著者の注意書き ✍🏻

かつて、ギリシャ人は木馬を建て、トロイ市に提供しました。市民たちはそれを平和の象徴と見て、中に隠された脅威に気づかなかった。

Bitcoin ETFの成功した発売を受けて、ますます多くの新規ユーザーと資金がWeb3に流入し、加熱する市場はWeb3の将来が広範な適用に向けて一歩近づいていることを示しています。ただし、政策の欠如やセキュリティの脆弱性は、仮想通貨の広範な採用の主な障害となっています。

暗号通貨の世界では、ハッカーは時に数百万ドル、さらには数十億ドルを稼ぐこともあり、オンチェーンの脆弱性を攻撃して直接利益を得ることができます。一方、暗号通貨の匿名性は、ハッカーが逮捕を逃れる条件を作り出します。2023年末までに、すべての分散型ファイナンス（DeFi）プロトコルの総ロックバリュー（TVL）は約40億ドル（現在は100億ドル）でしたが、2022年だけで、DeFiプロトコルから盗まれたトークンの総価値は3億1000万ドルに達し、上記の価値の7%を占めています。この数字は、Web3業界におけるセキュリティの問題の深刻さを完全に示しており、ダモクレスのつるぎが私たちの頭上にぶら下がっているようです。

オンチェーン環境だけでなく、Web3ユーザーエンドのセキュリティ問題も重要です。詐欺スニッファーのデータによると、2023年には32.4万人のユーザーがフィッシング攻撃により資産を盗まれ、総額2億9500万ドルが盗まれました。範囲と金額の両面で影響は深刻です。しかし、ユーザーの視点からは、セキュリティインシデント自体にはラグがあります−事故が発生する前に潜在的なリスクの深刻さを十分に認識するのは難しいとユーザーがしばしば見ています。そのため、人々はしばしば「生存バイアス」に陥り、セキュリティの重要性を見落とします。

この記事では、特にWeb3ユーザーの急速な成長を考慮して、今日の市場に直面する緊急のセキュリティ課題に掘り下げます。Goplusなどの企業が提案するセキュリティソリューションを解析することで、コンプライアンスと強化されたセキュリティ対策を通じてWeb3の普及を強化する方法についてより深く理解することができます。私たちは、Web3セキュリティが数十億ドル相当の広大でまだ開発途上の市場を表しており、Web3ユーザーベースが拡大するにつれて、ユーザーセントリックなセキュリティサービスへの需要が爆発的に成長する可能性があると主張しています。

初期の洞察:

1.Web3セキュリティの脅威の暴露：魅力的な市場の探求

1.1 資産の保護

1.2 行動セキュリティの確保

1.3 プロトコルセキュリティの強化

1. Web3セキュリティランドスケープの分析
2. 次世代のセキュリティソリューション：Web3の未来を守る
3. 結論

合計5400語の単語数で、この記事を読むのに約12分かかるはずです。

Web3セキュリティの脅威の暴露: 資産価値の高い市場の探求:

現在、Web3セキュリティ製品は主に3つのカテゴリに分けられます：ToB、ToC、およびToD。B2Bソリューションは主に製品のセキュリティ監査に焦点を当て、ペネトレーションテストを実施し、監査レポートを提供して製品防衛を強化しています。一方、B2Cソリューションは、リアルタイムの脅威インテリジェンスを収集し、分析し、APIを通じて検出サービスを提供することで、ユーザーのセキュリティ環境を保護することを目的としています。さらに、開発者向けのToD（Developer）ツールは、Web3開発者向けに、自動セキュリティ監査ツールとサービスを提供しています。

セキュリティ監査は必要な静的セキュリティ対策です。ほとんどすべてのWeb3製品はセキュリティ監査を受け、監査レポートは一般に公開されます。セキュリティ監査はコミュニティがプロトコルのセキュリティを二度目の確認するだけでなく、ユーザーが製品を信頼する基盤の一つとしても機能します。

ただし、セキュリティ監査は万能ではありません。市場のトレンドと現在のナラティブを考慮すると、ユーザーセキュリティ環境への課題が今後も主に以下の側面で増加すると予想しています:

資産保護:

各市場サイクルの開始は、新しい資産の発行をもたらします。ERC404の台頭やFTおよびNFTなどのハイブリッドトークンの台頭により、オンチェーン資産の発行は進化し続け、資産セキュリティに対するエスカレートする課題をもたらしています。スマートコントラクトを介してさまざまな資産タイプをマッピングおよび統合することによって導入される複雑さは、ハッカーにとって攻撃対象の表面積を拡大させます。たとえば、攻撃者は特定のコールバックや課税メカニズムを悪用して資産の転送を妨害し、直接的なDoS攻撃につながる可能性があります。従来のセキュリティ監査はこれらの複雑さに対処するのに苦労しており、リアルタイムのモニタリング、警告、およびダイナミックなインターセプトソリューションが必要とされています。

行動セキュリティの確保:

CSIAの統計によると、ネットワーク攻撃の90%はフィッシング試行から発生していることが明らかになっています。この傾向はWeb3の世界でも続いており、攻撃者はDiscord、X、Telegramなどのプラットフォームでフィッシングリンクや詐欺メッセージを通じてユーザーの秘密鍵やオンチェーン資金を狙っています。

オンチェーンの相互作用には急な学習曲線があり、本質的に直感に反するものです。 オフライン署名でも、数百万ドルの損失を被ることがあります。 その署名をクリックするときに私たちが何を承認しているのか、わかっていますか？2024年1月22日、ある暗号通貨ユーザーがフィッシング攻撃に遭い、不正なパラメータで許可署名を行いました。 署名を取得した後、ハッカーは許可されたウォレットアドレスを使用して、ユーザーのアカウントから420万ドル相当のトークンを転送しました。

ユーザーサイドのセキュリティ環境の弱点は、資産の損失につながることもあります。たとえば、ユーザーがプライベートキーをAndroidベースのウォレットアプリにインポートすると、コピー後にプライベートキーが端末のクリップボードに残ることがよくあります。このシナリオでは、悪意のあるソフトウェアを開くと、プライベートキーが読まれ、ウォレットから資産が自動的に移動されるか、遅延時間後にユーザーの資産が盗まれる可能性があります。

Web3に新しいユーザーがますます参入するにつれて、ユーザーサイドの環境におけるセキュリティの問題が重要な懸念事項となります。

プロトコルセキュリティの強化:

再入攻撃はプロトコルセキュリティにおける最大の課題の1つであり続けています。数多くのリスク管理戦略の採用にもかかわらず、このような攻撃を含むイベントは依然として頻繁に発生しています。例えば、昨年7月、Curveは、契約プログラミング言語Vyperのコンパイラの欠陥による深刻な再入攻撃に見舞われ、DeFiのセキュリティについて広く疑念を持たれることとなった最大6,000万ドルの損失を被りました。

契約ソースコードロジックには多くの「ホワイトボックス」ソリューションがありますが、Curveハックのようなイベントは、契約ソースコードが完璧であっても、コンパイラの問題により最終ランタイムと期待される設計との間に違いが生じる可能性があることを明らかにします。ソースコードから実際のランタイムへの契約の変換は、予期しない問題を引き起こす可能性がある、困難なプロセスであり、ソースコード自体がすべての潜在的なシナリオを十分にカバーしていない可能性があります。したがって、ソースコードとコンパイラレベルのセキュリティだけに頼ることは十分ではありません。コンパイラの問題により脆弱性が依然として発生する可能性があります。

したがって、ランタイム保護が必要になります。既存のリスク制御手法とは異なり、ランタイム保護はプロトコル開発者がランタイム保護ルールと操作を記述し、ランタイム中の予期せぬ状況に対処することを含みます。これにより、ランタイム実行結果のリアルタイム評価と対応が可能となります。

Bitwiseの予測によると、仮想通貨資産管理会社である仮想通貨の総資産価値は2030年までに16兆ドルに達するとされています。セキュリティコストリスクアセスメントの観点から定量的に分析すると、オンチェーンセキュリティインシデントの発生はほぼ資産の100%の損失につながるため、露出要因（EF）を1と設定でき、したがって単一損失期待値（SLE）は16兆ドルです。年間発生率（ARO）が1%の場合、年間損失期待値（ALE）は1600億ドルとなり、これは仮想通貨資産のセキュリティ投資コストの最大値です。

仮想通貨のセキュリティインシデントの深刻さ、頻度、および市場規模の高速成長を考えると、Web3セキュリティは100億ドルの市場になると予測され、Web3市場とユーザーベースの拡大に伴い急速に成長するでしょう。さらに、個々のユーザー数の急激な増加と資産セキュリティへの関心の高まりを考慮すると、C側市場においてWeb3セキュリティサービスと製品への需要が幾何級に増加することが予想され、未だ完全に探求されていないブルーオーシャン市場を象徴しています。

Web3セキュリティ・ランドスケープの分析

Web3におけるセキュリティ問題の継続的な発生に伴い、デジタル資産を保護し、NFTの信頼性を確認し、分散型アプリケーションを監視し、マネーロンダリング防止規制を遵守するための高度なツールへの需要が顕著に増加しています。統計によると、現在のWeb3に直面するセキュリティ脅威の主な源は次のとおりです。

• プロトコルを対象としたハッカー攻撃
• ユーザーをターゲットにした詐欺、フィッシング、および秘密鍵の盗難
• ブロックチェーン自体をターゲットにしたセキュリティ攻撃

これらのリスクに対処するため、現在の市場における企業は主に2つの主要なトラックでサービスやツールを提供することに焦点を当てています：ToBテストおよび監査（Pre-Chain）とToCモニタリング（On-Chain）。ToCに比べ、ToBトラックのプレイヤーは市場に長らく参入しており、新規参入者も見ています。しかし、Web3市場環境がより複雑になるにつれて、ToB監査はさまざまなセキュリティ脅威に対処するのに苦労しており、ToCモニタリングの重要性が増しており、その需要を高めています。

• ToB:

CertikやBeosinなどの代表的な企業は、ToBテストや監査サービスを提供しています。これらの企業は主にスマートコントラクトレベルでサービスを提供し、セキュリティ監査やスマートコントラクトの形式的検証を行っています。ウォレットの可視化分析、スマートコントラクトの脆弱性分析、ソースコードのセキュリティ監査などの事前チェーン手法を通じて、これらの企業はある程度スマートコントラクトの脆弱性を検出し、リスクを軽減することができます。

• 千

ToC監視はオンチェーンで実行され、スマートコントラクトコードのリスク分析、オンチェーンステート、ユーザートランザクションメタデータ、トランザクションシミュレーション、およびステートモニタリングを含んでいます。ToBと比較して、Web3空間のCサイドセキュリティ企業は比較的遅く設立されましたが、著しい成長を遂げています。GoPlusなどのWeb3セキュリティ企業が提供するサービスは、徐々にWeb3内のさまざまなエコシステムに適用されています。

2021年5月の設立以来、GoPlusはAPIのデイリーコールで急速な成長を遂げ、最初は1日あたり数百のクエリから、市場のピーク時には1日2000万回のコールにまで増加しました。次のグラフは2022年から2024年までのToken Risk APIコールの変化を示し、Web3領域でのGoPlusの重要性の成長率を示しています。

GoPlusが導入したユーザーデータモジュールは、CoinMarketCap（CMC）、CoinGecko、Dexscreener、Dextoolsなどのトップ市場ウェブサイトや、Sushiswap、Kyber Networkなどの主要な分散型取引所、Metamask Snap、Bitget Wallet、Safepalなどのウォレットなど、さまざまなWeb3アプリケーションの重要な一部となり、重要な役割を果たしています。

さらに、このモジュールは、Blowfish、Webacy、Kekkaiなどのユーザーセキュリティサービス企業に採用されており、GoPlusのユーザーセキュリティデータモジュールがWeb3エコシステムのセキュリティインフラを定義し、現代の分散型プラットフォームにおける重要な位置を示しています。

GoPlusは主に以下のAPIサービスを提供し、複数の主要モジュールのターゲットデータ分析により、ユーザーセキュリティデータに包括的な洞察を提供します。これにより、進化するセキュリティ脅威を予防し、Web3セキュリティの多面的な課題に対処します。

• トークンリスクAPI：異なる仮想通貨に関連するリスクを評価します。
• NFTリスクAPI：さまざまなNFTに関連するリスクを評価します。
• 悪意のあるアドレスAPI：詐欺、フィッシング、およびその他の悪意のある活動に関連するアドレスを特定およびフラグ設定します。
• dAppセキュリティAPI：分散型アプリケーションのリアルタイムモニタリングおよび脅威検知を提供します。
• 承認契約API：スマートコントラクトの呼び出し権限を管理および監査します。

Cサイドトラックでは、Harpieも観察されています。 Harpieはイーサリアムウォレットを盗難から保護し、OpenSeaやCoinbaseなどの企業と協力しています。 彼らは数千人のユーザーを詐欺、ハッキング攻撃、および秘密鍵盗難から守ってきました。 彼らの製品アプローチは監視と回復の両方を包括しています。 彼らはウォレットを監視して脆弱性や脅威を特定し、発見した際にユーザーに迅速に通知し、是正措置を支援します。 ハッキング攻撃や詐欺の被害者となったユーザーに迅速に対応し、資産を回収するのに役立ちます。 彼らの取り組みは、イーサリアムウォレットのセキュリティ強化に非常に効果的でした。

さらに、ScamSnifferはブラウザプラグインの形でサービスを提供しています。この製品は、悪意のあるウェブサイト検出エンジンと複数のブラックリストデータソースを通じてリアルタイムチェックを実施し、ユーザーがリンクを開く前に悪意のあるウェブサイトの影響から保護します。オンライン取引中には、フィッシングなどの詐欺を検出し、ユーザーの資産セキュリティを保護します。

次世代セキュリティソリューション：Web3の未来を守る

資産のセキュリティ、行動のセキュリティ、プロトコルのセキュリティ、およびオンチェーンのコンプライアンスのニーズなどの問題に対処するために、私たちはGoPlusとArtelaが提供するソリューションに取り組んできました。これらは、ユーザーのセキュリティ環境とオンチェーンの運用環境を維持することによって、大規模なWeb3アプリケーションをどのようにサポートしているかを理解することを目指しています。

1. ユーザーセキュリティ環境インフラストラクチャ

ブロックチェーン取引のセキュリティは、大規模なWeb3アプリケーションのセキュリティの礎を形成しています。頻繁に行われるオンチェーンのハッカー攻撃、フィッシング攻撃、およびラグプルに対処し、オンチェーン取引のトレーサビリティの確保、疑わしいオンチェーンの挙動の特定、およびユーザープロファイルのセキュリティ保証が重要です。これに基づき、GoPlusはWeb3向けの初の包括的な個人セキュリティ検出プラットフォームであるSecWareXプラットフォームを立ち上げました。

SecWareXは、SecWareユーザーセキュリティプロトコル上に構築されたWeb3パーソナルセキュリティ製品で、オンチェーンのランタイム攻撃のリアルタイム識別、早期警告、タイムリーなインターセプト、および紛争解決を含む、ワンストップで包括的なセキュリティソリューションを提供します。また、特定のシナリオに合わせてカスタマイズされたセキュリティインターセプト戦略をアセット発行契約にも対応しています。

ユーザー行動セキュリティ教育のために、SecWareXはLearn2Earnプログラムを導入し、セキュリティ知識の学習とトークンインセンティブを巧みに組み合わせ、ユーザーが具体的な報酬を得ながらセキュリティ意識を高めることができるようにしています。

1. 資金コンプライアンスソリューション

マネーロンダリング防止（AML）は、公共のブロックチェーンで最も緊急のニーズの1つです。公共のチェーンでは、取引元、予想される行動、金額、頻度などの要因を分析することで、怪しいまたは異常な行動を迅速に特定するのに役立ちます。これにより、分散型取引所、ウォレット、規制当局は、マネーロンダリング、詐欺、賭博などの潜在的な違法活動を検出し、警告、資産凍結、あるいは法執行機関への報告などの適時な措置を講じ、DeFiコンプライアンスと大規模なアプリケーションの強化に貢献します。

オンチェーンの行動の豊富化に伴い、分散型アプリケーションのトランザクション認識（KYT）は、大規模なアプリケーションにとって不可欠な前提条件となります。GoPlusの悪意のあるアドレスAPIは、Web3で運営される取引所、ウォレット、金融サービスが規制要件を遵守し、その運用を確実にするために重要です。これは、規制順守とWeb3分野の技術的進歩との間の本質的な関連性を強調し、エコシステムの整合性とユーザーのセキュリティを保護するための継続的な監視と適応の重要性を強調しています。

1. オンチェーンセキュリティプロトコル

Artelaは、ランタイム保護をサポートする最初のLayer1パブリックチェーンです。EVM++デザインを通じて、Artelaの動的に統合されたネイティブ拡張モジュールAspectは、トランザクションライフサイクルのさまざまなポイントで拡張ロジックを追加し、各関数呼び出しの実行状態を記録します。

コールバック関数の実行中に脅威がある再入呼び出しが発生した場合、アスペクトはそれを検出し、攻撃者が再入脆弱性を悪用するのを防ぐためにトランザクションをすぐに取り消します。例えば、Curve契約の再入攻撃から保護するために、アルテラはさまざまなDeFiアプリケーションに対するチェーンネイティブプロトコルレベルのセキュリティソリューションを提供します。

プロトコルの複雑さとコンパイラの多様性が増すにつれて、「ホワイトボックス」ソリューションで契約コードロジックの静的チェックを行う代わりに、オンチェーンランタイム保護ソリューションの重要性がより際立ってきます。

結論

2024年1月10日、SECは公式にスポットビットコインETFの上場と取引の承認を発表し、仮想通貨資産の主流採用に向けた最も重要な一歩となりました。政策環境が整備され、セキュリティ対策が強化されるにつれて、大規模なWeb3アプリケーションの登場を必然的に目撃することになるでしょう。大規模なWeb3アプリケーションが荒波であるならば、Web3セキュリティはユーザー資産を保護し、外部の嵐に耐え、誰もが安全に各波を乗り越えるために建てられた頑丈なダムです。

免責事項：

1. この記事は[から転載されましたBuidlerDAO],すべての著作権は元の著者に帰属します[BuidlerDAO]. If there are objections to this reprint, please contact the Gate Learnチームはすぐにそれを処理します。
2. 責任の免責事項: この記事で表現されている意見は、著者個人によるものであり、投資アドバイスを構成するものではありません。
3. 記事の翻訳はGate Learnチームによって行われます。特に言及がない限り、翻訳された記事のコピー、配布、あるいは盗用は禁止されています。