暗号化発展ガイド:Web3セキュリティ技術およびセキュリティメカニズム
TechFlow厳選深潮セレクト
暗号化発展ガイド:Web3セキュリティ技術およびセキュリティメカニズム
Web3のアカウント抽象、リバーシブルトランザクションなど、注目のセキュリティ技術とメカニズムについて一文で理解する。
Web3業界の深掘り報道に専念し潮流を洞察2022年に、Web3業界はスマートコントラクトの脆弱性、ブリッジハッキング、フィッシングなどのセキュリティ問題により、過去最高額の損失を被った。SAFEISセキュリティ研究所の統計データによると、昨年発生したブロックチェーン関連のセキュリティインシデントによる総損害額は753億ドルを超え、Web3が直面するセキュリティ課題はかつてないほど深刻である。
一方で、甚大なセキュリティ被害により、多くの人々がWeb3への参入をためらうようになっている。他方で、安全性は優れたブロックチェーンプロジェクトにとって最も重要かつ必須の要素である。より多くの人々がWeb3の構築と発展に参加できるようにするためには、暗号資産のセキュリティ問題の改善が急務である。
想像に難くないことだが、2023年は暗号セキュリティ技術が重要な進展を遂げる年となるだろう。これらの新技術は、直接的にWeb3ユーザーの安全な体験を保障し、プロジェクトの発展価値を高めるものである。以下では、暗号セキュリティ技術の進展とセキュリティメカニズムの整備という二つの側面から分析を行う。読者の皆様もぜひコメント欄にて意見をお寄せいただき、共にセキュリティ問題について議論していきましょう!
Web3セキュリティ技術
周知の通り、Web3のセキュリティは中央集権的な仕組みによって守られるべきではない。しかし、暗号技術がまだ発展途上にあることから、多くのWeb3プロジェクトは中央集権的なオフチェーンセキュリティメカニズムを採用しているか、あるいは技術的な脆弱性を抱えており、結果としてWeb3参加者数の増加とともにセキュリティ問題がますます顕在化している。暗号セキュリティは、Web3の持続可能な発展を支える重要な基盤の一つであり、以下では2023年に注目されるいくつかの暗号セキュリティ技術を紹介する。
アカウント抽象(Account Abstraction)
アカウント抽象(Account Abstraction)は、暗号資産の保護およびWeb3の普及を推進する鍵となる技術と見なされている。具体的には、アカウント抽象により署名者とアカウントが分離され、アカウント自体が有効な取引を定義するロジックを持つことができるようになるため、ECDSA秘密鍵による署名アルゴリズムに依存せずに有効な取引を定義できる。これにより、現在のウォレット利用における複雑さを極力簡素化し、一般ユーザーがより簡単に、より安全に暗号ウォレットを利用できるようになる。現在、Avatarは市場で最初にアカウント抽象技術を実用化した暗号ウォレットである。OAuthプロトコルと組み合わせることで、ユーザーはGoogleアカウントを使ってワンクリックでログインでき、ブラウザ拡張のインストール、Dappのダウンロード、ウォレットの再登録といった煩雑な手順を省略できる。
さらに、アカウント抽象技術を基盤として、Social Recovery(ソーシャルリカバリー)機能を内蔵することも可能である。これにより、ウォレット所有者が選んだ一連の人々が特定の状況下でウォレット資産を移動できるようになり、所有者が秘密鍵を紛失した場合でも対応できる。たとえば、Argentウォレットはソーシャルリカバリー機能を活用した非中央集権型ウォレットであり、この技術による高いセキュリティが評価され、「スマートコントラクトウォレット」として最も人気のある存在となった。さらなる技術的進展はWeb3開発者たちの探求に委ねられており、この技術の原理については『イーサリアムアカウント抽象の未来――EIP 4337』で詳しく確認できる。
リバーシブルトランザクション(可逆取引)
ブロックチェーン取引の不可逆性は、ある意味で両刃の剣である。暗号資産の盗難事件が頻発しているにもかかわらず、取引を取り消す「元に戻す」ボタンが存在しないため、多くの参加者が資金を失い、救済手段がない。一方で、可逆取引をサポートする暗号資産はこうした盗難行為に対処できる可能性を秘めている。昨年後半、V神が2018年に提唱したDAOガバナンスに基づく可逆ERC20標準のアイデアを参考に、スタンフォード大学の研究者がERC20RおよびERC721Rという二つの可逆取引標準を提案した。
この技術は、ブロックチェーンから取引を削除することなく、事後に非中央集権的な司法投票プロセスを通じて資金を正当な所有者に返還することを可能にする。その中核となるのが「非中央集権裁判所(Decentralized Court)」という仕組みであり、資産が盗まれた被害者は資産の凍結を申請できる。その後「非中央集権裁判所」が投票により凍結の可否を決定し、凍結された資産について双方の証拠を基に所有権を裁定することで紛争を解決する。
しかし、取引を不可逆から可逆へと変えることは、多数の信頼に関するゲーム理論的課題を伴う。例えば、誰が取引の問題提起を行えるのか?悪意ある虚偽告訴により資金が不当に凍結された場合はどう対処するのか?仲裁裁判所のメンバーになる資格を持つのは誰か?悪意ある裁判官や賄賂を受けた裁判官が現れた場合はどうするのか?また、一旦争議中の資金が他の取引と絡んでしまった場合、可逆処理には比較的長い期間の審理期間が必要となる。DEXにとっては、資金の待機期間が流動性に影響を与え、アプリケーションの発展を妨げる可能性がある。そのため、可逆取引に関しては依然として多くの技術的課題が残っている。
クロスチェーン技術
クロスチェーンのセキュリティは、ブロックチェーン間のデータ孤島を打破するための鍵であり続けている。現在、すでにクロスチェーンセキュリティにおいて進展を見せているプロジェクトもある。例えば、Stargate FinanceはLayerZeroプロトコルに基づいて構築された最初のDappであり、独自開発の「Delta (Δ) アルゴリズム」を用いることで「不可能三角」問題を「完全に」解決し、Layer0の相互運用性を利用して各パブリックチェーン間の流動性の孤島を接続している。安全性を確保しつつシステムの資本効率を向上させ、初めて真正に組み合わせ可能なネイティブアセットブリッジを構築し、クロスチェーン流動性の移転をシームレスで単一的かつ安全なプロセスにしている。
また、DEXプラットフォームChainge Financeは、DCRM技術を活用してユーザーのクロスチェーン資産の安全性を保護している。DCRM技術は、完全な秘密鍵を複数の部分に分割し、生成から保管、使用まで再構成を必要としないようにするものである。分割された鍵の断片は異なるノードに分散して保管される。Chaingeはこの技術を応用し、複数のDEXのデータを自動取得してユーザーに最適な取引レートを提供し、さらに取引注文を複数のチェーンに自動的に分割することで、ユーザーが最大限の利益を得られるようにしている。
要するに、主流のクロスチェーン技術であるノタリー方式、ハッシュタイムロック、リレーモードとは異なり、多くのプロジェクトが技術革新によってセキュリティの壁を築き始めている。ただし、こうしたセキュリティ技術が本当にWeb3のクロスチェーンセキュリティ要件を満たしているかどうかについては、今後さらに時間が検証する必要がある。
Web3セキュリティメカニズム
技術の発展と成熟には一定の時間的コストがかかる。一方で、常に脅威にさらされる暗号セキュリティ問題に対して、多くのWeb3参加者はリスク回避のために外部のセキュリティメカニズムを採用している。
非中央集権型監査(Decentralized Audit)
セキュリティ監査は、Web3プロジェクトがリスクを回避する上で極めて重要なステップであり、今年の監査サービスは普及化と非中央集権化の二方向に進展すると予想される。まず、多くのプロジェクトがセキュリティ監査の重要性に気づき始め、潜在的なリスクを回避するために専門の監査を求めるWeb3プロジェクトが大量に出現するだろう。年初にはTinTin Meetingの番組で業界の監査専門家を招き、Web3監査のセキュリティについて議論を行い、プロジェクトチームやユーザーに必要なセキュリティ知識を提供した。関心のある方は『スマートコントラクト監査――ブロックチェーンセキュリティを守る最重要防衛線』で詳細を確認できる。
他方で、監査は非中央集権化の方向へ進み、DAO的な特徴をますます強めている。Code4renaやImmunefi.comなどのセキュリティ監査サービスプロバイダーの動向を見れば、ブロックチェーンのセキュリティ作業が、特定プロジェクトの多様なセキュリティニーズに対応・解決するために、一時的に編成される小型でアジャイルなチームに依存する形へと進化していることがわかる。
たとえばCode4renaでは、監査コンテストの形式を採用している。コンテスト内では、ガーディアン(Wardens)、スポンサー(Sponsors)、審査員(Judges)という役割を設定し、プロジェクトの監査を実施している。現在、Code4renaはOpenSea、ENS、zkSync、Aave、Alchemix、Nounsなどとの協業を進めている。
非中央集権型保険(Decentralized Insurance)
昨年のLUNAおよびFTX事件を経て、多くの業界関係者がセキュリティ保障の重要性を認識し、非中央集権型のセキュリティ保険に対する需要が高まった。統計によると、2022年末までに非中央集権型保険サービスは1150万ドルの支払いを行った。多くの投資家がリスク損失を最小限に抑え、資産の安全を守るために保険サービスに注目している。
非中央集権型保険サービスは、暗号資産に固有のリスクに対して保護を提供できる。ますます多くのユーザーが暗号市場に参入するにつれ、リスク保険商品に対する需要はさらに高まると予想される。現在、こうした保険商品の保険料は月0.2%から0.9%程度で、供給が需要に追いついておらず、多くの保険サービスはすでに売り切れ状態にある。現在の暗号保険はまだ初期段階にあり、流動性、資本効率、製品の使いやすさ、コストなど多くの改善点があるが、これらについては2023年に光明が見えると期待されている。
全体として、2023年はWeb3業界が暗号セキュリティ技術と暗号セキュリティメカニズムの両面で継続的に力を入れていくだろう。さらに、Web3の非中央集権的な特性により、暗号セキュリティの革新は公開かつオープンソースの環境で行われており、その進捗と成果をリアルタイムで確認できるため、Web3のセキュリティ問題を効率的に解決することが可能である。ある意味で言えば、Web3の成功は、いかにしてセキュリティレイヤーにおいて革新を起こし、さまざまなアプリケーションアーキテクチャがもたらす新たなセキュリティ課題を解決できるかにかかっており、つまりアプリケーション層にさらに高度なセキュリティを提供し、エコシステムのユーザーにより大きな安心感を与えることが求められている。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@OurTinTinLand
