CertiKの最高ビジネス責任者であるジェイソン・ジャン氏は最近、CointelegraphのThe Agendaポッドキャストに出演し、Bybit事件後のWeb3.0のセキュリティについて詳細に議論した。 14億ドルの資産が一夜にして消えたとき、衝撃を受けたのは業界だけではなく、デジタル資産のセキュリティを気にするすべてのユーザーも同様でした。これは暗号化史上最大の盗難事件であるだけでなく、業界の急速な発展に潜むリスクを露呈するものでもある。
ブロックチェーン セキュリティのリーダーとして、CertiK はこのような脅威の分析を決してやめません。 Bybit事件後、 CertiKはすぐに技術分析を実施し、「ブラインド署名」問題の存在を指摘しました。会話の中で、ジェイソンはブラインド署名の理由を説明し、ユーザーにトランザクションアドレスを少なくとも 3 回確認することを推奨しました。
THORChain 検証ノードがトランザクションのロールバックを拒否したとき、ジェイソン氏は率直に「私たちはワイルドウェストにいるようなものです」と述べましたが、規制を受け入れることによってのみ Web3.0 業界が成熟に向かうことができると強調しました。数十億ドル規模のハッカー攻撃を前に、脆弱性に対するわずか 4,000 ドルの報奨金は微々たるものに思え、業界はセキュリティ投資の不足に早急に向き合う必要がある。結局のところ、Web3.0 世界の黄金時代はハッカーたちのお祭りであってはなりません。
以下に完全なレポートを掲載します。ポッドキャストを聞くにはここをクリックしてください。
バイビットの14億ドル盗難後、CertiKの幹部が暗号資産のセキュリティを向上させる方法を説明
今年2月、Bybitへのハッカー攻撃が業界に衝撃を与えた。北朝鮮のハッカー集団ラザルス・グループが中央集権型取引所から14億ドル相当のイーサリアム関連トークンを盗んだと報じられており、これは史上最大の暗号通貨盗難事件となった。
ハッカー攻撃の余波により、多くの疑問が浮上した。何が悪かったのか?あなたの資金は安全ですか?このような事件が再び起こらないようにするには、どのような対策を講じるべきでしょうか?
ブロックチェーンセキュリティ企業CertiKによると、この大規模な盗難は2月の全損失の約92%を占めた。この事件の結果、2月の暗号通貨の総損失は1月と比較して約1,500%増加しました。
コインテレグラフのポッドキャスト「The Agenda」第57回では、司会者のジョナサン・デヤング氏とレイ・サモンド氏が、CertiKの最高業務責任者ジェイソン・ジャン氏と、Bybitのハッキングがどのように発生したか、この攻撃の結果、そしてユーザーと取引所が仮想通貨を安全に保つために何ができるかについて話しました。
Bybit の盗難後、暗号通貨ウォレットはまだ安全ですか?
つまり、ジェイソン氏は、ラザルス グループがバイビットに対して大規模なハッキング攻撃を成功させた理由は、Safe の公式フロントエンド スクリプト コードが汚染され、悪意のあるコードに置き換えられたためだと考えています。この 3 つの署名者は、バイビットが使用しているマルチ署名 SafeWallet を管理しています。その後、このグループは汚染されたフロントエンドコードを使用して、署名者に正当であると信じ込んだ悪意のあるトランザクションに署名させました。
これは、SafeWallet が信頼できなくなったことを意味しますか?ジェイソンは、それはそれほど単純ではないと言います。 「Safe開発者のコンピュータがハッキングされたとき、そのコンピュータからさらに多くの情報が漏洩した可能性があります。しかし、個人ユーザーにそれが起こる可能性はかなり低いと思います。」
同氏は、資産をコールドウォレットに保管したり、ソーシャルメディア上でのフィッシング攻撃の可能性に注意するなど、一般ユーザーが仮想通貨のセキュリティを大幅に向上させる方法はいくつかあると述べた。
Ledger や Trezor のハードウェア ウォレットも同様の方法で悪用される可能性があるかどうか尋ねられたとき、Jason 氏は、これは平均的なユーザーにとって大きなリスクではなく、デューデリジェンスを実行し、取引に注意する必要があるだけだと再度答えました。
「この事件が起きた理由の一つは、署名者が完全なアドレスを見ずに取引指示書に盲目的に署名したことにある」と彼は付け加えた。 「送信するアドレスが本当に送信したいアドレスであることを常に確認してください。特に大規模な取引の場合は、何度も確認してチェックする必要があります。」
「この事件の後、業界は自らを正し、改善し、署名プロセスの透明性と容易な識別を促進するよう努めるだろうと思う。もちろん、学ぶ価値のある教訓は他にもたくさんあるが、これは間違いなくその一つだ。」
次なる数十億ドル規模の取引所ハッキングをどう防ぐか?
ジェイソン氏は、包括的な監視とセキュリティ対策の欠如が、このハッキング事件が継続的に悪化した要因の 1 つである可能性があると指摘しました。以前、クロスチェーンブリッジプロトコルTHORChainの一部の検証ノードは、Lazarus Groupがプロトコルを使用して盗まれた資金をビットコインに変換することをロールバックまたは阻止することを拒否し、これにより業界で分散化の境界に関する議論がさらに引き起こされました。
「ワイルドウェストへようこそ」ジェイソンは言った。「これが私たちの現在の現実です。」
「我々の見解では、仮想通貨が繁栄したいのであれば、規制を受け入れる必要がある」と彼は語った。 「国民にもっと受け入れられるためには、積極的に規制に取り組み、業界の安全性を向上させる方法を見つける必要がある」
ジェイソン氏は、事件後のバイビットのベン・ジョウCEOの対応を称賛したが、ハッキング前にバイビットが開始したバグ報奨金プログラムでは4,000ドルの報奨金しか提供されていなかったことも指摘した。同氏は、サイバーセキュリティ専門家の大半は金銭だけが動機ではないが、バグ報奨金の額を増やすことで取引所がより高いセキュリティを維持するのに役立つだろうと述べた。
取引所やプロトコルが、システムのセキュリティを確保するために優秀な人材を奨励し、確保するにはどうすればよいかと尋ねられたとき、ジェイソン氏は、セキュリティ エンジニアが必ずしも相応の評価を得ているわけではないと指摘しました。
「多くの人は、ティア1の人材は開発職に就くと考えている。なぜなら、そこで最も多くの報酬を得られるからだ」と彼は語った。 「しかし、セキュリティエンジニアに十分な注意を払っているかどうかも問題です。彼らには大きな責任があります。」
「我々は彼らのプレッシャーを適切に軽減し、より多くの認識とインセンティブを与えるべきだ。金銭的な報酬であれ、名誉ある表彰であれ、我々の能力の範囲内で彼らに相応の報酬を与えるべきだ。」
