Pantera Capital パートナー：スマートコントラクトの安全性を理解するリアルタイム監視プロジェクト Forta

原文作者：Paul Veradittakit，Pantera Capital 合伙人

译者：卢江飞，链闻

• スマートコントラクトの脆弱性は、暗号エコシステムにおいて最も注目されている問題の一つであり、もちろんこの問題はDeFi業界でも厳しく批判されています。今年の初め、Poly Networkは「ホワイトハット」と名乗るハッカーによるスマートコントラクト攻撃で、6億ドル以上の資産が盗まれたことでニュースになりました。これは、暗号業界がスマートコントラクトに関してより厳格なセキュリティプラクティスを探求する必要があることを示しています。
• 多くのスマートコントラクトのセキュリティ作業の焦点は「デプロイ前の監査」に置かれており、経験豊富なセキュリティ研究者がデプロイ前にスマートコントラクト内の解決すべき重要な脆弱性を特定します。しかし残念ながら、このアプローチでは、契約がデプロイされた後に発生する潜在的な脆弱性を正確に捉えることができず、これらの脆弱性は悪意のある行為者によって発見され、数百万のDeFiユーザーの資金の安全を脅かす可能性があります。
• Forta は、OpenZeppelinによって孵化された新しい暗号プロジェクトで、開発者がスマートコントラクトのリアルタイム実行中に脆弱性をより良く特定できるように支援します。Fortaには2つの重要な構成要素があります：
• Agent（エージェント）：これは、ブロックチェーン取引に脅威、異常、その他のリスクが存在するかどうかをスキャンするスクリプトであり、誰でもスマートコントラクトや取引を監視するためにエージェントを作成できます。エージェント作成者コミュニティの規模が拡大するにつれて、進化するスマートコントラクトエコシステム内の潜在的な脆弱性を効果的に解決できるようになります。
• Node（ノード）：これは、Layer 1またはLayer 2ブロックチェーン上でエージェントをサポートするサーバーです。エージェントがスマートコントラクトに特定の問題が発生したことを検出すると、ノードは警報を発し、その警報はIPFSに保存され、Polygonブロックチェーンに記録されます。

• Fortaは、開発者がエージェントを簡単にデプロイおよび管理できるインターフェース（Forta Connect）を提供し、ユーザーが特定の警報をブラウズおよび購読するためのツール（Forta Explorer）を提供し、混乱したコードと慎重な脆弱性監視のための暗号警報機能を持つエージェント（Private Agents）など、スマートコントラクトのセキュリティを強化するためのいくつかの追加機能も提供しています。
• 現在までに、Fortaは200以上のエージェントをデプロイしてスマートコントラクト警報機能をサポートしており、異常に高いガス料金、異常に高い取引量、再入リクエスト（Reentrancy Calls）の発生などを監視しています。現段階では、多くの著名なDeFiプロジェクトがFortaとの統合を完了しており、さまざまなセキュリティ、財務、運営、ガバナンスリスクをより良く監視することを目指しています。さらに、FortaコミュニティのDiscordサーバーのメンバー数は10,000人を超えています。
• 最終的に、リアルタイムで脆弱性を検出することにより、Fortaはスマートコントラクトのセキュリティに対するより完全なソリューションを提供し、スマートコントラクトを最も安全で信頼できる技術原語にし、Web 3の安全で分散化されたビジョンを実現する手助けをします。

新技術がもたらす新たなリスク

2015年にEthereumが導入されて以来、スマートコントラクトはWeb 3技術の核心機能と特徴となっています。ビットコインは、完全に分散化された公共台帳が実現可能であることを示しましたが、Ethereumは完全に分散化された計算モデルをもたらしました------信頼のない透明性の面で、少なくとも現段階では、他の計算モデルがEthereumに匹敵することはありません。スマートコントラクトのおかげで、開発者はカスタム構築されたアプリケーションをブロックチェーンにデプロイでき、数百のユースケースをサポートしています。今日、これらのユースケースは数十億ドルのエコシステムに成長し、現在のほとんどの暗号プロジェクトの中心（UniswapプロトコルやMakerプロトコルを含む）となり、Solana、Binance Smart Chain、Polkadotなどの多くの他のブロックチェーンの急成長を促進しています。

同時に、新技術の出現は避けられない新たなリスクをもたらします。今年の初め、Poly Networkは「ホワイトハット」と名乗るハッカーによるスマートコントラクト攻撃で、6億ドル以上の資産が盗まれたことでニュースになりました。ハッカーは資産を全額返還しましたが、この事件は暗号業界がスマートコントラクトに関してより厳格なセキュリティプラクティスを探求する必要があることを示しています。また、技術的には、次世代金融システムもより迅速な攻撃監視機能を必要としています。スマートコントラクトの脆弱性は、暗号エコシステムにおいて最も注目されている問題の一つであり、「スマートコントラクトリスク」という用語が金融分野で使われるようになりました。これは、契約の実行中に発生するエラーやバグを説明するためのもので、これらの問題はデジタル資産リスクをもたらし、人々の投資判断にも影響を与えます。

一回限りの監査からリアルタイムセキュリティ機能の提供へ

現段階では、スマートコントラクトの安全性を評価する際の大部分の作業は依然として監査に集中しています。たとえば、プロジェクトチームは経験豊富なスマートコントラクト開発者を雇い、契約をレビューおよびテストして、プロジェクトが公開される前に潜在的な脆弱性を特定します。監査は安全なブロックチェーン開発にとって重要ですが、万能の解決策ではありません。なぜなら、多くの監査を受けた暗号プロジェクトもスマートコントラクトハッカーの攻撃の犠牲になっており、攻撃の媒介はプロジェクトライフサイクルの後半でしか発見されないからです。

このような状況では、これらの潜在的な攻撃を防ぐために、アプリケーションの状態とセキュリティを継続的に監視することが重要であり、スマートコントラクトがデプロイされた後も継続的な監視が必要です。Web 2の分野では、この概念は「ランタイムセキュリティ」と呼ばれ、ほとんどの現代のクラウドホスティングサービスでは、リアルタイムアプリケーション監視と警報ツールが必需品となっています。一方、Web 3の分野では、アプリケーションの分散化された性質とスマートコントラクトモデルの概念が比較的新しいため、「ランタイムセキュリティ」を実施することは想像以上に難しいです。

Fortaは、Web 3アプリケーションのための新しい分散型「ランタイムセキュリティ」プロトコルであり、開発者がスマートコントラクトのリアルタイム実行中に脆弱性をより良く特定できるように支援します。このプロジェクトはOpenZeppelinによって孵化され、Compound、Maker、Augurなどの数十の暗号プロトコルが監査されています。

Fortaはどのような解決策を採用しているのか？

Fortaの分散型リアルタイムセキュリティソリューションは、2つのコンポーネントに基づいています：

• Agent（エージェント）：取引ブロックをスキャンして異常な取引やスマートコントラクトの状態変化を探すスクリプトです。
• Node（ノード）：Layer 1またはLayer 2ブロックチェーン上でエージェントをサポートするサーバーです。

エージェントが特に疑わしいイベントや状態変化を検出すると、ノードは公共の警報を発し、その警報はIPFSに保存され、Polygonブロックチェーンに記録されます。

注目すべきは、誰でもエージェントを開発し、Forta上で実行できることです。Web 3アプリケーションの高度な柔軟性と組み合わせ可能性は、コミュニティ主導の分散型セキュリティソリューションを必要とします。なぜなら、アプリケーション内のすべての潜在的な脆弱性を特定できる参加者はいないからです。現在、100人以上の開発者がForta上でエージェントを作成し、デプロイしています。新しいエージェントを作成することに興味がある場合は、ここでFortaのソフトウェア開発キット（SDK）を確認してみてください。

さらに、Fortaはリアルタイムのセキュリティをさらに強化するためのいくつかの他の機能も発表しています：

• Forta Connect：これは自己サービスプラットフォームで、開発者がコマンドラインではなくMetaMaskを使用してエージェントを発行および管理できるようにします。
• Forta Explorer：これは、ユーザーがSlack通知、電子メール更新などのサービスを通じてFortaエージェントの警報をブラウズおよび購読するのを助けるツールです。
• Private Agents：この機能は、混乱したコードと慎重な脆弱性監視のための暗号警報機能を持つエージェントであり、開発者が脅威をより慎重に監視できるようにします。

11月15日、Fortaプロジェクトはスマートコントラクト操作プラットフォームOpenZeppelin Defenderとの統合を完了し、開発者が統一されたユーザーインターフェースを通じてスマートコントラクトのセキュリティをより簡単に操作および監視できるようにします。

実際にはどのように機能するのか？

例として、2021年8月にハッカーがPoly Networkに対して実施した攻撃に戻りましょう。

Poly Networkは、ユーザーが異なるLayer 1およびLayer 2ブロックチェーン間でデジタル資産を転送できるプロトコルであり、ユーザー資産を送信チェーン上でロックし、受信チェーン上で同量の新しい資産を発行することでこれを実現しています。具体的には、ユーザーは受信チェーン上の一連のPoly Networkウォレットを通じて、受信チェーン上で発行された資産にアクセスできます。攻撃では、ハッカーが受信チェーン上のPoly Networkウォレットの公開鍵をハッカー自身の公開鍵に置き換えました。これにより、ハッカーはPoly Networkウォレットを完全に制御できるようになり、ユーザーから発行された資産を簡単に盗むことができました。

Fortaを使用してリアルタイム監視を行うことで、このような攻撃を回避するか、攻撃の危害を軽減することができ、次の2つの簡単な方法で実現できます：

• ハッカーがPoly Networkの公開鍵を自分の公開鍵に置き換えたとき、エージェントはPoly Networkのスマートコントラクトの状態に異常な変化があったことを検出している可能性があります。Poly Networkチームがこの状態変化を効果的に監視できれば、元の公開鍵を迅速に復元し、攻撃を完全に阻止できます。
• エージェントは、受信チェーン上のPoly Networkウォレットの残高に大きな異常変化があることを検出でき、チームが攻撃を早期に特定し、損失を制限できるようにします。

これまでに、200以上のエージェントがデプロイされ、上記の脆弱性を特定およびマークするために使用されています。一部の業界をリードするDeFiプロジェクトもFortaとの統合を進めており、セキュリティ、財務、運営、ガバナンスリスクを監視しています。Fortaは10月1日に開始を発表して以来、Discord上のコミュニティメンバー数は10,000人を超えています。

最後の考え

ブロックチェーンのセキュリティは常に強化される必要があり、そうすることで機関や主流が暗号をより良く受け入れることができることが重要です。2021年初めのPoly Networkへの攻撃、2016年のDAO、2017年のParityなどのハッカー攻撃は、多くの潜在的なユーザーの暗号とDeFiへの信頼を損なっています。もしブロックチェーンとスマートコントラクトが次世代金融システムを支える基本技術になりたいのであれば、このような事件を解決し、将来の同様の事件を防ぐ必要があります。そうすることで、人々の信頼を再び取り戻すことができるのです。

Web 3の「ランタイムセキュリティ」を単純なツールとして抽象化することで、Fortaは開発者がスマートコントラクトをより良く、より簡単に作成および管理できるようにし、より厳格なセキュリティプラクティスを持つことができます。

さらに、分散型ソリューションとして、Fortaは誰でもスマートコントラクト内の特定の行動を追跡できるようにします。今日、スマートコントラクトエコシステム内の脆弱性はますます増加しているため、分散型ソリューションを採用することは非常に重要です。最終的に、Fortaはスマートコントラクトのセキュリティをさらに強化し、スマートコントラクトがインターネットのインフラストラクチャとなるのを助け、Web 3の分散化、安全性、信頼のない偉大なビジョンを実現します。