▼▼▼

Liu Feng: Cosine はここ数日、Lendf.me の盗まれた資金 (約 2,500 万米ドル) の回収に携わっていますが、その数十時間の経験について教えていただけますか?

コサイン氏: 最初のステップは、脅威の状況と攻撃の詳細を迅速に特定し、脆弱性の最も正確な原因をすぐに特定できるようにすることです。たとえば、今回のインシデントでは、本質的な問題は、 Lendf.Me のコアコードとこの脆弱性が発生するには、ERC777 トークンに基づく組み合わせと組み合わせる必要があります。脆弱性の性質と攻撃方法が分かれば、攻撃者がチェーン上でどれだけの資産を盗んだかを知るのは簡単です。

2番目のステップは、回復する方法を考えることです。 4月19日午後、dForce、Xinghuo、imTokenのセキュリティチームがオフラインで集まり、SlowMistのセキュリティチームとリモート接続して「臨時セキュリティチーム」を立ち上げ、資産復旧を開始した。情報量が膨大で乱雑であるため、一元的に議論すると情報の対称性がすぐに得られ、スピードが上がります。

4月20日、「臨時警備チーム」は攻撃の前後にハッカーが残した痕跡に基づいてハッカーの正確な人物像を特定することに成功し、画期的な手がかりを得るために国内外のさまざまなリソースとの相互比較を開始した。 . 閉じる。 4 月 21 日の午後、ゴールデン 48 時間以内に、重圧を受けて、ハッカーは dForce と積極的に通信し、一部の資産を返還し始めました。通信を続けた結果、攻撃から 3 日目にすべての資産の回収に成功しました。このプロセスは、「一時的なセキュリティ チーム」で重要な役割を果たしただけでなく、暗号化コミュニティの多くの友人から直接的および間接的に支援を受けました。

Liu Feng: Lendf.me への攻撃に関して、皆さんはどのような教訓を学ぶ必要がありますか?

コサイン: 新しいものは進化の過程でセキュリティ リスクを伴います。これが進化の法則です。リスクが早ければ早いほど、リスクは大きくなり、最終的には消滅するか、比較的安定したバランスに向かう傾向にあります。

この心理的な準備に基づいて、DeFi を見てみましょう。いくつかの重要なリスクがあります: 技術的セキュリティ リスク、ビジネス セキュリティ リスク、およびコンプライアンス セキュリティ リスクです。(イーサリアムを例として) 簡単に拡張してみましょう:

1. 技術的セキュリティ

まず第一に、パブリックチェーン自体がテストされており、十分に安全であるかどうかを確認し、イーサリアムは基本的にこの点を満たしているかどうかを確認し、次にスマートコントラクトの設計が十分に安全であるかどうか、Solidity があまり満足していないかどうかを確認し、次に関連する標準（たとえば、 (ERC20、223、721、777 など) 実装が十分に安全かどうか、ここでの最大の問題は、多くの場合、「機能」が「欠陥」になることです。次に、成熟した標準ベースのフレームワークが安全かどうかを検討します。 OpenZeppelin などは非常に優れています; 最後にプロジェクト パーティの開発を見てください セキュリティ慣行が本当に厳格であるかどうかを言うのは非常に困難です 明らかに、開発の品質にはばらつきがあります。

2. ビジネスセキュリティ

ビジネスは、住宅ローン融資、フラッシュローン、取引などの DeFi の設計に依存します。ビジネスでは、価格が急落または高騰した場合にどうすればよいかなど、セキュリティ リスク管理について特別な考慮が必要です。突然の多額の為替送金にどう対処するか？サードパーティのセキュリティリスク（サードパーティトークンへのアクセス、サードパーティとの連携など）をどのように解決するか？

3. コンプライアンスとセキュリティ

それがグレーまたは黒の境界線が付いた DeFi で、一部の国の法執行機関によって誤って倒されたり、単独で逃げたりした場合はどうなるでしょうか?

さらに、ユーザーの視点に関連するいくつかの特別な判断が追加されます。

1. プロジェクト当事者には、セキュリティをチェックするための豊富なセキュリティ経験を持つ強力なセキュリティ チームまたはコア担当者がいます

2. プロジェクト当事者は、過去 6 か月以内に第三者の専門セキュリティ機関による監査を受けており、セキュリティ監査の結果が公表されている

3. プロジェクト当事者は、第三者の専門セキュリティ機関と長期的かつ継続的かつ緊密な協力を行っています。

4. プロジェクトメンバーの中心メンバーは、安全に対して率直かつオープンな姿勢を持ち、間違いを認め、安全を最優先する勇気を持っています。

5. プロジェクトパーティーは安全作業に対する畏敬の念と敬意に満ちています

上記の 5 つのポイントに基づいて、口コミ、実際のユーザー数、データの透明性、セキュリティの透明性など、いくつかの事実を拡張できます。

Liu Feng: 誰もが DeFi 製品を使いたがりますが、その理由は集中型金融サービス プラットフォームのセキュリティを懸念しており、DeFi を通じて平和を求めることを望んでいるからです。しかし、今年に入ってDeFiプラットフォームやプロダクトに対する攻撃が相次ぎ、逆にDeFiに対する不信感が高まっているのは少し残念に思いますが、いかがでしょうか。

Yu Xian: 私の意見は違います、歴史を見てみましょう。

詳細はこちらをご覧ください:https://hacked.slowmist.io/

集中化と分散化の非常に深刻な歴史的事例があることがわかりますが、実際には、これによって信頼を損なう必要はありません。DeFi には独自のポジショニングが必要ですが、DeFi が世界を支配しようとしてはなりません。また、同様です。将来的には、より多くの DeFi + CeFi ハイブリッドが登場するでしょう。また、DeFiは必ずしも完全に分散化する必要はない、これは私の個人的な意見です。

私はハッカーです。私の目から見ると、ハッカーは絶対に安全というわけではなく、多くの弱点がありますが、すべてのハッカーが悪いわけではありません。私たちはセキュリティの方向に進化することを望んでいますが、戦うときは十分な攻撃的な思考を持たなければなりません。

Liu Feng: 聴衆は、DeFi 契約の監査はどのくらい重要ですかと尋ねました。十分に安全ですか?監査を受けた defi プロジェクトは信頼できるのでしょうか?

コサイン氏： DeFiセキュリティ監査はセキュリティ戦略の第2層で、第1層はプロジェクト側の業務であるDeFi開発のセキュリティです。 DeFiセキュリティ監査は、第2層での多くの問題を回避し、セキュリティ防御レベルをより高いレベルに向上させることができます。しかし、その後に 3 番目の層があり、これは更新反復の継続的な操作のセキュリティであり、注意しないと面倒なことになります。セキュリティ監査を受けたプロジェクトは人々に安心感を与えるとしか言いようがありませんが、ブラックスワン、つまり未来からの攻撃は必ず存在します。したがって、セキュリティ監査が半年以上経過している場合は注意が必要です。

Liu Feng: 聴衆からの質問は、よく知られている DeFi プロトコルのほとんどは何らかの形で集中管理されていますが、この方法にはセキュリティの点でいくつかの利点がありますが、管理者による権限の乱用を防ぎ、関連するリスクを軽減するにはどうすればよいでしょうか?

コサイン: これは人間の性質の問題であり、テクノロジーによって解決できるものもあれば、解決できないものもあります。技術的にはDAOと同じように制御するのですが、そうすると新たな問題が発生し、DAOの効率が低すぎると大変です。しかし、プロジェクト側が少なくとも1つ行う必要があるのは、コミュニティがそれを見ることができるように、透明性、アセットの透明性、権限の透明性、意思決定の透明性などです。

Liu Feng: 聴衆は、ユーザーと契約の間にミドルウェアを構築するソリューションはあるのかと質問しました。このミドルウェアはセキュリティ処理に使用されますか?

コサイン: これについてはわかりません。実験する必要がありますが、最近アイデアがあります。見てください。https://firewallx.io/

このファイアウォールはEOSのメインネットワーク上に構築されており、その核となるのがスマートコントラクトの実現です。イーサリアムでは、より複雑な ERC777 も同じことを行う可能性がありますが、まだテストする必要があります。

Liu Feng: 聴衆は、コードのセキュリティ問題はほぼ避けられないと尋ねましたが、DeFi には、大きな損失を避けるために、より成熟したリスク管理メカニズムを追加する必要がありますか? DeFiの魅力は分散化とスマートコントラクトだが、攻撃を受けた後の修復や回復は人間同士の勝負になりそうだからである。

Yu Xian: 回復するのは難しいですが、さらに興味深いのは、各国の司法手続きや法執行手続きが仮想通貨をサポートし始めているため、今年は成功率が上昇する可能性があるということです。

今夜の Math Show #001 イベントに参加した「ショー」の友人たちに非常に感謝しています。また、DeFi に関するセキュリティに関する豊富な知識を私たちに提供し、環境セキュリティに貢献してくれた SlowMist の創設者である Yu Xian にも感謝します。ブロックチェーン。スローミストがますます良くなることを願っています。