開示: ここに表明された見解や意見は著者自身のものであり、crypto.newsの編集部の見解や意見を代表するものではありません。
セキュリティ監査は重要ですが、その結果は通常異議を唱えられず、単一のレビューではすべての脆弱性を見つけることができるわけではありません。パブリック監査は、ホワイトハットハッカーがDeFiのインセンティブを通じて監査結果を二重チェックすることを促し、web3全体のセキュリティを向上させることができます—それはバグバウンティを小規模プロジェクトでも手頃なものにするからです。
あなたにもおすすめ: 暗号ウォレットはあなたの個人データを保護できます | 意見
通常の監査が常に十分でない理由
ハッケンの2024年第3四半期セキュリティレポートによると、web3業界は2024年だけで驚異的な18億ドルを失いました。これらの損失のほぼ40%は、スマートコントラクトの脆弱性や再入可能攻撃のような防止可能な問題によって引き起こされました。驚くべきことに、ハッキングされたプロジェクトの90%は監査を受けたことがなく、セキュリティにおける重大な見落としを浮き彫りにしています。
従来のセキュリティ監査は不可欠です—それはプロジェクトのライフサイクルの重要なポイントで、ユーザー資金の安全性を確保するために専門的なレビューを提供します。しかし、これらの監査の中央集権的な性質のため、通常はその結果に異議を唱える機会はありません—プロジェクトが二回目の監査に投資しない限り、これは稀な出来事です。すべてをキャッチするために単一のレビューに期待するのは非現実的であり、最も勤勉な監査人でさえ人為的なエラーを引き起こす可能性があります。
この問題の解決策はweb3の分散化の精神にあります。暗号プロジェクトは、パブリック監査のためにより広範なホワイトハットハッカーコミュニティを活用できるため、分散型で継続的かつコミュニティ主導のセキュリティレビューを提供できます。
分散型セキュリティ監査: 原則と利点
分散型監査を設計する上での最も重要な課題は、独立した監査人に強力なインセンティブを提供することですが、プロジェクトに追加のコストをかけないようにすることです。このバランスをDeFiツールを通じて保つための一つの方法を示しましょう。
セキュリティプラットフォームが新しいクライアントから監査のリクエストを受けるたびに、専用のスマートコントラクトベースの報酬プールを立ち上げることを想像してみてください。会社は監査コストの一部でこのプールを満たし、そのトークン保有者がプラットフォームのトークンをステーキングすることでさらに追加します。プラットフォームが自社の監査を完了すると、独立したセキュリティ研究者が参加し、クライアントのコードを二重チェックします。コミュニティ監査が完了すると、独立した監査人とステーキング者がプールから報酬を受け取ります。
これがハッケンのデュアルディフェンスフラッシュプールの仕組みです。プライベート監査の料金を支払ったすべてのクライアントは、追加のパブリック監査を受け、二重のセキュリティモデルを形成します。そして、DeFiの真の精神において、コミュニティの参加がステーキング報酬で奨励されます。
このアプローチには広範な利益があります: コミュニティは高い実質利回りAPYの金融商品を手に入れ、監査人は自らの発見のピアテストを歓迎し、ホワイトハットハッカーは有効なバグの発見に対して報酬を得ます—クリーンなコードを見つけた場合でも。暗号プロジェクトにとっては、自らのコードの安全性に対する保証が強化されます。web3業界全体にとっては、セキュリティを高め、サイバー犯罪と戦うための実行可能なアプローチを提供します。
分散型監査は、特に新興のweb3プロジェクトに対してセキュリティへのアクセスを民主化します。多くの暗号スタートアップは素晴らしいMVPを持っていますが、従来のバグバウンティに必要なリソースが不足していることが多く、コストがかさむ可能性があります。倫理的ハッカーが発見するバグの数を予測することは誰にもできません。我々が提案するモデルは、固定されたコミュニティ資金による報酬プールでこれに対処し、セキュリティを初めからアクセスしやすく予測可能なものにします。
このモデルを実装することは、監査会社にとってかなり具体的なリスクを伴います: 外部監査人に自社の仕事を検証させることで、プラットフォームの評判を危険にさらします。しかし、この方法により、会社は毎回の監査に対してさらに慎重にアプローチするインセンティブを得ることができます—その仕事の結果がどれほど公になるかを知ることで—最終的には、業界全体に利益をもたらすでしょう。スマートコントラクト監査人は監査後に立ち去るべきではありません—大胆になり、責任を持つ時です。
最後に、パブリック監査プールはDeFiに欠けているものを導入します—実世界の資金に裏打ちされた報酬。このモデルは、ユーザーのリターンがインフレトークンの発行によって推進されないことを保証し、しばしば持続不可能な成長と価値の減少を引き起こします。代わりに、ユーザーは実際の市場活動から利益を得て、DeFiにおけるより持続可能な金融モデルへの一歩を踏み出します。
従来の監査とオープンなコミュニティ支援の監査を組み合わせることは、すべての規模のプロジェクトに適した弾力的なセキュリティモデルへの道を開きます。DeFi駆動のインセンティブによって支えられたパブリック監査は、web3におけるアクセス可能で堅牢かつ積極的なセキュリティ文化への変革的な一歩を示しています。
続きを読む: 教育はより広範な暗号採用の鍵です | 意見
著者: ディマ・ブドーリン
ディマ・ブドーリンは、主要なブロックチェーンセキュリティ監査会社ハッケンの共同創設者兼CEOであり、EEA DRAMA(DeFiリスク評価管理および会計グループ)の共同議長、暗号業界基準の共同著者です。デロイトで8年以上の監査経験を持ち、ウクライナ国家機関であるウクスぺトエクスポートの監査顧問、ウクインマッシュの戦略開発副CEOを務めました。暗号愛好家でありサイバーセキュリティの専門家であるディマは、BBC、Wired、Cointelegraph、Coindeskなどの信頼できるメディアで見解を紹介されています。彼はまた、ウクライナのブロックチェーン協会の副会長でもあります。