Groom Lake:DeFiの無秩序な世界における民間警備会社
TechFlow厳選深潮セレクト
Groom Lake:DeFiの無秩序な世界における民間警備会社
今日のWeb3には、我々自身のピンカートンが必要だ。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Lewy
編集・翻訳:TechFlow
2014年以降、ハッキングや脆弱性により約800億ドルが盗まれたと推定されている。昨年のみでも約100億ドルが失われ、そのうち40億ドルは暗号資産からだった。今年の第2四半期には、暗号資産関連の損失が3億ドルを超え、イーサリアム単体でも55件のインシデントによって約6500万ドルの損害が出ている。
DeFiのセキュリティは不十分であり、Groom Lakeを設立したFDRはこれを改善しようとしている。現在の市場におけるレバレッジの必要性やインシデント対応計画、あるいは運用監視面での脆弱性防止など、さまざまな側面からアプローチしている。
今のDeFiはまるで無法地帯のようだ。
かつての西部開拓時代では、地域の保安官や連邦捜査官が助けにならない場合、人々はピンカートンに頼った。ピンカートンとは1850年頃に設立された民間警備・探偵機関である。
今日のWeb3にも、我々自身のピンカートンが必要だ。プロトコルや個人は常にハッカーと脆弱性によって資金を失っており、その後は無邪気に攻撃者に返金を乞うている。
今月初めには、Vyper/Curveの予期せぬバグ利用が発生し、ハッカーはそこから6900万ドルを獲得した。
我々が目にするように、プロトコルは変動する環境の中で上場に集中しており、必ずしもセキュリティ対策に余分な時間を割いているわけではない。
脆弱性への対応において、時間はまさに命取りとなるだけでなく、レバレッジともなる。進行中の事態では、プロトコルや個人が迅速にステップアップして優位に立つことが求められる。
FDRはあるエピソードを語り、悪用者の影響力を抑えるためにすべての通信を制限したと述べた。そのためTwitter上では一切の騒音もなく、情報も何もなく、完全な沈黙が保たれた。
その後、攻撃者は一時的なProtonmailアドレスからメールを送信したことで、自ら影響力を失い、結果としてハッカーは崩壊した。
巧みな心理戦を通じて、彼のチームは専門的に状況をコントロールした。
Groom Lakeとは何か?
FDRが言うところによると、「Groom LakeはDeFiのための民間軍事会社(PMC)」である。
Groom Lakeは、サイバーセキュリティおよび諜報活動に特化した企業だ。構造、フレームワーク、危機対応計画、コンプライアンスに至るまで、あらゆるものを提供する。プロトコルに必要な能動的・受動的セキュリティ対策を提供し、FDRはGroom Lakeのために軽歩兵部隊のような俊敏なチームを創出したいと考えている。
現在の体制では、Groom Lakeは世界中どこでも24〜48時間以内にエージェントを現地に派遣し、リアルタイムでの展開と任務遂行が可能だ。
Web2と比較すると、アクティブなケースでは問題解決に72時間もの猶予がある上、無限のリソースを利用できる。だが暗号資産分野で見られる多くのハッキングでは、攻撃者は数時間で資金を空っぽにすることができるため、部隊を召集している暇はない。
現在の環境下では、サイバーセキュリティコンサルティング企業がしばしばプロトコルを恐喝し、プロジェクトがセキュリティコンサルティングに巨額を支払うことを前提に商売をしている。また、監査費用も安くはない…数千ドルから数十万ドルに及ぶこともある。
Groom Lakeは、能動的および受動的なセキュリティサービスを提供しており、そのコストは内部の専任サイバーセキュリティ要員一人よりも低い。また、心理戦、攻撃的ハッキング作戦、防御セキュリティ、フォレンジック、さらには人的諜報に至るまで、あらゆる領域に注力している。Groom Lakeは六大陸にわたり、政府や機関に潜入したネットワークを利用できる。
最良と最悪のセキュリティ実践
ユーザーと創業者が取るべき最良および最悪のセキュリティ習慣について問われたとき、FDRには多くの意見があった。
VPNを使ってプライバシーを強化する場合、ローカルで独自のソフトウェアを開発し、高度な設定を最大限に活用しているVPNを選ぶべきだ。「14か国アイ同盟(Fourteen Eyes)」という、米国、ドイツ、英国など14か国による監視情報を共有する連合があることに注意が必要だ。プライバシーを最大限に保護するには、これらの国以外に本社を置くVPNプロバイダーを選ぶこと。FDRが言うように、「一度あなたのデータが管理外に出れば、それは公開された標的になる…」。
悪いセキュリティ実践のもう一つの例は、SMSを使った2段階認証(2FA)の使用だ…FDRの言葉が最も的確だろう。「えっ、何で?どうして?」2FAがないよりはマシだが、SMSを使う理由はまったくない。仮想認証アプリを使えばよいのだ。FDRはGoogle AuthenticatorやAuthyといったVA(仮想認証アプリ)を推奨しており、使いやすく安全で直感的だからだ。Yubikeyの使用もまた優れた実践であり、やや偏執的ではあるが非常に安全である。
こうした「低次元」のセキュリティ実践を超えて、FDRが最も重視するのは、プロトコルが危機対応計画(CRP)を確立することである。米軍において、明確なコミュニケーションは効果的な調整と成功の結果に不可欠だ。セキュリティ侵害などの問題が発生した場合、関係者全員が自分の役割を把握しているのは、事前に定義された危機対応計画(CRP)のおかげである。コミュニティマネージャーは事前準備されたメッセージを用意し、最初の48時間は交代で勤務する。インシデント対応マネージャーは中央のハブとして、行動を調整し、全員が同期していることを確認する。法務、広報、メディアチームは交渉メールのドラフト作成を準備する。能動性が極めて重要であり、誰もが自分の責任を理解し、効率的に遂行する。FDRの提案では、消防訓練のように少なくとも年に一度はCRPの訓練を行うべきだ。こうした対策により、個人もプロトコル全体も、ハッキングやその他の脆弱性といった最悪の事態に備えることができる。
Droseraとは何か?
Droseraは、EigenLayer上に構築されたスマートコントラクト群であり、世界初の分散型自動対応集団(DARC)である。これにより、コンセンサス層のETHオペレーターがハッキングのリスクを軽減できる。
Droseraは24時間体制の監視とインシデント対応能力を提供する。
プロトコルはガスコストの削減という恩恵を得られる。なぜなら、高度な検証チェックはオンチェーンではなくオフチェーンで実行されるからだ。Droseraは独自技術を用いて、プロトコルのセキュリティ設定を隠蔽する。これはオペレーターさえも含めた完全な秘匿性を意味する。
DroseraはGroom Lakeの副産物である。FDRは、Web3において非常に俊敏なチームが、規制がほとんどなく構造も整っていない業界・環境で、製品を可能な限り早く市場に投入しようと必死になっている現状を認識した。その結果、プロジェクトにはセキュリティ運営に時間をかける余裕がなく、すべてを安全に保つことができない。そこでDroseraの構想が生まれたのだ…。
Droseraの開発にあたって、FDRはユーザーフレンドリーなアクセスを最優先にした。なぜならDeFiや暗号資産分野は、ユーザーおよび創業者に対して往々にして親しみにくい傾向があるからだ。Droseraは、バグ報奨金や監査よりも低コストで利用可能な、簡単にアクセスできるサービスを目指している。FDRは、顧客がサイトにアクセスしてボタンをクリックするだけで機能を使えるような、簡素化されたユーザーエクスペリエンスを描いている。
Droseraは、5段階のプロセスを通じてセキュリティ脆弱性の影響を軽減する。第一に、プロトコルが「タスク」を発行し、有効条件と緊急対応措置を明確に定義する。第二に、Droseraオペレーターがこの「タスク」に参加し、プロトコルを代表して自動監視を行う。第三に、これらのオペレーターが有効条件の違反となる状態変化を検知し、即座にその状態をブロードキャストする。第四に、オペレーター間で合意が形成され、いずれかのオペレーターによる提出を通じて、プロトコルが事前に設定した緊急行動が起動する。最後に、この行動により、プロトコルに対するさらなるリスクが実際に抑制・軽減される。FDRは、24〜48時間の時間枠内で、Droseraが検知から展開まで迅速に対応でき、攻撃者に直接対峙することさえ可能だと保証している。
完全にプログラム化されたアプローチと比べ、Droseraは複雑な構造の必要性を減らすことで、開発者の時間を節約し、追加コストを抑える。初めて手軽に利用できるセキュリティソリューションを提供するプラットフォームとして、Droseraは少しずつネットワークの安全性を高めていく。
開発スケジュールに関しては、DroseraはEigenLayer上でアクティブバリデーターサービス(AVS)として構築されている。最小限の実用製品(MVP)は現在、初期の実世界データ収集と「セキュリティAVS」としての地位確立に向けて展開待ちの段階にある。第2フェーズでは、B2Bビジネス開発に重点を置き、主要パートナーとの協業を通じてより広範なEVMエコシステムへの入り口とする。2026年第1四半期までに、DroseraはAシリーズ調達を完了し、完全に民主化され分散化されたセキュリティ市場へと成長することを目指している。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@FlywheelDeFi
