巨額窃盗はWeb3ライフの一部となっている
高額の案が通貨の窃盗はWeb3ライフの一部となりつつある。分散型金融のアーリーアダプターは、複数の侵害で何百万ドルも失っている。誰がハックされたプラットフォームを再度使おうと思うだろうか。
人気のブロックチェーンゲーム「Axie Infinity(アクシーインフィニティ)」が、分散型金融の歴史上最大のセキュリティ侵害に見舞われる可能性があることが分かった。
ハッカーは先週、同ゲームの「Ronin Network」からの引き出しを偽造し、約6億1,500万ドルを奪った。法執行機関と協力して資金を回収し、Axie Infinity運営は数百ドルを前払いしてプレイしてもらっていたプレイヤーに払い戻しを行うと発表した。何人が被害に遭ったかは不明である。また、同様の「プレイして稼ぐ(Play-to-Earn)」ゲームの発売も延期している。この事件は、ブロックチェーン技術に基づいて構築されたデジタルサービスを表す総称であるWeb3にとって、課題が山積していることを示唆している。Web3のコードの記述ミスに起因する違反のリストは増加し、ブロックチェーンの大きな約束の1つであるセキュリティの強化が台無しになり、この技術が主流になるのを妨げている。
昨年8月、ハッカーはPoly Networkと呼ばれるブロックチェーン・プログラムから6億ドル以上を盗んだ。さらに2月には、人気の高い2つのブロックチェーン・ネットワーク、ソラナとイーサリアムの間で暗号資産を転送するためのいわゆるブリッジから約3億2,000万ドルが盗まれた。どちらのケースでも、すべてではないにせよ、ほとんどの資金は元の保有者に戻された。しかし、分散型金融(DeFi)、つまり従来の金融システムの代替として機能しようとしているブロックチェーン・ネットワークの一群は、大部分が自律的に実行されている様々なアプリケーションに閉じ込められた数十億ドルのおかげで、ハッカーにとって魅力的なターゲットになっているのである(最新のハッキングで盗まれたお金は、本稿執筆時点では攻撃者のウォレットから移動していない)
暗号通貨セキュリティ企業のCertiKによると、DeFiプロジェクトのハッキングによって失われた金額は、2021年に2倍以上になった。セキュリティサイト「CryptoSec.Info」の年表には、DeFiサービスの侵害が83件報告されており、2020年1月から2022年2月の間に約23億ドルが失われたことが記されている。
まだWeb3に投資する意思がある人はハッキングが続くことを覚悟して身を固めたほうが良いだろう。Axie Infinityを開発したSky Mavisの投資家は、今回のハッキングはブロックチェーンサービス、特にブリッジの根本的なセキュリティの弱点についてベンチャーキャピタルへの警告になるはずだと述べている。
Roninの問題の1つは、オフチェーンで動作し、より迅速かつ安価に取引を行うためにイーサリアムのブロックチェーンの上に別のレイヤーとして動作することだった。トレードオフとして、二次的なレイヤーはブロックチェーンそのものほど安全ではない。
Ronin Networkはブログ記事でハッキングの仕組みについてあまり詳しく触れていないが、英国のDeFiスタートアップRadixの創設者であるDan Hughesによれば、攻撃者は一度に大量の取引の検証を要求し、その際に露出する脆弱性利用した可能性があるという。言い換えれば、Roninの攻撃者は、迷走するバグではなく、ネットワークのプロセスの弱点を突いた可能性があり、ブロックチェーンベースのアプリを構築することのより広範な困難の一部を指摘している。
イーサリアム向けのアプリを作成する開発者の多くは、ブロックチェーン上の単純なプログラムであるスマートコントラクト向けに設計されたSolidityというプログラミング言語を使用している。しかし、Solidityを使った構築は、プログラミングの中でも最も複雑な形態の一つ。コーダーは慎重に手順を考えなければならず、何かをうまくやるために何度も挑戦できるわけではない。ミスを犯すと、従来のウェブ上のサイトやアプリのように不具合が生じるだけではない。Web3アプリのうち金融系が占める割合が非常に高いため、多額の資金をリスクにさらす可能性がある。
「タイプミスのような単純なものが、経験豊富なハッカーに悪用されることもある」と、Hughesは先週、Bloomberg OpinionとのTwitter Spacesでの議論で述べている。彼は30日に、Ronin Networkのセキュリティ侵害の原因の背後に、スマートコントラクトのコーディングミスがある可能性は低そうだと付け加えた。
それでも、一連のハッキングが繰り返されることは、将来の投資家やWeb3企業自身にとって、非常に複雑なシステムを保護するためにもっと投資するようにという警鐘となるはずだ。
ヒューズによれば、Web3の開発には「速く動いて壊す」文化が蔓延しているという。しかし、このような文化は、アルゴリズム設計の失敗が経済的な破綻を招いたときに、ますます危険なものになりかねない。
「ハッキングの問題は、安全なシステムを構築する場合、何十万通りもの方法があり、それを正しく実行しなければならないことだ」とヒューズは付け加え、Web2.0がWeb3と同様に影響を与える問題を示唆している。「ハッカーは一度だけうまくやればいいんだ」
Parmy Olson. Expensive Crypto Hacks Are Becoming Part of Web3 Life. © 2022 Bloomberg L.P.