
なぜ監査に合格したプロジェクトでもハッカー攻撃を受けるのでしょうか?
TechFlow厳選深潮セレクト

なぜ監査に合格したプロジェクトでもハッカー攻撃を受けるのでしょうか?
auditsを実施するプロジェクトが増えているにもかかわらず、ハッキングやRugプル事件は依然として頻発している。
執筆:Stacy Muur
翻訳:TechFlow
セキュリティの問題は業界内で常に注目されています。多くのプロジェクトが監査を実施するようになっている一方で、ハッキングやRugプル事件は依然として発生しており、人々はスマートコントラクトの安全性を本当に保証できるのか疑問を抱き始めています。
本稿では、研究者であるStacy Muurが、暗号世界における監査の役割について考察し、過去に発生したハッキング事例を分析するとともに、監査会社の成功確率を評価することで、暗号資産の安全性に対するより深い理解を提供します。
zkSyncベースの分散型取引所Merlinが攻撃を受け、110万ドル以上を失った事件がありました。この取引所はCertiKによる認証を受けており、同社はすべての監査の約70%を占めています。これにより、「監査を信じることはできるのか?」という疑問が浮上しています。
ここでは、すでに監査を受けたにもかかわらずハッキングされたプロトコルの事例を調査し、本当に安全が保証されているのかどうかを検証していきます。

CertiKはWeb3におけるすべての監査の約70%を占めており、REKTデータベース(3,000件以上のハッキング記録を含む)に登録されたネガティブイベントのうち、33社が同社の監査対象でした。
さらに、DEX MerlinもCertiKが監査しましたが、まだそのデータベースには追加されていません。そのため、これは監査失敗リスト上の34番目の企業となります。

この逆向きのイベントランキングにおいて、PeckShield Inc.はCertiKに次いで第2位で、18件の攻撃およびRUG事件の記録があります。

第3位はDeFi Safetyで、12件のハッキング事件を経験しています。ただし、2021年以降、彼らが監査したプロジェクトは一度もハッキングされていない点は注目に値します。

また、監査件数/ハッキング件数の比率に基づき、トップセキュリティ会社のランキングを作成しようと試みました。このランキング作成には、Coingeckoによる優良監査会社の評価と前述のREKTデータベースを活用しました。
以下がそのランキングです:

*注:この表は筆者が独自に整理したデータであり、現時点で業界内に公正なランキングは存在しません。
なお、各ハッキング事件はそれぞれの状況に応じて個別に評価されるべきであり、上記の表は監査会社の成功率に関する信頼できる情報源とは見なすべきではありません。なぜなら、あまりにも包括的すぎるからです。
これが私の調査の簡単なまとめです:監査は安全を保証しない。
私の暗号通貨業界でのキャリアを通じて、十数社の監査済み企業で働いてきました。ほとんどの場合、重大な脆弱性は内部開発者によって発見されていました。
通常、監査は潜在的な脆弱性を検出するための一般的なスクリプトを使用して行われます。しかし、各企業は独自のコードとアーキテクチャを持っており、個別の対応が必要です。1か月以内に深く徹底的な監査を行うことが可能でしょうか?正直に言えば、私は疑問に思います。
一般的に言って、監査はコントラクト内の資金の安全性を高める可能性があります。監査なしのプロジェクトは、ハッキングやRugに対してより脆弱です。しかし、誰も100%の安全性を保証することはできないことを忘れてはなりません。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














