「Solana上のプログラムは根本的に安全」-OtterSec創設者がSolanaの低エクスプロイト率を評価
データによると、EVMネットワークは2024年を通じて7億9260万ドル以上のハッキングに見舞われたが、ソラナでは3350万ドルだった。ソラーナの何が安全なのか?
- 公開: Nov 15, 2024 at 21:36
- 編集済み: Nov 25, 2024 at 15:10
業界全体の監査人の勤勉な仕事にもかかわらず、ブロックチェーンのハッキングや悪用はまだありふれています。
しかし、データによれば、特定のネットワークや仮想マシンは他のものよりもはるかにリスクが高く、Solanaはライバルと比較した場合、ハッキングの件数が大幅に減少しています
。SolanaとSVMは、本質的に競合他社よりも安全なのでしょうか?ソラナフロアの取材に応じたオッターセックの創設者ロバート・チェンは、ブロックチェーンのセキュリティをめぐる神話のいくつかを払拭した。
EVMはハッカーにとってより幸せな狩場なのか?
DefiLlamaのデータによると、EVMネットワークは2024年に7億9200万ドル以上のハッキングと悪用に遭っています。比較的、Solanaは合計33.5百万ドルしか耐えておらず、そのうちの14.8百万ドルは、Bitcoin、Ethereum、XRPウォレットも標的としたRain暗号取引所のエクスプロイトによるものです。
記録されているケースの大半では、ハッカーはプロトコルロジックの脆弱性を見つけることで資金を盗んでいます。DefiLlama’の記録によると、EVMネットワーク上のプロトコルは、2024年にSolanaエコシステムに資本とユーザーが劇的に流入したにもかかわらず、Solana対応するプロトコルよりも頻繁に欠陥のあるロジックに対する攻撃の犠牲になっています。
業界で最も評判の高いスマートコントラクト監査人の一人であるOtterSecの創設者であるRobert Chen氏は、この不一致には多くの要因があると主張しています。確かなことを言うのは難しいが、チェン氏は、プログラミング・モデルのため、Solana上のプログラムの方が基本的に安全であるという説もあると主張している。
“
それは、VMを設計するときに後知恵を働かせたという意味では、部分的には正しいかもしれません。
それは、VMを設計するときに後知恵を働かせたという意味では、部分的には正しいかもしれませんね。チェン氏は、それが全容ではない可能性があることを認めている。創業者は、ソラーナが2022年と2023年にいくつかの大規模なハッキングと悪用に見舞われたことを指摘した。さらにチェンは、いくつかの脆弱性は基本的にVMを問わないことを証言した。例えば、あらゆる種類の経済的悪用はVMに関係ありません。
Solanaは、プロトコルロジックの欠陥によるハッキングやエクスプロイトの被害は比較的少ないものの、組織的なオンチェーンラグプルによって引き出された資金は考慮されていません。Solana’のミームエコノミーでは、何十もの悪質なアクターがループ詐欺を行い、不注意なトレーダーを利用しています。
誰が監査人を監査しているのか?
Ottersecは長年にわたり、業界で最も信頼できる監査人の1人としての評判を得てきました。しかし、ハッカーはますます狡猾になり、新しい攻撃ベクトルを発見するためにあくなき努力を続けています。
チェン氏によると、新しい攻撃戦略を先取りする最善の方法は、新しい学習を遡及的に適用し、スタックをより深く調べることです。
監査法人の評判に関して言えば、現在のところ、監査人が一定の基準を維持していることを保証する上位の権力や団体は存在しない。しかし、チェン氏は、より高い機関は必ずしも必要ではないと主張しています。“If you do a large number of protocol, you take the learnings from one protocol and apply it to the other.1つのプロトコルで気づいたことがあれば、他のすべてのプロトコルに戻って見ることができる。チェンは、監査ビジネスとは信頼とオーダーメイドの関係であると主張する。公私を問わず、意見は監査法人が効果的に監査を行う能力を測る主な指標である。
“If you notice something in one protocol, you can go back through and look at all the other protocol.
“I think we also try to look very deep in the stack.たとえば、私たちはバリデーター・クライアントの監査も行いますが、Anchorのようなフレームワークの監査も行います。そのような専門知識を持つことで、あるいは少なくともそのような経験をすることで、他の人たちよりも少し深く見ることができるのだと思います。
“If you mess up, not like once, but if you mess up a lot times, the word of mouth gets around, right?
“I think audit is very bespoke in sense that it's a business about trust.監査基準に関する信頼を得るために、人々が好んで頼るような、つまり、私の場合は頼りたいような、本当の意味での中央機関はありません。人々は好みの監査人を持ち、誰と仕事をしたいかを知っている。そういったオーダーメイドの関係は、中央集権的なものに置き換えるのは難しいのです。監査が成功したからといって、プロトコルに脆弱性がまったくないことを確実に保証できるわけではありません。しかし、チェンが適切に言うように、それは確率のゲームなのです。監査されたプロトコルは、監査されていないプロトコルよりもバグが少ない可能性が高い。暗号利用者は、オンチェーンプロトコルと対話する前に、常に徹底的なデューデリジェンスを行い、厳格なセキュリティ基準を維持すべきである。
ソラナフロアについてもっと読む
クリプトがTradFiに大胆な一歩を踏み出す
SolanaFloor の続きを読む
NYSEアルカの最新申請はソラナETFをどのように正当化するか
暗号セキュリティの必需品をリフレッシュしましょう