CertiK創業者への独占インタビュー:ハッキング攻撃が300%増加、セキュリティ優先の突破口
TechFlow厳選深潮セレクト
CertiK創業者への独占インタビュー:ハッキング攻撃が300%増加、セキュリティ優先の突破口
CertiK CEOがブロックチェーンのセキュリティ脅威と防御策を詳しく解説。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Monica Younsoo Chung、IT Times
4月17日、韓国の有名なテックメディア『Korea IT Times(韓国ITタイムズ)』は、CertiK共同設立者兼CEOのグ・ヨンフィ教授への独占インタビューを掲載した。今回の対談では、CertiKが発表した第1四半期『HACK3D』セキュリティレポートを軸に、ハッキング手法の進化とセキュリティ防御技術の革新について深く議論している。
グ教授は、「セキュリティは後付けの対策ではなく、プロジェクト立ち上げ当初から戦略に組み込まれるべき基本原則だ」と強調し、「信頼できるWeb3.0アプリケーションを構築するには、『セキュリティ最優先』の能動的アプローチが極めて重要である」と述べた。具体的には、形式化検証、ゼロ知識証明、マルチパーティ計算(MPC)などの先端技術を積極的に活用し、ブロックチェーンプロトコルやスマートコントラクトの防御力を全面的に強化すべきだと提唱している。これは彼がCertiKを設立した原点であり、理想でもある——厳密な形式化検証技術を通じて、より安全で信頼性の高いWeb3.0世界を実現することだ。
このようなセキュリティに対する信念は、一時的な市場トレンドによるものではない。それはグ教授が長年にわたり追求してきた技術的理想の結晶である。イェール大学での博士課程時代に開発に関わった、Googleチームから「破綻不可能」と評されたCertiKOSシステムから始まり、現在では5300億ドル以上のデジタル資産を守るセキュリティの砦を築き上げている。彼は一貫して業界の安全性を守り、信頼性を高めることに尽力してきた。
グ教授は繰り返し、「セキュリティは競争優位性ではなく、共通の責任である」と語っている。彼は研究室での学術的成果を業界の現場に応用すると同時に、「共通の責任」という理念を業界全体の協働へと浸透させている。トップクラスの学術機関から歩み出たこの技術的リーダーは、数学的論理による検証可能性をもって、ハッカーの不確実性に対抗し、技術的理想と現実の間に、Web3.0時代のセキュリティの座標を確立しつつある。
急速に進展するWeb3.0分野において、ブロックチェーンのセキュリティは最重要課題となっている。本稿では、Columbia大学のコンピュータサイエンス教授によって共同設立されたCertiKのミッションに焦点を当てる。CertiKは形式化検証技術を用いてブロックチェーンおよびスマートコントラクトの安全性を高め、Web3.0セキュリティ分野のリーディングカンパニーとして、エコシステム全体の保護に貢献している。
『韓国ITタイムズ』はCertiKが発表した『Hack3d: 2025年第1四半期セキュリティレポート』を詳細に分析し、デジタル資産の盗難や新たなセキュリティ脅威の傾向を明らかにした。また、ゼロ知識証明やマルチパーティ計算(MPC)といった先端技術についても紹介し、ブロックチェーン開発者向けの実用的なアドバイスを提供している。さらに、AIがセキュリティ分野で果たす二面性についても考察している。伝統的金融機関が徐々にブロックチェーン領域に参入する中、セキュリティの課題も一段と高度化しており、ユーザー保護とエコシステムの整合性を維持するための能動的対策が不可欠となっている。本稿は、複雑なブロックチェーンセキュリティ環境の中で前進する業界関係者に、重要な知見を提供することを目的としている。
問:ご自身とCertiKの中心的なミッションについて、簡単に教えてください。
答:私はCertiKの共同設立者兼CEOであり、コロンビア大学の教授でもあります。私自身もCertiKも、そのミッションはWeb3.0エコシステムのセキュリティ強化に深く根ざしています。
CertiKは2017年に設立され、その核となる考え方は「形式化検証技術」を用いて、ブロックチェーンプロトコルおよびスマートコントラクトのセキュリティを継続的に監視・強化し、正しく安全に動作することを保証するというものです。学術界と産業界の最先端ソリューションを統合することで、セキュリティを確保しつつ持続可能なスケーラビリティを実現するWeb3.0アプリケーションの実現を支援しています。これまでに4,900社以上の企業にサービスを提供し、累計で5,300億ドル以上のデジタル資産を保護し、11万5,000件以上のコード脆弱性を発見してきました。
問:CertiKが最近発表した『Hack3d:2025年第1四半期セキュリティレポート』にはどのような重要な発見がありますか?
答:2025年第1四半期には、チェーン上の詐欺事件により約16.6億ドルの損失が発生しました。これは前四半期比で303%増加した数字です。主な原因は2月末に発生した取引所Bybitのハッキング事件であり、この事件でハッカーは約14億ドルを盗み出しました。過去数四半期と同様、今期もイーサリアムが最も攻撃を受けやすいターゲットでした。3件のセキュリティインシデントで15.4億ドルの資産が失われました。さらに衝撃的なのは、第1四半期に盗まれた資産のうち、回収できたのはわずか0.38%にとどまったことです。
問:以前の四半期と比較して、ブロックチェーン攻撃の主要ターゲットは変化していますか?
答:2025年第1四半期の傾向は、2024年末の状況を引き継いでいます。イーサリアムは依然として攻撃の集中地です。2024年第四半期にはイーサリアム上で99件のセキュリティ事件が発生し、今期は93件でした。これは2024年を通しての継続的なテーマです。DeFiプロトコルが多く、ロックされた資産規模が巨大なこと。一方で、多数のスマートコントラクトに脆弱性が存在することが、イーサリアムが狙われる理由です。
Bybitのハッキング事件も典型的な例です。イーサリアムエコシステムのSafe-Walletが侵入され、大きな被害が出ました。イーサリアムが攻撃の中心になる背景には、膨大なDeFiプロトコルと巨額の資産が集積されている一方で、多くのスマートコントラクトに脆弱性が残っているという構造的要因があります。
問:ますます巧妙化する攻撃手法に対して、ブロックチェーンセキュリティ業界はどのように対応すべきでしょうか?
答:攻撃者は、ソーシャルエンジニアリング、AI技術、スマートコントラクト操作など、複雑な戦略を駆使して既存のセキュリティ対策を回避しようとしています。デジタル資産の普及と価値の上昇に伴い、業界は新しい状況に適応し、プロジェクトの完全性とユーザー資産の保護を確保しなければなりません。
業界はこれらの課題に積極的に対応しており、ゼロ知識証明(ZKP)やオンチェーンセキュリティなど、革新的な技術の開発を進めています。これらの技術は、プライバシーを保護しつつも取引の監査や攻撃の追跡、資産の回収を可能にするという点で、深刻化するセキュリティ問題に対して有望な解決策を提示しています。また、マルチパーティ計算(MPC)は、秘密鍵の制御権を複数の参加者に分散させることで、キーマネジメントを強化し、単一障害点(Single Point of Failure)のリスクを排除します。これにより、ハッカーが無断でウォレットにアクセスする難易度が大幅に上昇します。こうしたセキュリティ技術の進化は、ハッカー攻撃への耐性を高め、分散型エコシステムの整合性を守る上で極めて重要な役割を果たすでしょう。
問:ブロックチェーンの開発者やプロジェクトチームに対して、どのようなセキュリティ上のアドバイスがありますか?
答:最初からセキュリティを最優先に置くことは、妥協してはならない原則です。開発の各段階にセキュリティを組み込み、事後的な対処ではなく予防的なアプローチを取ることで、潜在的な脆弱性を早期に発見でき、長期的には時間とリソースの大幅な節約につながります。「セキュリティ最優先」の能動的戦略は、信頼できるWeb3.0アプリケーションを構築するための基盤として極めて重要です。開発プロセス全体にセキュリティを組み込むことで、脆弱性を早期に発見し、後からの修正コストを削減できます。
さらに、ブロックチェーンセキュリティ機関による包括的かつ公正な第三者監査を受けることも有効です。内部チームが見落としがちな潜在的リスクを、外部の独立した視点から発見できるからです。こうした外部評価は、重要なチェックポイントとなり、脆弱性の早期発見・修正を助け、プロジェクト全体のセキュリティを高めるだけでなく、ユーザーの信頼向上にもつながります。
問:AIはブロックチェーンセキュリティにおいてどのような役割を果たしていますか?肯定的な影響ですか、それとも新たなリスクをもたらしていますか?
答:AIはCertiKのセキュリティ体制において重要なツールであり、ブロックチェーンシステムの保護におけるコア戦略の一つにすでに位置づけられています。CertiKでは、AIを活用してスマートコントラクト内の脆弱性や潜在的なセキュリティ欠陥を分析しており、これにより従来よりもはるかに効率的に包括的な監査を実行できます。ただし、AIは人間の専門家による監査チームを完全に代替するものではありません。
しかし、攻撃者も同様にAIを利用して攻撃能力を強化することが可能です。たとえば、AIを使ってコードの弱点を自動発見したり、合意形成メカニズムや防御システムを回避する手段を模索したりすることが考えられます。つまり、セキュリティ対策のハードルが上がっているのです。AIの普及が進むにつれて、業界はより強力なセキュリティソリューションへの投資を余儀なくされるでしょう。
問:形式化検証とは何ですか?それがブロックチェーン監査の効果をどのように高めるのでしょうか?
答:形式化検証とは、コンピュータプログラムが期待通りに動作することを数学的手法で証明する技術です。プログラムの性質を数学的命題として表現し、自動化ツールを用いてその正当性を検証します。
この技術は、ハードウェア設計、ソフトウェア工学、サイバーセキュリティ、AI、スマートコントラクト監査など、さまざまな技術分野に応用されています。ただし、形式化検証は人間による監査を置き換えるものではないことに注意が必要です。スマートコントラクトの場合、形式化検証は自動化手法によって契約の論理や挙動を評価するのに対し、人間の監査はセキュリティ専門家がコード、設計、展開の全プロセスを網羅的に検査し、潜在的なリスクを特定します。両者は相補的な関係にあり、合わせることでスマートコントラクト全体の安全性を大きく高めることができます。
問:伝統的金融機関がブロックチェーン分野に参入する中で、セキュリティ脅威の種類や複雑さに変化はあるでしょうか?
答:Web3.0およびブロックチェーン業界の初期段階では、攻撃者は個人ユーザーまたは小規模プロジェクトを主な標的にしており、フィッシング攻撃、RugPull、ウォレットの脆弱性悪用などが一般的でした。私たちが発表した『2025年第1四半期 Hack3d レポート』でも、こうした脅威は依然として存在しています。しかし、伝統的機関や大手企業が参入するにつれ、ネットワークの完全性に対するセキュリティリスクは新たな段階に入ると見られます。この変化の背景には、プロジェクトの資産規模の拡大だけでなく、企業レベルのユースケースに特有のセキュリティ要件、規制対応、そしてブロックチェーンと従来の金融システムの融合が深まっていることが挙げられます。
ほとんどの伝統的機関はサイバー脅威への対応経験を持っているため、悪意ある行為者も攻撃手法の複雑さを高めてくると考えられます。従来の汎用ウォレットの脆弱性を狙うのではなく、設定ミス、カスタムスマートコントラクトのバグ、あるいは従来システムとの統合インターフェースに潜むセキュリティ欠陥など、企業レベルのターゲットに狙いを定めた攻撃が増えるでしょう。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
