イーサリアム財団のセキュリティ研究者であるデビッド・セオドア(David Theodore)氏の典型的な1日は、世界最大のスマートコントラクトブロックチェーンであるイーサリアムでクラッシュが起きていないかチェックすることから始まることが多い。
その後、彼と同僚はイーサリアムを壊す仕事に取り掛かる。
「私たちのゴールは、できれば他の誰かが壊す前にイーサリアムを壊してしまうことだ」
33歳のセオドア氏は、6月に発表されたプレゼン資料によると、イーサリアム財団のセキュリティ研究チームに所属する約10人のコンピュータエンジニア兼サイバーセキュリティ専門家の1人だ。
彼らは、一部のブロックチェーン専門家が、将来、グローバル規模でデジタルな分散型金融システムの基盤になると見ているイーサリアムネットワークの究極の維持者であり、守護者でもある。
イーサリアム財団は、イーサリアム創設者のヴィタリック・ブテリン氏によって、ネットワークの開発をサポートするために設立され、プレゼン資料によれば約150人のスタッフを抱えている。財団は絶え間ないプログラムのアップグレード、成長への取り組み、開発者カンファレンスのスポンサー業務、助成金の提供に重点を置いている。
つまり、このセキュリティ研究者チームは、財団の運営全体のほんの一部に過ぎない。しかし、のちのち高くつくことになるエクスプロイトに対して脆弱なプロトコルやアプリケーションをリリースすることが多い暗号資産(仮想通貨)業界において、このチームの役割はこれ以上ないほど重要だ。
ハッカーは常に新しい攻撃ポイントを探しており、たった一度の不手際が安全な取引の場としてのイーサリアムの評判に壊滅的な打撃を与えかねない。
「常にファジング」
チームメンバーの経歴や専門はさまざま。その多くはコンピュータサイエンスの学位を持ち、エクスプロイトへの対応、分散システムへの攻撃、暗号化テクノロジーの応用などの経験を積んでいる。
セキュリティチームがイーサリアムを保護するために展開するテクニックのひとつが「ファジング」だ。これはソフトウェア開発業界から借用した用語で、システムが安全でレジリエントかを確認する一般的なチェック方法となっている。
具体的にイーサリアムでの作業で言えば、セキュリティチームのメンバーが無効な入力をネットワークノードに送り込み、ソフトウェアのバグや脆弱性をチェックする。ファジングのポイントは、システムにネガティブな反応があるかどうかを確認することだ。
「我々は常にファジングを行っている。大きなスーパーコンピューターが常にファジングしている」とセオドア氏は語った。「あなたが働いている間も、寝ている間も、スーパーコンピューターがすべてをファジングしている」。
セキュリティ研究者の生活
年中無休の暗号資産の世界では、セオドア氏の1日はいつも少し異なっている。
「パニックや何らかのエラー、障害のように見えるものがあれば、それをチェックし、これはファジングによる問題なのか、それとも攻撃者が同じ問題を起こす可能性のある問題なのかと考える」とセオドア氏。
テキサス州オースティンを拠点とするセオドア氏は、時々オフィスを連れて旅に出る。専用のオフィスを備えたキャンピングカーのおかげで、離れた場所でもファジングを続けることができる。
この移動式オフィスには大きなモニターが2台収まり、イーロン・マスク氏が手掛ける衛星インターネットサービス「スターリンク」を介して外部とつながっている。セオドア氏によると、大人2人と犬1匹が快適に過ごせる広さだ。
2022年後半、ロッキー山脈国立公園近くにあるコロラド州グランビーに停車したキャンピングカーがセオドア氏の拠点になった。当時イーサリアムの開発者たちは、プロジェクトが元祖ブロックチェーンのビットコインで使われていた「プルーフ・オブ・ワーク(PoW)」システムから、よりエネルギー効率の高い「プルーフ・オブ・ステーク(PoS)」ネットワークに移行する「Merge(マージ)」と呼ばれる一大マイルストーンに向かって邁進していた。
セオドア氏は、「我々は、マージまでの1カ月をそこで過ごした」と振り返る。そこは便利な立地だった。歴史的なイベントに立ち会う他のイーサリアム財団のチームメンバーと合流するために、コロラド州ボルダーに簡単に移動できたからだ。
@superphiz Want to see how I #stakefromhome as a nomad? Well, home is were we park it!
— dtheo (@Infosecual) 2022年8月25日
This setup is running validators over #starlink and is powered by the sun.
Fun fact- this rig is simultaneously fuzzing beaconchain clients too 🙂 #testingthemerge pic.twitter.com/qFniaLHuE6
ノマドな私のステーキング・フロム・ホームスタイルを見てみたい? 車を停めたところが自宅になる!
ここでは、スターリンクでバリデーターを動かし、太陽から電力を得ている。
愉快なことに、この車両では同時に、ビーコンチェーンのクライアントもファジングしている。
進化する役割
セオドア氏はテキサス大学アーリントン校で電気工学を学んだが、卒業後はサイバーセキュリティの道に進んだ。彼はキャリアの初期を大手航空機・防衛機器メーカーのレイセオン(Raytheon)のオフェンシブ・サイバーセキュリティ部門で過ごし、その後データフォレンジック企業のSkySafeに移った後、2020年にグーグルに移った。
2021年、イーサリアム財団がセキュリティチームを結成することを知り、同財団に参加。当初、彼の役割はプルーフ・オブ・ステークへの移行中にイーサリアムを保護する方法を研究することだった。
その後、セオドア氏の仕事は、ネットワークの完全性を維持するという、より広範なものへと進化していった。
「財団は、国がどのようにサイバー作戦に資金を提供し、どのように作戦を進めているのか、そのようなことに特化したチームを作りたがっていた」とセオドア氏は語った。財団は「そのような方法論を応用して、敵の一歩先を行き、イーサリアムを堅固なものにしようとする」ことのできるメンバーを採用した。
セオドア氏は6月、オースティンの暗号資産開発者グループに対して、イーサリアム財団のセキュリティ研究チームに関するプレゼンテーションを行い、「一般的なハードフォークセキュリティ」「ビーコンチェーンの健全性」、バグ報奨金プログラム、「クライアントセキュリティの調整」「クライアントの多様性擁護」などの責務を列挙した。
プレゼンのスライドの1つによると「我々のチームは、すべてのCLとELクライアント、そしてそれ以外のものにバグを発見してきた」という。「CL」は、イーサリアムのバリデーターがホストされ検証される場所であるコンセンサスレイヤーを表し、「EL」は、取引が完了しブロックチェーンの状態が記録・管理される場所である実行レイヤーを意味する。
セオドア氏は、自分の仕事は従来のサイバーセキュリティ関係者のものとはかなり異なったものだと語る。その理由は、財団がより水平的な管理構造を堅持しているからであり、また、ほぼどこからでも仕事ができるからでもある。
高まる重要性
イーサリアムは、プログラマビリティと分散型アプリケーションのホスティングを可能にする「スマートコントラクト」で知られ、特に現在では、アービトラム(Arbitrum)、オプティミズム(Optimism)、暗号資産取引所コインベース(Coinbase)の新しいブロックチェーンBaseなど、その上で稼働する一連の「レイヤー2」ブロックチェーンの承認と決済のハブ、つまり「レイヤー1(L1)」として急速に拡大している。
イーサリアムネットワーク上で多くの価値が生まれるにつれて、チームのセキュリティ任務の重要性が高まるとセオドア氏考えている。
ちなみに、イーサリアムのネイティブトークン、イーサリアム(ETH)の時価総額は当記事執筆時点、約2120億ドル(約32兆円、1ドル150円換算)に達している。
「我々の仕事はきわめて重要。ブロックの分野について語るなら、セキュリティの代名詞といえばイーサリアムL1だ」とセオドア氏は語った。
|翻訳・編集:山口晶子、増田隆幸
|画像:コロラド州に駐車したデビッド・セオドア氏のキャンピングカー(David Theodore)
|原文:This Cybersecurity Pro Gets Paid to Hack Ethereum – for the Good of the Network