2022年、ハッキング被害額が過去最悪──2023年に向けた対策とは

この1年、暗号資産業界には心配になるほど多くの攻撃が相次いた。追跡できないほど多く。これは、しっかりとした対応が必要な問題だ。

ありがたいことに希望はある。プロトコルは、コードの監査、ネットワークアクティビティの監視、攻撃にあった場合の明確な対応計画を立てることで対策を強化できる。業界が十分な意識を持ち、対策を講じることで今年のような1年が繰り返されない可能性は十分にある。

攻撃大発生

ブロックチェーン分析企業チェイナリシス(Chainalysis)によると、2022年はハッキングや攻撃の被害額で史上最悪の年になりそうだ。最新情報では、約30億ドル(約3990億円)もの資産が盗まれた。

なかでも、Roninのハッキングは特筆すべきものだ。北朝鮮と関連のあるラザルス・グループ(Lazarus Group)h3月、人気NFTゲーム「アクシー・インフィニティ(Axie Infinity)」のサイドチェーン「Ronin Network」から、約6億2000万ドル相当のイーサリアム(ETH)とUSDコイン(USDC)を盗んだ。

この事件で何よりも驚きなのは、被害が発覚するまで1週間以上もかかったこと。盗まれた資産のうち約3000万ドル相当は回収され、バイナンスはさらに580万ドル相当の資産を凍結することに成功しているが、今でも盗まれた資産の大部分はハッカーの手元にある。

2月に発生したワームホール(Wormhole)への攻撃で盗まれた資産もまだ戻っていない。イーサリアム、ソラナ、アバランチなど、異なるブロックチェーン間での資産のやり取りを可能とするブリッジと呼ばれるプロトコルが攻撃を受けたことは、ワームホールが初めてではなかったが、最も注目を集めたようだ。

攻撃者はなぜか、担保を差し出さずに12万ものラップドイーサ(wETH)を発行することができた。そして、タダで手に入れたwETHを普通のイーサリアム、およびソラナ(SOL)と交換し、3億2000万ドルの利益を得た。これらの資産はまだ回収されていないが、ジャンプ・トレーディング(Jump Trading)が救済に入り、12万イーサリアムを提供して、ワームホールは運営を再開した。

他にも事件はたくさんあった。ブリッジのノマド(Nomad)は1億9000万ドル、DeFi(分散型金融)プラットフォームのウィンターミュート(Wintermute)は1億6000万ドル。バイナンスのブリッジサービスBNBネットワークも1億ドルの被害を受けた。暗号資産サービスをハッキングや攻撃から守るために手立てを講じる必要がある。

事前の予防手段

現状に甘んじる必要はない。暗号資産プラットフォームやプロトコルが防御策を拡大すれば、2023年には攻撃の数を減少させるか、少なくともその被害を抑えることができる。防御策にはさまざまな形態があるが、すべてに共通することは監視体制の改善と、攻撃が発生した場合に備える対応システムだ。

まず最初の自衛策は、すべてのスマートコントラクトを信頼できる外部機関に念入りに監査してもらうこと。監査の結果はコミュニティにシェアし、発見された問題とその解決のために実施されたことを適切に開示する必要もある。

しかし、複数のDeFiプラットフォームが監査を受けながらもハッキング被害を受けたように、一度きりの監査では十分ではない。コードがアップデートされるたびに、新しく監査を実施するべきだ。

こうすることで、新しい問題が起きないようにできる。コードの小さな変更にさえも予期せぬ結果が伴うため、スマートコントラクトの開発、配備の際には、よりセキュリティを中心とした体制を取ることが欠かせない。

監視体制

監査は必要不可欠だが、それだけで十分ならば、暗号資産業界はこれほどの攻撃にさらされていないだろう。徹底的にテストされ、監査されたコードでさえも、チームがリスクから守れるような形で展開されなければならない。

特権アカウントの状態と、システム要件とブロックチェーンとの相互関係を追跡できる堅固なセキュリティ、および運用上の監視体制がなければ、ユーザーは自分の資産が安全だと信頼を寄せることはできない。

だからこそ分散型サービスに対しては、リアルタイムで先を見越したセキュリティへのアプローチが不可欠。プロジェクトはプラットフォーム上での取引を積極的に監視し、利用量の急増や価格の変化、ブラックリストに掲載されたアカウントとのやり取り、フラッシュローンを利用して提案されたガバナンス提案など、特異、あるいは不審な活動を検知するシステムを準備する必要がある。

多くの場合、攻撃の最初のサインは、取引量が異常に多かったり、かなりの取引がごく短期間に同じアドレス向けに行われたりといった、通常とは異なるアクティビティの存在だ。

これらの出来事を発生時点で検知できれば、脅威についての情報を把握できる。対応策を自動化する選択肢も開かれ、人による対応をなくすか、最小限にできる可能性もある。

万一の時の対応策

最後に、最高に整備された運用とセキュリティ監視も、対応システムが準備されていなければ、その有益性は限られる。システムの攻撃ベクトルを完璧にマッピングしたチームなら、実際にセキュリティ上の問題が発生するはるか前から対応策を計画できる。

テストや徹底的な計画が、この方向性に向けた鍵となる。アラートに基づいて関係者が状況を分析し、素早く反応できるようにするためだ。つまり、ダメージを食い止め、回復するための措置が、数日から数週間ではなく、数時間、場合には数分で講じられるということだ。

資産が失われた場合にも、さらなる被害を防ぐために、迅速な対応が欠かせない。システム自体がすでに危機にさらされているとしても、プロトコルを手がけるチームに対する信頼を支えることに迅速さが役立つかもしれない。

セキュリティ第一の考え方が広く伝われば、攻撃を思い留まらせる抑止効果も期待できる。コミュニティ主導のセキュリティ監視の取り組みは、監視にインセンティブを与え、誰でもがブロックチェーン上のプロトコルの健全性をチェックできるようにするため、エコシステム全体の安全性の確保を促進する。

確かに、すべてのプロジェクトに適応できる「万能の」解決策は必ずしも存在しない。だが、あらゆるプロトコルは、監査の繰り返し、ネットワークの積極的な監視、そして異常検知の自動化と対応システムの組み合わせを活用できるはずだ。

そのようなアクションが必須であることはすでに証明済みで、コンパウンド・ファイナンス(Compound Finance)やマター・ラボ(Matter Labs)といった、Web3エコシステムの主要企業も採用している。

多くのチームがこうした対応策を取れば、2022年は被害額が最も多かった1年としてとどまり続けるだろう。業界全体の取り組みが早ければ早いほど、ハッキングや攻撃が過去のものになる日も早くなる。

ステファン・ロイド・ウェバー(Stephen Lloyd Webber)氏:暗号資産サイバーセキュリティテック企業オープンゼッペリン(OpenZeppelin)でプロダクトマーケティングを担当。

|翻訳・編集:山口晶子、増田隆幸
|画像:Shutterstock
|原文:This Was the Worst Year for Crypto Hacks. Here’s How 2023 Can Be Better