやり取りしなければならない。
攻撃者がこれらのサーバーを騙したり、ハイジャックしたり、賄賂を渡したりすると、非常に効果的な攻撃経路が開かれる。これは最近Curveで使用された戦術である。
これは今日のレガシーな「Web2」インターネットインフラのいくつかの構造的問題の一つに過ぎない。例えば、ウェブページは数千のJavaScriptマイクロパッケージに依存しており、それぞれを個別に監査するのは難しい。
侵害されたパッケージは、DeFiプロトコルのセキュリティを巧妙かつ効果的に回避することができる。つまり、Web3は多くのWeb2攻撃に対して脆弱である。
Web3の問題には新たな解決策が必要
エゴロフ氏は、暗号資産業界がこれらの問題に恒久的に対処するためには、大規模な構造的変更が必要であると主張した。例えば、Ethereum Name Service(ENS)をDNS攻撃を回避するためのブロックチェーンネイティブな方法として挙げた。
採用されればENSは効果的だが、主流になるにはブラウザレベルのサポートが十分ではない。
たとえCurveがWeb3ベースのセキュリティ対策でハッキングを防ぐための機関の支持を得たとしても、新しいエコシステムは我々にとってやや認識しにくいものになるかもしれない。
例えば、エゴロフ氏はウェブトラフィックの収益化構造全体が変わる必要があると述べた。代わりに、主要なプレーヤーが維持費を負担し、それがセキュリティの向上によってインセンティブ化されることになる。
「そのようなアプリを構築するのは多くの作業が必要で、DeFiインターフェースを再実装し、ウェブ技術を完全に避け、収益化の手段がない可能性が高い。しかし、特に多くのユーザーファンドを扱う機関からの強い需要があると信じている」と同氏は指摘した。
これらの解決策は間違いなく急進的だが、エゴロフ氏はこれらの問題が技術的ではなく社会的なものであると強調した。同氏は、既存のブロックチェーン研究を使用して構築可能なセキュリティ対策のみを提案したが、それらは十分であるだろう。
言い換えれば、大規模な攻撃のペースが増加し続けるならば、これらの改革に対する熱意が高まるかもしれない。Curve Financeは、これらの脆弱性のないWeb3の未来を構築する準備ができている。
しかし、現在のセキュリティ脅威が続く中、エゴロフ氏のDeFiへのアドバイスは、より専用のデスクトップアプリケーションを構築することである。
「前述したように、フロントエンドアプリの構築モデルは非常に安全性が低く、攻撃の余地が非常に大きい。より良いセキュリティレベルを達成するためには、DeFiのやり取りは専用のデスクトップアプリケーションに移行するのが理想的だ」とCurveの創設者は結論付けた。
Follow us on:
X(Twitter):@BeInCryptoJapan
Telegramチャンネル:@BeInCrypto Japan オフィシャルチャンネル
免責事項 - Disclaimers
当ウェブサイトに掲載されているすべての情報は、誠意をもって作成され、一般的な情報提供のみを目的としています。当ウェブサイトに掲載されている情報に基づいて行う一切の行為については、読者ご自身の責任において行っていただきますようお願いいたします。