
AWS Web3 Developer Camp 2023 ハイライトリプレイ
TechFlow厳選深潮セレクト

AWS Web3 Developer Camp 2023 ハイライトリプレイ
本セキュリティテーマシンポジウムには、Beosin、Conflux、Hashkey Exchange、OKX Wallet、Polkadot、Scroll、SlowMist、SNZ Capital、Taikoなど、業界を代表する複数の機関から専門家およびゲストが参加しました。
編集:CrossSpace
12月7日、アマゾンウェブサービス(AWS)が主催し、CrossSpaceコミュニティが独占的にサポートしたWeb3 Developer Campが、AWS銅鑼湾イベント会場にて成功裏に開催されました。本イベントは「Web3セキュリティ」シリーズのオフライン共有セッションとして位置づけられ、Web3セキュリティ、ウォレット、L1/L2パブリックチェーン、クラウドサービス、取引所、投資機関などから専門家や幹部が参加し、内容の濃い議論と高い関心を集めるWeb3セキュリティ会議となりました。
グローバルクラウドサービス市場のリーダー企業として、AWSは常にWeb3業界におけるセキュリティ実践に関心を持ち、積極的に探求しています。今回のセキュリティ一連の活動を主導することで、業界関係者のセキュリティ意識向上を目指し、持続可能なWeb3エコシステム構築を通じて、2024年の各分野の健全な発展基盤を築くことを目指しています。本セキュリティテーマのシンポジウムには、Beosin、Conflux、Hashkey Exchange、OKX Wallet、Polkadot、Scroll、SlowMist、SNZ Capital、Taikoなど複数の業界トップレベルの機関から専門家・ゲストが参加しました(順不同)。
記事の冒頭では、まず当日のパネルディスカッションで話題となったホットトピックを振り返ります。このセッションには、Web3分野の先進的機関であるTaiko、Hashkey Exchange、Beosin、SNZ Capitalの幹部および専門家が登壇し、各プロジェクトがどのようにWeb3セキュリティの使命を実践しているかについて語りました。また、注目のL1/L2パブリックチェーンであるConfluxとScrollからは、2024年の技術およびエコシステム発展ロードマップが初公開されました。

左から:CrossSpace共同創業者兼CEO Leon(司会)、SNZ Capital投資マネージャーMichael、Taiko共同創業者兼CSO Terence、ConfluxCTO Ming Wu、Scrollアジア太平洋地域成長責任者Marcus Liu、Hashkey Exchange取引所プロダクトディレクターVincent Wong、BeosinセキュリティリサーチャーEaton。
パネルディスカッション:Web3プロジェクトが留意すべきセキュリティ事項とは?
Web3プロジェクトは成長過程において市場拡大に注力しすぎて基礎的なセキュリティを軽視しがちですが、今年相次ぐ大規模なオンチェーン資金盗難事件は、業界関係者にセキュリティの重要性を改めて認識させました。長年セキュリティ分野に取り組んできたBeosinのセキュリティリサーチャーEatonは、プロジェクトチームへ以下のアドバイスを示しました。「プロジェクト初期段階では、AIや監査ツールを活用して契約の脆弱性チェックを迅速化し、監査時間を短縮するとともに複雑なビジネスロジックの問題に対処すべきです。開発フェーズでは、ビジネスロジックの正確性を確保し、テスト重視の開発手法(テスト駆動開発)を採用することが重要です。また、サードパーティアプリケーションとの統合には慎重を期し、未知のセキュリティリスクを防ぐ必要があります。プロジェクト完了後は、専門の監査チームによる監査を強く推奨します。これにより潜在的な脆弱性を発見・解決し、プロジェクトの安全性を確立できます。」
SNZ Capitalは、Web3インフラおよびアプリケーション系プロジェクトへの豊富な投資経験を持っています。同社投資マネージャーのMichaelは、SNZがポートフォリオ企業のセキュリティに対して極めて高い関心を持っていることを強調しました。「セキュリティはSNZにとって極めて重要であり、投資戦略上の主要な評価項目です。そのため、セキュリティ企業と協力体制を構築し、ポートフォリオ企業の開発チームに包括的なセキュリティサービスを提供しています。インフラやミドルウェア分野の安全管理に加え、後継管理サービスも提供し、信頼できるセキュリティベンダーとの接続を保証しています。私たちは、ポートフォリオ企業に対して、自らのビジネス戦略においてセキュリティを最優先に置き、セキュリティ監査の重要性(リアルタイム詐欺検知、脆弱性モニタリング、互換性評価など)を理解し、安全設計を徹底することを求めています。」
パネルディスカッション:成熟したWeb3プロジェクトのセキュリティ実践方法とは?
Taikoはイーサリアムエコシステム内で急速に成長しているオープンソースのZK-rollbackであり、完全な非中央集権的アーキテクチャと複数のバリデータによる検証参加によって安全性を確保しています。Taiko共同創業者兼CSOTerenceは、「Taikoはイーサリアムと同等のRollupレイヤー2ネットワークであり、完全に非中央集権的な構造を持っています。その強みは、オープンソース性、コミュニティ構築、そしてセキュリティにあり、世界中の貢献者がコード品質と安全性を保つことに貢献しています。現在、Taikoはテストネット段階にありますが、すでに1万を超える提案およびバリデータノードが存在しており、今後さらに増加する見込みです。これはつまり、ユーザーがTaikoを『信頼』する必要がなく、中央集権的なソータライザーを持たない点が、他のレイヤー2ネットワークと明確に異なる特徴です。」と述べました。
香港でライセンスを取得した仮想資産取引所Hashkeyは、直接投資家と接する立場にあるため、顧客の信頼を維持することが最優先課題の一つです。最近では製品カテゴリーを拡大しています。「Hashkey Exchangeは、証券先物取引委員会(SFC)の規定に基づく厳格な資産保管ポリシーを遵守しています。98%の資産は冷蔵庫(コールドウォレット)に安全に保管されており、残り2%のみがホットウォレットに配置されています。投資家の権利保護をさらに強化するため、AONやOneDegreeといった保険会社と提携し、追加の保険保障を提供しています。」と、Hashkey ExchangeプロダクトディレクターのVincent Wongは述べました。「KYC認証から始まり、顧客が合法かつ真実の人物であることを確認しています。また、パスワードリマインダー機能を提供し、定期的なパスワード変更を促すことでアカウントの安全性を高めています。さらに、ブロックチェーン知識や関連インフラに関する教育資料を提供し、利用者が自ら学び理解を深められるよう支援しています。これらの取り組みを通じて、長期的な信頼関係を築き、プラットフォーム利用時に安心・安全を感じてもらえるように努めています。」
パネルディスカッション:L1/L2先進パブリックチェーンの技術進展とエコシステム支援
L1の先進的パブリックチェーン代表であるConfluxは、2024年の開発者ロードマップを最近公表しました。CTOMing Wuは現場で、Confluxが開発者体験を改善するためのいくつかの方向性を紹介しました。具体的には、プログラマブルなデータ可用性(Data Availability)ソリューションの探索により、スマートコントラクトが独立したDA層と相互作用し、大規模な状態の効率的な保存と取得を可能にする点。人工知能プラットフォームをConfluxに統合し、報酬層として位置づける点。異種仮想マシンアーキテクチャの探求によるスケーラビリティの向上とエコシステムの拡大、およびマルチパーティ計算(MPC)の統合研究によるプライバシー保護およびMEV対策能力の強化などが挙げられます。Ming Wuは「今後数年間で、より多くのユースケースに対応できるようシステム性能を高め、技術の成熟と実用性をさらに追求したい」と述べました。
一方、最近メインネットをローンチしたL2パブリックチェーン代表のScrollも、最新のエコシステムセキュリティ実践を共有しました。Scrollアジア太平洋地域成長責任者のMarcus Liuは、「セキュリティ面でのScrollの最大の柱はZKP(ゼノグラフィックプルーフ)です。ZKの数学的原理により、ZKEVMの実行結果が安全かつ信頼できることを保証し、ETH上にZK Proofを提出して検証を行います。現在、すべてのコントラクトおよび回路に対して厳格な監査を実施しているだけでなく、バグバウンティプログラムを公開し、コミュニティとともにオープンソース精神でセキュリティを強化しています。今後のロードマップでは、非中央集権的なProverおよび非中央集権的なSequencerの実現により、Scrollの非中央集権性とセキュリティをさらに高めていく予定です。」と語りました。
当日のイベントでは、パネルディスカッションに加え、AWSによる【Web3倫理的ハッキングと最適セキュリティ実践】トレーニング、セキュリティ機関SlowMist、次世代パブリックチェーンPolkadot、Web3アプリケーションOKX Walletの専門家たちによる情報満載のセッションも非常に印象的でした。以下では、それらの記録を通じてセキュリティの最前線に迫り、リスクカテゴリ、実用的セキュリティ戦略、アプリケーション層のセキュリティ、エコシステム開発のセキュリティなどに関する知識と経験をご紹介します。
2023年、スマートコントラクトの脆弱性が依然としてハッキング攻撃上位3カテゴリにランクイン
2023年も、スマートコントラクトの脆弱性は最も一般的なハッキング攻撃タイプの一つとなっています。セキュリティ企業Beosinの2023年第3四半期のセキュリティ報告書によると、コントラクトの脆弱性悪用は、秘密鍵漏洩、データベース攻撃に次いで第3位の攻撃カテゴリです。「22件のコントラクト脆弱性悪用により、約9327万ドルの損失が発生しました。細分化すると、損失額が最も大きかったのはリエントランシー攻撃であり、コントラクト脆弱性事件の約82.8%の損失がこの原因によるものです。」
AWS Web3ソリューションアーキテクトのDavid SungとGong Taoは、現場でよく見られる三つのスマートコントラクト関連ハッキング事例を紹介しました。その中でも特にリエントランシー攻撃が含まれます。この攻撃では、攻撃者がコントラクト内のセキュリティ欠陥を悪用し、取引が完了する前に同一関数を繰り返し呼び出すことで、資金が複数回移転または消費されるというものです。このような攻撃は、コントラクト設計に欠陥があるか、十分な防御策が講じられていない場合に発生します。リエントランシー攻撃はスマートコントラクトの安全性と安定性に深刻な脅威を与えるため、開発時にはこれを防ぐことが最重要任務の一つです。
その他、よく見られる攻撃方法には、デリゲートコール攻撃、整数オーバーフローおよびアンダーフロー攻撃があります。デリゲートコール攻撃は、コード再利用を促進するためにEVMが提供するDELEGATECALLというオペコードを利用し、呼び出し元コントラクトのバイトコードに悪意のあるコントラクトのコードを挿入することで、呼び出し元の状態変数を直接改ざん(操作)するものです。整数オーバーフロー/アンダーフロー攻撃は、算術演算の結果がSolidityのデータ型範囲を超えてしまうことによって発生し、状態変数に対する不正アクセスを引き起こします。
ハッキング攻撃への対応方法を知りたい方は、AWSの【Web3倫理的ハッキングと最適セキュリティ実践】実践トレーニングをご参照ください。関連トピックはこちら。
Web3プロジェクトの運営前・中・後のセキュリティ戦略
Web3プロジェクトは運用開始時から潜在的なセキュリティリスクに注意を払う必要があります。セキュリティインシデントは、スマートコントラクト、ブロックチェーンウォレット、取引所などで頻発しています。SlowMist香港コミュニティ責任者のTonyは、「ブロックチェーンセキュリティインシデントに対処する際、SlowMistは『発生前』『発生中』『発生後』の3段階で対応策を提供しています。」と述べ、プロジェクト側は自身の発展段階に応じて、セキュリティリスクを評価すべきだと強調しました。
インシデント発生前には、潜在的なリスクに対して包括的なテストを実施できます。この段階では、SlowMistのレッドチームテスト(Red Teaming)が、企業の人材、業務システム、サプライチェーン、オフィスシステム、物理的セキュリティなど、実在する脆弱性に基づいた模擬攻撃評価を行い、カスタマイズされた防御策を提供します。攻撃されやすいノードを優先的に保護することで、攻撃者のコストを高めることができます。
インシデント発生中は、オンチェーンおよびオフチェーンのリアルタイムモニタリングを強化し、セキュリティ企業と連携して潜在的な脅威を早期に発見・対処する必要があります。インシデント発生後は、直ちに防御措置を講じ、SlowMistの緊急対応サポートやオンチェーン・オフチェーン追跡調査サービスなどを活用して、攻撃を阻止し、根本原因を特定すべきです。
多くのWeb3プロジェクトチームが、単にセキュリティ企業の短期的な指導に頼るのではなく、コード設計段階からセキュリティを考慮すべきであるという観点から、SlowMistはGitHub上でWeb3プロジェクトセキュリティ実践要件をオープンソース化しています。これには開発環境下で注意すべきセキュリティリスクが詳細に列挙されており、プロジェクトチームがこのガイドラインに基づいて独自のセキュリティ体制を構築・強化し、監査後に一定のセキュリティ能力を持つことを促進します。

SlowMistはプロジェクト側にセキュリティ能力の全面的強化を呼びかける
最先端技術を積極的に採用し、安全なWeb3アプリケーションを構築する
ブロックチェーン基盤技術の成熟に伴い、ますます多くのWeb3フロントエンドアプリケーションが登場しています。OKX Walletは、とりわけ優れたユーザーエクスペリエンスを提供する製品の一つです。エンドユーザーに直接向き合うアプリケーションとして、ユーザーエクスペリエンスを向上させる一方で、ユーザーの資金とデータの安全性をどう確保するのか? OKX WalletプロダクトマネージャーのDarrel Wangは、その秘訣は「システム基盤のセキュリティ強化」「フルスタックセキュリティ能力」「最先端セキュリティ技術の積極的採用」にあると語りました。以下に詳しく紹介します。
まず、OKX Walletはシステムレベルでの強化を実施し、ユーザー資産に関わるプロダクトに金融機関レベルのセキュリティを確保しています。アプリケーションのセキュリティを強化することで、ハッカーの侵入を防止し、ユーザーが安全な環境で取引できるようにしています。
次に、OKX Walletはフルスタックのセキュリティ能力を重視しています。ノードサービス、ブロックエクスプローラーからエンドユーザー端末まで、一貫した上下流のサービス提供により、製品全体のコンプライアンス性と卓越したセキュリティ性能を確保しています。例えば、製品が提供するアクティブなリスク警告機能は、フィッシングサイトの出現を積極的に防止し、ユーザー資産の安全性をさらに高めています。
さらに、OKX Walletは革新を重視し、最先端技術を積極的に採用しています。今年導入したアカウント抽象化プロトコル(EIP-4337)に基づくスマートコントラクトアカウントは、アカウント回復機能により、ウォレットの安全管理能力を大幅に向上させます。また、導入済みのMPC無鍵ウォレットは、マルチパーティ計算技術を活用し、単一故障点による秘密鍵のリスクを低減し、ユーザーが秘密鍵を失っても安心できます。
OKX Walletは自らを金融企業ではなく、テックカンパニーと位置づけています。製品の核心原則と技術的視点から問題を解決し、ユーザーに安全かつ便利なデジタル取引体験を提供することを目標としています。

OKX Walletは2023年4月にMPC無鍵ウォレットをリリース
Substrateフレームワークが開発者に安全なブロックチェーン構築を支援
多くの開発者はSubstrateに馴染みがあるでしょう。Substrateは、ブロックチェーン構築向けに設計されたオープンソースでモジュール式、拡張可能な開発フレームワークです。Polkadotリレー チェーンの基盤もSubstrateで構築されています。では、Substrateはどのようにしてエコシステムの開発者にセキュリティを提供しているのでしょうか? Polkadotエコシステムのコア開発者Jimmyは、Substrateフレームワークにより、Parityの専門エンジニアが提供するコンポーネント(Pallets)を事前に構築でき、ランタイムアップグレードが可能でチェーンフォーク不要、複数の合意アルゴリズムを選択でき、チェーン間の相互運用性とセキュリティを実現していると説明しました。
Jimmyはさらに、Polkadotの核心目標はブロックチェーン間の相互運用性とスケーラビリティの実現であると指摘しました。Polkadotは異なるブロックチェーンを接続し、相互に通信・協調作業を行うことを可能にします。このアーキテクチャにより、異なるブロックチェーン間でのデータ交換や価値移転が可能になり、ネットワーク全体の効率性とスケーラビリティが向上します。構成要素にはリレーチェーンとパラチェーンがあり、リレーチェーンが検証とセキュリティを担当し、パラチェーンが特定の機能を提供します。また、Polkadotはスケーラビリティ、セキュリティ、非中央集権性の三要素のバランスを重視し、独自のアーキテクチャとブリッジ技術により、資産の安全かつ効率的な移転を実現しています。

Polkadotの主要構成要素。リレーチェーンがセキュリティを担う
Web3プロジェクトはクラウドインフラを活用し、サービス範囲、セキュリティ、柔軟性に注目すべき
クラウドサービスは、取引所、パブリックチェーン、フロントエンドアプリケーションなど、Web3にとって極めて重要な基盤インフラです。Web3プロジェクトにとって、クラウドプラットフォームのサービス範囲、セキュリティ、柔軟性は特に重要です。AWSはWeb3分野で「誰もが知る」クラウドプロバイダーであり、イベント現場でAWSソリューションアーキテクトのDavidがこれら3点について説明しました。
サービス範囲に関して、AWSは世界中で広く採用されているクラウドプラットフォームであり、200以上の機能豊富なサービスを提供しています。グローバルに分散するデータセンターにより、さまざまなWeb3企業の個別インフラニーズに対応可能です。AWSは多数のWeb3プロジェクトをサポートしており、特に多く使われている7つのAWSサービスはEC2(Nitro Enclaves)、KMS/CloudHSM、API Gateway、S3、Elastic Block Store、Shield Advanced、WAFです。
セキュリティ面では、AWSはプロジェクト側にセキュリティ、コンプライアンス、ガバナンスなどのサービスを継続的に提供しています。AWS Nitroシステムにより、チップレベルでセキュリティが内蔵され、インスタンスハードウェアの継続的な監視・保護・検証が行われ、潜在的な攻撃面が最小限に抑えられています。また、他のクラウドプロバイダーよりも多くのセキュリティ標準および認証をサポートしています。特に、Nitro EnclavesとKMS/CloudHSMの組み合わせは、Web3 BUIDLersに最高のクラウド上秘密鍵管理ソリューションを提供しており、業界で広く採用されています。Shield AdvancedとWAFは、dApps、Node、各種Web3インフラ層に対してセキュリティ保護を提供します。
柔軟性については、AWSは多様なサービスに加え、異なる料金体系の選択肢を提供し、コスト最適化を支援しています。Davidは補足しました。「幅広い分析および機械学習サービスを提供しており、ほぼすべてのデータ分析ニーズに対応できます。データ移動、データ保存、ビッグデータ分析、ログ分析、ストリーミング分析、BI、機械学習(ML)など、柔軟なサービス選択によりコスト削減が可能です。」
AWSはWeb3プロジェクトに豊富なサービスカテゴリを提供
プロジェクト側がAWS上で安全なクラウドアプリケーションを構築する方法や、AWSが提供するWeb3エコシステム支援について詳しく知りたい場合は、こちらのリンクをご覧ください。
以上が、今回のイベントのハイライトコンテンツのまとめです。Web3のBUIDLersや開発者にとって何かしらのインスピレーションになれば幸いです。業界関係者が共に築くセキュリティの共通理解のもと、Web3エコシステムが次の成長段階を迎えることを心より願っています。CrossSpaceは今後もAWS、優良セキュリティ企業、Web3エコシステム関係者と連携し、さらなる情報共有イベントを開催していきます。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














