
ハッカー事件について語る|ChainBreaker Podcast 第5回 精彩なハイライト
TechFlow厳選深潮セレクト

ハッカー事件について語る|ChainBreaker Podcast 第5回 精彩なハイライト
今回のライブ配信では、Lianwen Researchのチーフリサーチャーである潘致雄が、Mr. BlockのChris氏とWinkryptoのMax氏を招き、「ハッキング事件について語る」というホットトピックについて深く議論しました。

以下は本ライブ配信イベントのポイントまとめです。
背景紹介
先週の DeFi 業界は落ち着かない状況にありました。Poly NetworkやNEARエコシステム上のDEX「Ref.Finance」など、複数のプロジェクトが次々とハッキング被害に遭い、損失額は数百万ドルから数億ドルに上りました。ここではその中でもいくつかの出来事を振り返り、なぜハッカー事件が頻発するのか、そして私たちはどう対応すべきかを議論します。
Mr.Block(Chris)
多くの開発者は皆が思っているほど知識があるわけではなく、投機家と同じように利益を得ることしか考えていないケースが多く、どこにセキュリティリスクがあるかまで深く考えていません。そのため、あるプロジェクトが何度も監査を受けているように見えても、それが絶対的に安全であるとは限りません。現時点で比較的安全と言えるのは、Aave、Curve、Compoundなどの大規模なプロジェクトくらいです。
非常に高い年利には特に注意が必要です。高利回りのプロジェクトで2〜3回採掘した後に、トークン価格が暴落したり、直接攻撃されたりする可能性があります。
優れたプロジェクトは、宣伝よりもむしろ安全性の強化に多くの時間を費やしています。一方で、過剰にマーケティングを重視したり、異常に速いペースで進展しているプロジェクトには警戒が必要です。潜在的なリスクが大きくなります。一度でも攻撃されたプロジェクトは、ユーザーからの信頼が大きく損なわれます。
監査に関して言えば、有名な監査会社が審査したプロジェクトでも完全に安全というわけではありません。DeFiの人気が高まるにつれ、監査会社には大量の依頼が殺到しており、必ずしも丁寧に審査しているとは限りません。現在、多くのスマートコントラクトはフォークによって作られています。たとえば、監査会社がすでにUniswapを監査済みである場合、その後100もの企業がUniswapをフォークして利用しても、同じ内容だと判断して形式的なチェックしかしないことがあります。しかし、実際にプロジェクト側が何かを変更している場合、監査会社がそれを見逃す可能性があります。さらに、多くの企業はセキュリティ確保ではなく、マーケティング目的で監査を受けています。そのため、大手有名監査会社であっても、案件が多すぎて真剣に取り組んでいないケースもあります。こうした状況下では、むしろ地域の小さな監査会社、仕事量が少ない会社の方が、責任を持って丁寧に監査してくれる可能性があります。
ChainNews 潘致雄
DeFiプロトコル側としては、どのようにセキュリティを高められるでしょうか?まず、新規プロトコルについては1〜2社によるセキュリティ監査が不可欠です。これにより、よくあるバグや問題点をある程度発見できます。また、本番ネットワークへの導入前に「バグバウンティプログラム」を開始することも有効です。一般的にプロトコルは本番稼働前にテストネット上で検証を行いますが、テストネットの問題点はインセンティブがないため、たとえハッカーが脆弱性を発見しても、攻撃したり開発者に報告する動機がありません。しかし、これらの脆弱性はそのまま本番ネットワークに持ち越され、資金が増えれば増えるほど、ハッカーの関心が高まり、実際に攻撃されるリスクが高まります。
ユーザーにとっては、まず自分のリスク許容度を把握することが重要です。また、資金を分散させ、すべての資産を一つのプロトコルに集中させてはいけません。さらに、DeFiはまだ初期段階にあることを理解しましょう。Uniswap、Curve、Compound、Aaveのように長期間にわたり広範なテストを経てきたプロトコルはごくわずかであり、大多数の新規プロトコルには潜在的なリスクが伴います。安易に新しいプロジェクトに挑戦しないことが賢明です。
ユーザー質問
1. ハッカーがスマートコントラクトを利用して大量の資金を盗んだ場合、道徳的または法的問題はあるのでしょうか?もしPoly Network事件のハッカーが最終的に資金を返還しなかった場合、ブロックチェーンのコンセンサスはこの問題をどう解決するのでしょうか?どの国の裁判所が管轄し、どの国の法執行機関が調査を行うのでしょうか?
ChainNews 潘致雄:
まず一点目として、確かにすべてのコントラクトはオープンソースであり、誰でもコードを確認できます。しかし、各コントラクトには特定のビジネスロジックと目的とする機能があり、提供されるサービスには当然ながら一定の制限が設けられています。たとえば、許可を超えて資金を引き出せないよう、資金プールの安全性を保つためのロジックが必要です。しかし、開発者が細部のロジックを正しく実装できなかったり、記述ミスやバグを生じたりすることはあります。このような場合、ハッカーがビジネスロジックの穴や、ロジックとコードの間に存在する矛盾を見つけ出し、それを利用して利益を得たとしても、これは道徳的にも法的にも正当化されるものではありません。
二点目として、もしハッカーが最終的に資金を返還しなかった場合、多くの被害者はO3やPoly Networkのチーム自体に訴えることになるでしょう。なぜなら彼らが当該プロジェクトの運営者であり、彼らが管理するプロジェクトに問題が生じたからです。
Mr.Block Chris:
将来、政府や警察のような役割を果たすDAOが出現するかもしれません。人々が資金をそこに集め、市場のコントラクトを包括的に審査し、将来的には評価スコアを付けることもでき、あるいは脆弱性の修復を支援することもできるでしょう。今のDeFi世界には、まさにこのような自律的組織が欠けているのです。
2. IDOプラットフォームは、リスクを抑えてプロジェクトの品質を高めるためにどのような対策を取れますか?
ChainNews 潘致雄:
IDOプラットフォームとしては、プロジェクトのビジネス内容を理解し、チーム構成や運営方法について簡単な審査を行うことができます。しかし、IDOプラットフォーム自体には監査能力はなく、主に外部の監査会社による監査レポートに依存して、プロジェクトの安全性を判断することになります。
ChainBreakerについて
「ChainBreaker」は、グローバルブロックチェーン統合マーケティング企業Winkryptoが発起し、YouTubeチャンネル登録者数1万人を超える人気ビデオブロガーMr.Block(Mr.Block)と、中国語圏最大のブロックチェーンメディアChainNewsが共同で制作するライブ配信番組です。海外と国内の暗号コミュニティの声に耳を傾け、コミュニケーションを図り、つながることを目指しています。毎週金曜日20:00から、国内外の業界リーダーたちを招き、暗号資産分野のホットトピックや技術トレンド、業界の裏話などを語ります。ライブ中のQ&Aに積極的に参加すれば、「ChainBreaker Podcast」専用NFTチケットなどの特別報酬がもらえるチャンスもあります。
チャンネル登録・過去配信の視聴はこちら:
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














