DeFi分野が成長を続ける中、セキュリティは主流への道における大きな障害として浮上している。近年、セキュリティの向上とユーザーの資金保護に向けて進歩を遂げてきたが、ハッキングやエクスプロイトは依然として問題となっている。 定期的に発生する エコシステムの中で。
4 月下旬、Magpie Protocol は攻撃を受け、221 個のウォレットから 129,000 ドル相当のお金が盗まれました。私は Magpie の共同創設者兼 CIO である Ikram Ansari 氏にインタビューし、この問題に対する見解や、Magpie がハッキング被害から得た経験と教訓について伺いました。
Q: 現在、DeFi プロトコルはハッキングについてどのように警告されていますか? ハッカーは自慢するために手を差し伸べているのでしょうか? チームに警告するシステムはありますか? チームは、何か怪しいことが起こっているかどうかをユーザーが確認するのを待っているのでしょうか?
ブロックチェーン イベントを継続的に監視し、スマート コントラクトの問題をチームに警告するリアルタイム監視および保護ツールがあります。たとえば、Cube3AI を使用すると、プロトコルはスマート コントラクトのリアルタイム監視を実装できます。これは、コントラクトで実行されるトランザクションにスコア (安全、警告、または安全でない) を割り当てることによって機能します。
ただし、これらのツールは監視のみを行います。したがって、アラートがトリガーされた場合に自動一時停止または何らかのアクションを実装するかどうかはプロトコル次第です。Cube3AI はリアルタイム保護も提供しており、チーム メンバーによる手動介入を必要としない問題によってトリガーされた場合はトランザクションをブロックします。
全体的に、プロジェクトがそのようなツールを利用していない場合、スマート コントラクトを監視して異常なアクティビティを検出するのはチームの責任です。また、通常、ユーザーは調査が必要なときにチームに知らせます。
Q: Magpie の対応は迅速で、ユーザーもそれを高く評価しました。短期的にはどのような影響がありましたか。また、長期的にはブランドに悪影響を与え続けると思いますか。
Magpie は、エクスプロイトを修正するために dApp を一時的にオフラインにする必要がありました。新しく更新されたコードをテストおよび検証し、監査機関 QuillAudits から契約に関する肯定的なフィードバックを受け取りました。
しかし、その間に私たちはコミュニティ キャンペーンを中止しなければなりませんでした。状況に対処するのに約 1 か月かかり、エクスプロイト中または直後にトークンを発行できなかったため、トークン生成イベント (TGE) の日付も延期されました。
これにより、短期的には当社の勢いが鈍ったかもしれませんが、対応が迅速で、悪用された金額が低く(他の悪用と比較して)、すべてのユーザーに補償が行われ、すべてが TGE とそれに伴うプロモーション、キャンペーン、PR の前に行われたため、長期的にはブランドに悪影響を与えることはないと考えています。
そのため、Magpie にはセキュリティとコミュニティに専念するチームがあることをユーザーが認識し、感情が改善されると考えています。私たちは継続するだけでなく、物事をより良くするために積極的に取り組んできました。
Q: DeFi は、ユーザーが肩をすくめて「ハッキングは起こるもの」と言うところまで来ています。一部のユーザーは、ハッキングに慣れすぎて、もう気にも留めません。この鈍感化についてどう思いますか? DeFi は常にこのような考え方に陥る運命にあったのでしょうか? これを変えるには何が必要でしょうか?
DeFi の導入と技術はまだ初期段階にあります。DeFi のユーザーのほとんどは、中央集権型金融と比較して DeFi の「ワイルド・ウェスト」な性質に慣れている、より真剣な、あるいはハードコアな暗号通貨ユーザーと呼ばれる人たちです。しかし、だからといってハッキングや不正アクセスが歓迎されているわけではありません。
少なくとも現時点では、パワーユーザーは、この技術の早期導入の代償として、このようなハッキングに対して鈍感になっていると私たちは考えています。
しかし、スマート コントラクト ウォレット、アカウントの抽象化、新しいセキュリティ対策などの進歩により、セキュリティが向上するにつれて考え方も変わります。
Q: 透明性と前進に向けた努力は称賛に値します。Cube3AI がプロジェクトのセキュリティ確保にどのように役立つのか、またその仕組みについて詳しく説明していただけますか?
Cube3AI は、リアルタイム保護を提供することで、Magpie Protocol のセキュリティ保護の取り組みを支援します。これは、検出と保護という 2 種類の製品によって行われます。
Detect スイートは、ブロックチェーン アドレスの詳細なリスク スコアリングを提供し、サイバー脅威、詐欺、コンプライアンスの問題を評価し、あらゆるブロックチェーン上のトランザクションをリアルタイムで監視し、複数のメインネットにわたる新しいスマート コントラクトのリスク スコアを即座に提供します。
Protect スイートには RASP (ランタイム アプリケーション自己保護) 機能が搭載されており、スマート コントラクトと統合してリアルタイムのリスク スコアリングを提供し、セキュリティ リスクが検出された場合にトランザクションを元に戻すことができます。
現在、監視には Cube3AI を使用しています。契約で実行されるすべてのトランザクションにはスコアが付けられ、問題が発生すると Slack でアラートがトリガーされます。次の Magpie バージョンでは、Cube3AI RASP をバックエンドに統合し、トランザクションが実行される前にリアルタイムのフィードバックを受け取れるようにする予定です。
Q: ユーザーの利便性を優先したことが、脆弱性と関係していると思いますか? ユーザーにとって物事が簡単であればあるほど、プロジェクトが悪用される可能性が高くなるように思えます。
私たちの場合、脆弱性はユーザーにとってのプロセスの簡素化によるものではありませんでした。ユーザーの利便性を優先すると、プロセスの簡素化によってセキュリティ対策が削減される可能性があるため、脆弱性につながることがあります。ユーザー エクスペリエンスを過度に複雑にすることなく、潜在的な脅威から保護するには、使いやすさとセキュリティのバランスをとることが不可欠です。