DeFi は毎月数百万ドルをハッカーに流出させ続けており、あるセキュリティ専門家がこの問題に対する物議を醸す解決策、つまり分散型プロトコルの特定の側面を集中管理することを提案するようになりました。
Web3セキュリティの新興企業ホロニムの共同創設者ナナク・ニハル・カルサ氏は、「検閲不能」であることを誇りにしている業界では集中化の導入は間違いなく議論の余地があることを理解していると語った。しかし、DeFiプロトコルは、多額の資金が盗まれるのを防ぎながら、誰もが日常の取引をブロックできないようにするという微妙なバランスを達成することが可能であると彼は主張する。
「一般の人々に暗号通貨を使用してもらいたいのであれば、『恐ろしい取引』を防ぐ方法を設計し実装するよう努めるべきであり、これは集中化しても問題ない場所に集中化を追加することで実現できる」とカルサ氏は述べた。
カルサ氏のコメントは、11月にDeFiプロトコルがハッカーによって8,550万ドルを失い、2024年までに業界の年間損失が24億3,000万ドル以上に達したことを明らかにした暗号通貨セキュリティ会社ペックシールドによる最近の報告書に反応したものである。
先月、ペックシールドは30件以上の個別のハッキング攻撃を記録しており、最大の損失者は仮想通貨ファンドで2550万ドルを失ったThalaと、プロトコルハッキングによって2100万ドルを流出させたDEXXだった。
このレポートは、基盤となるコードとスマート コントラクトに脆弱性が蔓延しているため、DeFi プロトコルがハッカーの標的にされることが増えていることを浮き彫りにしています。 11月の損失額は10月に盗まれた1億242万ドルよりも少なかったが、DeFiプラットフォームから盗まれた資金は前月よりも多かった。
Thala や DEXX に加えて、GIFto、Polter Finance、Delta Prime などのプラットフォームも先月、数百万ドル規模のハッキングの被害に遭いました。
カルサ氏は、コードに忍び込むすべての脆弱性を発見することは不可能であるため、これらの最新の事件は、DeFi業界がスマートコントラクトの監査だけに依存することは決してできないという議論にさらなる重みを与えると述べた。
「監査はすでにある程度成熟している」とカルサ氏は指摘した。 「セキュリティ監査に関してこれ以上大きな進歩が見られるとは思えません。
むしろ、Web3 業界は、システムが集中化されているためハッキング事件が比較的少ない Web2 業界から学ぶ必要がある、とカルサ氏は述べた。同氏は、ハッカーが悪意のある取引を処理しようとしているときを検知し、資金の引き出しを阻止できるさまざまなシステムやツールを考案したため、Web2は不正行為の防止に非常に優れていると述べた。
「これがクレジットカードや銀行の機能であり、それがほとんどの人がそれらが安全であると考えている理由です」とカルサ氏は主張します。 「銀行が安全性を最初に確認せずにユーザーに何らかの取引を許可した場合、その業界では現在よりもはるかに頻繁に、そしてはるかに多額のハッキングが発生することは保証します。その損失はWeb3の損失をはるかに超えるだろう。」
問題は、DeFi プロトコルが疑わしい取引をブロックできる場合、正当な引き出しもブロックできることです。これは、暗号通貨が検閲に耐えられなくなることを意味し、暗号通貨は検閲に耐えられるという理想に基づいているため、非常に物議を醸すことになるだろう。
しかし、Khalsa氏は、Defiプロトコルに限られた程度の集中化しか導入できないと指摘している。
「導入できる制御の全範囲が存在するため、プロトコル全体を一元化する必要はない」と彼は主張した。 「たとえば、疑わしいとマークする特定の基準を満たした場合、100万ドルを超える取引のみをブロックするようにスマートコントラクトをプログラムできます。そうすれば、ユーザーの日常的な活動を検閲することなく、大規模なプロトコルの流出を防ぐことができます。」
カルサ氏はまた、依然としてDeFiハッキングの最も一般的な原因の1つであるフィッシング攻撃などのインシデントを防ぐために、DeFiプロトコルにさらに取り組むよう求めた。
「Blockaid、Tenderly、Alchemy、Blowfish、GoPlus など、ツールはたくさんあります」と彼は言いました。 “彼らは [protocols] これらのツールによって検出された残高の変化や潜在的な脅威に基づいて、必ずユーザーに警告するか、ポリシーを適用する必要があります。」
さらに同氏は、Thala氏のチームの素早い対応により、盗まれた総額2,550万ドルのうち2,520万ドルを取り戻すことができたと指摘し、DeFiプロトコルがボールに乗り続けるよう促した。
「応答時間は非常に重要です。対応が早ければ早いほど、攻撃者がミキサーや取引所に資金を引き出すのを早く阻止できるようになります」とカルサ氏は述べた。 「大企業では、セキュリティ インシデントに迅速かつ効果的に対応できるよう従業員を訓練することが多く、それがうまくいく場合が非常に多いです。」
DeFi の継続的なセキュリティ問題により、抜本的な再考が求められているという記事が最初に TechBriefly に掲載されました。
Source: DeFiの継続的なセキュリティ問題により抜本的な再考が求められる
