6月11日、世界トップクラスのWeb3およびAIサミットであるProof of Talkにおいて、CertiKの最高事業責任者であるJason Jiang氏が、InnerworksのCEO兼共同創設者であるOliver Quie氏、HackenのCPOであるDenis Ivanov氏とともに、「Web3プロトコルにおける信頼の構築」に関する円卓討論会に招待され、「Web3プロジェクトに対する真の持続可能な信頼の構築方法」について議論しました。
「セキュリティ監査」が徐々にマーケティング用語に組み込まれるにつれ、Web3 プロジェクトはどのようにして「監査ウォッシング」を回避し、将来に向けてセキュリティの信頼を構築できるのでしょうか。
フォーラムで、ジェイソン・ジャン氏は、現在の業界には「監査の隠蔽」という顕著な現象が見られると率直に述べました。つまり、一部のプロジェクトは監査報告書を公開するだけで「安全」であると主張し、報告書の適時性、範囲、結果に関わらず、監査報告書を「安全バッジ」のように利用しているのです。
彼は、高水準の静的コード検証でさえ、セキュリティモデルの一部に過ぎないと指摘しました。検証は必要ですが、それだけでは十分ではありません。多くのリスクは実際には監査後に発生します。例えば、アップグレード可能な契約によって監査後に新たな攻撃対象領域が出現したり、ガバナンスメカニズムからの逸脱、外部アカウント(EOA)によって管理される管理機能によって監査時の想定が覆される可能性があります。
さらに、静的分析の能力を超えるリスクもあります。オラクル、クロスチェーンブリッジ、流動性の変化、コンポーザビリティなどの要素はすべて、新しい動的な依存関係をもたらします。
そのため、Jason Jiang 氏は「監査済み」は「安全」を意味するものではないと強調しました。
CertiKのモジュール式リアルタイムセキュリティモデル
これらの課題に対処するために、Jason Jiang 氏は、CertiK が積極的に構築し、推進している「構成可能で継続的な検証および信頼のメカニズム」について詳しく説明しました。
まず、CertiKはオンチェーン監査証明メカニズムの確立を積極的に推進しています。これは、監査レポートが暗号的に署名され、チェーン上に保存され、契約固有のバイトコードのハッシュにバインドされることを意味します。CertiKは、このメカニズムを業界標準にすることを約束します。
第二に、リアルタイムのセキュリティ監視とリスクスコアリングです。Skynetプラットフォームを通じて、CertiKは契約インタラクション行動(フラッシュローン、権限昇格など)、Vaultの挙動、DAOガバナンスのリスクポイント(提案インジェクションなど)、トークンエコノミーの異常な変動を動的に監視できます。これらのデータからリアルタイムのリスクプロファイルを生成し、ユーザーに継続的なセキュリティステータスのフィードバックを提供します。
3つ目は、継続的な検証プロセスを確立することです。CertiKは、セキュリティチェックを開発ライフサイクル全体(CI/CD)に統合します。これには、コード変更時の差分ファズテスト、シミュレーション攻撃モデルテスト(MEVロボット、サンドイッチ攻撃など)の使用、ガバナンスやアップグレードイベント発生時の新しい監査プロセスの起動などが含まれます。
4つ目に、AIを活用した監査と協調検証の検討を進めています。CertiKは、監査前のスクリーニングと大規模なアンチパターンの特定のためのAIモデルを研究しています。これにより、人間の監査担当者はプロトコルのコアロジック、エッジシナリオ、プロトコルコンテキスト分析に集中できるようになり、「人間と機械の協調による大規模なセキュリティ保証」を実現できます。
プロトコル設計:信頼のアーキテクチャ基盤
プロトコル設計がユーザーの信頼に及ぼす影響について議論した際、Jason Jiang氏は、多くのリスクはコードの脆弱性ではなく、アーキテクチャ上の前提から生じると指摘しました。特に、権限、制御権、アップグレードメカニズムに関する不明確な前提が、信頼に影響を与える重要な要因であると指摘しました。
彼は、いくつかの主要な設計ベクトルが信頼に及ぼす具体的な影響を分析しました。
アップグレード性と不変性の観点から、プロジェクトがアップグレードの可能性を維持する必要がある場合、マルチシグネチャ制御を必須とし、時間遅延を備えたオンチェーンガバナンスメカニズムを組み合わせる必要があります。同時に、コミュニティに明確な拒否権を与える必要があります。これにより、鍵となる権限が少数の外部アカウント(EOA)によって制御されることを防ぎ、分散化の約束を維持できます。
モジュール化とオープンソース化の観点から、コアアルゴリズム、財務管理、ガバナンスモジュールといったコアコンポーネントは分離して設計する必要があります。各モジュールは独立したテストと検証をサポートし、複雑な依存関係によって生じるリスクを軽減する必要があります。また、タイムロック、一時停止可能な契約、ヒューズメカニズムといった透過的な障害保護メカニズムには、明確な緊急時対応プロセスが付随する必要があり、隠れた「緊急権限」によってこれらのメカニズムが無効化されるのを防ぐ必要があります。
最後に、ガバナンスの実践は完全にオンチェーンで行われ、監査可能であるべきです。誰がどのようなアップグレード権限を持っているか、アップグレードプロセスがどのように機能するか、そして時間制限がどのように設定されるかを明確に開示する必要があります。そうすることで初めて、ガバナンスは理論的なレベルにとどまらず、真に実装されるのです。
Web3 信頼の公式: 信頼 = コード + 行動 + 文化 + コンプライアンス
アイデンティティの承認がない高度に分散化された環境である Web3 の特有の課題に直面して、Jason Jiang は信頼を構築するための公式「信頼 = コード + 行動 + 文化 + コンプライアンス」を提案しました。
彼は、プロトコルが得る信頼は、コードの品質だけでなく、プレッシャーの下でのプロジェクトの行動パターンにも左右されると指摘しました。その中でも、いくつかの重要なアクションが重要です。
まず、プロジェクトはバグ報奨金プログラムを実装し、維持する必要があります。この仕組みが十分な資金、対応力、そして支払いの効率性を備えているかどうかは、プロジェクトの運用の成熟度と透明性とオープン性へのコミットメントを直接反映します。
第二に、セキュリティインシデントが避けられない場合、プロジェクトは透明性、詳細さ、そして技術的に厳密なリプレイレポートを公開する必要があります。レポートには、インシデントの根本原因を説明し、ミスを明確に認識し、影響を評価し、改善策を提案する必要があります。このような対応は、危機的状況下でも組織としての信頼を築くことができます。
さらに、プロジェクトは長期にわたる回復力も証明する必要があります。これには、市場の急激な変動に耐え、セキュリティ上の脅威に迅速かつ透明性を持って対応し、新たな攻撃に常に適応する能力が含まれます。ジェイソン・ジャン氏は次のように結論付けています。「暗号通貨の世界では、1年は従来の産業における8年に相当します。6年間安定的に運営されているプロジェクトは、半世紀にわたる信頼を獲得することに相当します。」
Proof of Talk Summitの円卓討論には、業界トップクラスのセキュリティ専門家が一堂に会しました。参加者は、Web3の信頼の礎を再構築し、持続可能な発展を促進するためには、基盤技術の革新、プロトコル設計の最適化、そしてプロジェクトの動作の長期検証など、多方面にわたる緊密な協力が不可欠であることに同意しました。こうした状況において、CertiKのリアルタイム・モジュール型セキュリティモデルと「コード+動作+文化+コンプライアンス」という信頼フレームワークの提唱は、業界にとって重要な発展の方向性を示しています。
Web3セキュリティ企業として、CertiKは「セキュリティとしての監査」から「サービスとしてのセキュリティ」へと業界を前進させてきました。CertiKは、ライフサイクル全体にわたる製品、コミュニティとの連携、そしてAIテクノロジーを活用し、Web3構築者に信頼性、セキュリティ、透明性に優れた基盤を提供し続けます。
