2022年にはブリッジの攻撃が20億ドルの損失をもたらしましたここでは、それらを回避できた方法について説明します

フルマルチチェーンの未来に向けた進化の中で、ブリッジは暗号通貨ネットワーク自体よりもハッキングのリスクが高くなっています。2022年だけで、トークンブリッジの攻撃により20億ドル以上の資産が盗まれました。最悪なのは、それらすべてが複数のセキュリティ対策を採用することで回避できた可能性があったことです。

2022年の攻撃のいくつかを調べることで、システムの主要な欠陥と、それらに対処するために存在する個々のセキュリティ対策をよりよく理解することができます。

社会工学

社会工学攻撃は、最も一般的なセキュリティ侵害の形式です。フィッシングやハニートラップを通じて、個人情報を交換するために「あまりにも良すぎるオファー」が約束されることによって、誰もが社会工学攻撃の被害に遭ったことがあります。

Martin KöppelmannはGnosisの共同設立者です。

• 壁を破る：ビットコインが不動産業界を変革する方法
• ロシアはビットコインを強化すべきか禁止すべきか？
• 下院法案により、SECが暗号トークンを証券と主張するのがより困難になる可能性がある

2022年の最大のブリッジ攻撃では、ハッカーたちは資金を流出させるために同様の手法を使いました。高プロファイルな暗号ゲームAxie Infinityのブロックチェーンは、偽のLinkedInの求人オファーを含むフィッシングスキームでハッキングされました。

ゲームの開発者であるSky Mavisは、従業員が偽の求人オファーの標的になり、複数の面接に出席するように求められたと述べました。従業員が餌に飛びついた時、ハッカーは彼らのシステムにアクセスし、Sky MavisのRonin Networkから6.25億ドルを持ち去りました。Sky Mavisは、何がうまくいかなかったのかの検証中に、高度なスピアフィッシング攻撃の被害者になったと述べました。

秘密鍵の危険

2022年9月、アルゴリズム的な市場メーカーであるWintermuteは、おそらくProfanityアプリが生成した秘密鍵の弱点のために1億6000万ドルをハッキングされました。

ホットウォレットの秘密鍵が悪用され、資金が流出しました。報告によると、Profanityのアドレスに欠陥が見つかっていたが、同社はこれらの報告を真剣に受け止めていなかったということです。

同様の理由がSlopeのハッキング事件に関与しており、同社は600万ドルの損失を被りました。

スマートコントラクトの欠陥

スマートコントラクトは、ある特定の条件が満たされたときにトリガーされる、ブロックチェーンに保存されたプログラムです。例えば、電子商取引においては、バスケットに商品を追加して支払いを済ませると商品が配送されることを確認するものです。スマートコントラクトの欠陥により、ハッカーが条件を満たさずにブロックチェーン間でのお金の移動を不正にトリガーすることができます。

Nomadの場合、ハッカーたちは、主要なスマートコントラクトの誤構成を発見し、コードの基本的な理解を持った誰でも資金を引き出すことができるようにしました。結局、これらの欠陥とセキュリティ上の欠陥がハッカーによってあっけなく悪用されたことは心配なことですが、さらに問題なのは、「信頼された」システムが簡単に悪用できるようになっていたことです。

解決策：複数のセキュリティ対策

ブリッジの標準は、異なるブロックチェーンネットワークが相互に通信する方法を定義するルールのセットです。これらのプロトコルの中には、それ自体がリスクにさらされているものもありますが、複数のプロトコルを組み合わせることで必要な追加のセキュリティレイヤーを追加することができます。

複数のブリッジ標準を同時に使用することで、開発者は1つのプロトコルに表示される弱点を別のプロトコルの使用によって相殺することができます。いくつかの暗号化標準を見てみましょう。これらを組み合わせて、追加のセキュリティレイヤーを追加することができます。

マルチシグと委員会

マルチシグテクノロジーは、取引を実行する前に複数の当事者の署名または承認が必要になります。これにより、ネットワークへの不正アクセスを防止し、1つの当事者が完全な制御を持たないようにします。

委員会ブリッジ標準は、信頼できるエンティティまたは委員会を使用して、ネットワークブリッジのセキュリティを管理します。メンバーは、ネットワークトランザクションの承認と監視に責任を持ちます。複数の組織がネットワークにアクセスする場合、委員会は有益です。

ゼロナレッジ

ゼロナレッジ（ZK）は、必要な情報以外の追加情報を明らかにすることなく、2つの当事者が情報を交換できるようにする暗号技術です。

ZKモデルの統合により、委員会モデルを必要とせずに、開発者はオンチェーンで軽量クライアントを利用することができます。ZK-SNARKの「簡潔性」という特性を用いたゼロナレッジ証明システムを使用することで、効率的にこの検証プロセスを実行することができます。最大限のセキュリティのために、状態の移行と合意の両方をオンチェーンで検証することも可能です。

オンチェーンライトクライアントでは、ZKPシステムを使用してソースチェーンの状態が有効であることを証明します。これは、ソースチェーンの完全な状態を知る必要がなく、ターゲットチェーンによって検証できる証明を生成することによって行われます。オンチェーンライトクライアントの使用は、ブロックチェーンのセキュリティとスケーラビリティを向上させるのに役立ちます。ターゲットチェーンでソースチェーンの状態を検証することにより、ターゲットチェーンはソースチェーンの状態が正確であることにより自信を持つことができます。これにより、詐欺やその他の悪意のある活動を防止することができます。実用的な例として、ZKを使用して、特定のウォレットの所有者がトランザクションを承認したことを証明することができますが、秘密鍵を明かすことはありません。

楽観的

一部のブリッジは、トランザクションの検証を最初に行わずに、楽観的な手法を使用します。楽観的なブリッジは、各トランザクションが有効であると仮定し、追加の参加者に報酬を与えて不正なトランザクションを指摘するよう促します。このチャレンジ期間が経過した後に資金がクリアされます。これは、楽観的なブリッジがゲーム理論的に安全であるが、数学的には安全ではないことを意味します。つまり、第三者が何が起こっているかに注意を払うことに依存します。これらは、追加の流動性プロバイダーによってユーザーから抽出された手数料に対して、ブリッジの主張の正確性を独自にチェックし、他のチェーンで即座に利用可能な資金を提供することによってユーザーから抽象化されます。

楽観的なブリッジは、各トランザクションをすぐに検証しないために、まだかなり安全である場合があります。これは、「チャレンジと異議申し立て」の方法を使用するためです。つまり、ユーザーがトランザクションが誤って処理されたと思った場合、ユーザーはトランザクションを異議申し立てることができ、ブリッジが調査することができます。

複数のブリッジ標準を実装する上での課題

すべてが終わったら、最高のセキュリティは、標準を組み合わせて使用することによって達成されます。これにより、1つのブリッジ実装にバグやセキュリティの弱点がある場合でも、他の標準がネットワークを保護できます。

もちろん、ブリッジは接続されたネットワークのコンセンサスメカニズムに依存することに注意する必要があります。ブリッジは接続するネットワークよりも安全になることはできません。

マルチチェーンワールドに安全にアクセスする

ブリッジは、私たちのマルチチェーンワールドに無制限のアクセスを提供するために必要ですが、攻撃ポイントを減らすために創造的な方法でこれらのブリッジを強化する必要があります。ブロックチェーン技術は、ストレンジャーが集まって直接的かつ不変の決定を下すことができるようにカスタムビルドされており、私たちが利用可能なネットワークの全範囲を利用することに焦点を当てれば、ブリッジはより強力になります。

編集者: Jeanhee Kim および David Z. Morris。

We will continue to update Kocoo; if you have any questions or suggestions, please contact us!