BitsLabが重要なセキュリティ研究成果を発表:2024年の新興パブリックチェーンのセキュリティ全景洞察
豊富なケースの振り返りと攻防の実践を通じて、体系的なセキュリティ対応の考え方を抽出する。
本報告は、Move、TON、ビットコインの拡張、Cosmosアプリケーションチェーンの4つの主要な方向性に焦点を当て、技術革新、安全性の課題、歴史的な安全事件の3つの観点から詳細に解説し、投資家、開発者、ホワイトハットハッカーにいくつかの経験と考察の方向性を提供します。本報告の一部の参考資料はRootData(https://www.rootdata.com)から引用されています。
Moveエコシステム(Aptos、Suiなど)
報告書では、Move言語がリソース管理、モジュール設計、組み込みの安全メカニズムにおいてスマートコントラクトプログラミングをどのように革新しているかを紹介し、Aptos、Suiそれぞれの革新点と安全アーキテクチャを深く分析しています。
Move言語は、Facebook(現Meta)によってDiem(Libra)プロジェクトのために開発され、従来のスマートコントラクト言語の性能と安全性のボトルネックを解決することを目的としています。Moveの設計は、リソースの明確性と安全性を強調し、ブロックチェーン上の各状態変化の制御可能性を確保します。この革新的なプログラミング言語は、以下の顕著な利点を持っています:
リソース管理モデル:Moveは資産をリソースと見なし、複製や破壊を不可能にします。この独特のリソース管理モデルは、スマートコントラクトにおける一般的な二重支払いまたは意図しない資産の破壊の問題を回避します。
モジュール設計:Moveはスマートコントラクトをモジュール化して構築できるようにし、コードの再利用性を高め、開発の複雑さを低減します。
高い安全性:Moveは言語レベルで多くの安全チェックメカニズムを内蔵しており、再入攻撃(reentrancy attacks)などの一般的な安全脆弱性を防ぎます。
さらに、報告書では2023年から2024年末までのMove仮想マシンとAptosネットワークにおける典型的な安全事件を振り返り、コミュニティに対してネットワーク内の潜在的な無限再帰DoS脆弱性、メモリプール追放メカニズムの欠陥などの問題に警戒を促しています。
詳細なMoveエコシステムの安全事件の回顧は報告書をダウンロードしてご覧ください
TONエコシステム
TON(The Open Network)は、Telegramによって作成されたブロックチェーンおよびデジタル通信プロトコルであり、迅速、安全、かつスケーラブルなブロックチェーンプラットフォームを構築し、ユーザーに分散型アプリケーションとサービスを提供することを目的としています。ブロックチェーン技術とTelegramの通信機能を組み合わせることで、TONは高性能、高安全性、高スケーラビリティを実現しています。開発者がさまざまな分散型アプリケーションを構築できるようにし、分散ストレージソリューションを提供します。従来のブロックチェーンプラットフォームと比較して、TONはより高速な処理速度とスループットを持ち、Proof-of-Stakeコンセンサスメカニズムを採用しています。
TONは、プルーフ・オブ・ステークのコンセンサスメカニズムを採用し、チューリング完全なスマートコントラクトと非同期ブロックチェーンを通じて高性能と多機能性を実現しています。TONの超高速かつ低コストの取引は、チェーンの柔軟で分割可能なアーキテクチャによって支えられています。このアーキテクチャは、性能を損なうことなく容易に拡張できることを可能にします。動的分割は、各自の目的を持つ初期開発の個別の分割を含み、これらの分割は同時に実行され、大規模な積み残しを防ぎます。TONのブロック時間は5秒で、最終確定時間は6秒未満です。
既存のインフラは2つの主要な部分に分かれています:
- マスターチェーン(Masterchain):プロトコルのすべての重要かつ主要なデータを処理し、バリデーターのアドレスや検証されたコインの量を含みます。
- ワークチェーン(Workchain):マスターチェーンに接続されたサブチェーンで、すべての取引情報やさまざまなスマートコントラクトを含み、各ワークチェーンは異なるルールを持つことができます。
TON財団は、TONコアコミュニティによって運営されるDAOであり、TONエコシステム内のプロジェクトにさまざまなサポートを提供しています。報告書では、2024年にTONコミュニティが複数の面で顕著な進展を遂げたことを詳細に整理し、最近の悪意のあるコントラクトがネスト構造を通じて仮想マシンのリソースを枯渇させる脆弱性を明らかにし、各方面に対してコントラクトの安全監査を継続的に強化するよう警告しています。
TONエコシステムの詳細については報告書をダウンロードしてご覧ください
ビットコイン拡張エコシステム
ライトニングネットワーク(Lightning Network)、Liquid Network、Rootstock(RSK)、B² Network、StacksなどのLayer 2およびサイドチェーンソリューションは、ビットコインの取引拡張とプログラマビリティの突破を推進しています。ライトニングネットワークは取引効率を向上させ、Liquid Networkは機関間の取引を加速し、Rootstockは安全性とスマートコントラクトを組み合わせてdAppエコシステムを拡張しました。さらに、B² NetworkとStacksはビットコインの機能とアプリケーションシナリオをさらに深めています。
ライトニングネットワークは、ビットコインのLayer 2で最も成熟し、広く使用されているソリューションの1つです。支払いチャネルを構築することで、大量の小額取引をメインチェーンからオフチェーンに移動させ、ビットコインの取引速度を大幅に向上させ、手数料を削減します。
画像出典:https ://lightning.network/lightning-network-presentation-time-2015-07-06.pdf
Liquid Networkは、オープンソースのElementsブロックチェーンプラットフォーム上で動作するサイドチェーンであり、取引所や機関間でのより迅速な取引を実現するために設計されています。これは、ビットコイン会社、取引所、および他の利害関係者からなる分散型連合によって管理されています。Liquidは双方向アンカーリングメカニズムを使用して、BTCをL-BTCに変換し、その逆も可能です。
画像出典:https ://docs.liquid.net/docs/technical-overview
Rootstockは2015年に誕生し、最も長く稼働しているビットコインのサイドチェーンであり、2018年にメインネットを開始しました。その独自性は、ビットコインのプルーフ・オブ・ワーク(PoW)セキュリティとイーサリアムのスマートコントラクトを組み合わせている点です。オープンソースでEVM互換のビットコインLayer 2ソリューションとして、Rootstockは成長するdAppエコシステムへの入り口を提供し、完全な非信任化を目指しています。
B² Networkの技術アーキテクチャは、Rollup層とデータ利用可能性(DA)層の2層構造を含んでいます。B² Networkは、ビットコインの第二層ソリューションに対するユーザーの見方を再定義することを目指しています。
2018年にBlockstackの名のもとにメインネットでローンチされて以来、StacksはリーディングなビットコインLayer 2ソリューションとなっています。Stacksはビットコインに直接接続し、ビットコイン上でスマートコントラクト、dApps、NFTを構築することを可能にし、ビットコインの機能を大幅に拡張し、単なる価値保存ツール以上のものにしています。独自の転送証明(PoX)コンセンサスメカニズムを採用し、その安全性をビットコインに直接結びつけ、ビットコイン自体を変更することなく実現しています。
画像出典:https ://docs.stacks.co/stacks-101/proof-of-transfer
Babylonのビジョンは、ビットコインの安全性を分散型世界の保護に拡張することです。ビットコインの3つの側面---タイムスタンプサービス、ブロックスペース、資産価値---を活用することで、Babylonはビットコインの安全性を多くのプルーフ・オブ・ステーク(PoS)チェーンに伝達し、より強力で統一されたエコシステムを構築します。
これらの技術はビットコインエコシステムにさらなる可能性をもたらしますが、ライトニングネットワークの「代替循環攻撃」、UTXO計算エラー、PoWロールバックメカニズムのリスクなどの課題にも直面しています。
報告書全文を読んでビットコインエコシステムの詳細を取得してください
Cosmosアプリケーションチェーンエコシステム
Tendermintコンセンサス、Cosmos SDK、IBCクロスチェーン通信を中心に、ブロックチェーンインターネットの設計思想において多くの技術革新を持っています。
Cosmosのアーキテクチャは、HubとZoneのモデルを採用しており、Hub(中心)はクロスチェーンのコアノードとして、複数のZone(独立したブロックチェーン)を接続し、調整します。このアーキテクチャの革新点は以下の通りです:
分散型管理:各Zoneは独立した自治のブロックチェーンであり、単一の中央管理ノードに依存する必要がありません。
効率的なクロスチェーン接続:Hubを通じて、Zone間でシームレスにクロスチェーン通信と資産の流動が可能になり、真の相互接続を実現します。
報告書では、複数のモジュール呼び出し順序からクロスチェーンメッセージ伝達まで、Cosmosアプリケーションチェーンの潜在的な安全リスクを深く分析し、流動性ステーキングモジュール(LSM)の安全性に関する論争やガバナンスプロセスの問題を結びつけ、より多くのアプリケーションチェーンプロジェクトに警告と示唆を提供します。
報告書全文を読んでCosmosアプリケーションチェーンエコシステムの詳細を取得してください
多年にわたる脆弱性研究成果
報告書では、ブロックチェーン業界に一般的に存在する9つの安全脆弱性タイプを詳細に整理しています。これらの脆弱性は、異なる技術レイヤーにわたって存在し、複数のブロックチェーンエコシステムのコアコンポーネントに関与し、クロスチェーン通信から経済モデル設計に至るまでのあらゆる側面をカバーしています。
1、L2/L1クロスチェーン通信脆弱性: クロスチェーン通信はブロックチェーンエコシステムの相互運用性を向上させる重要な手段ですが、その実現過程には多くの安全リスクが存在します。例えば、L2がL1のブロックロールバックを考慮していない、チェーン上のイベントの偽造、L2がL1に送信された取引が成功したかどうかを検出していないなどです。
2、Cosmosアプリケーションチェーン脆弱性: Cosmosはブロックチェーンの相互運用性を中心にしたエコシステムであり、異なるブロックチェーンがIBC(クロスチェーン通信プロトコル)を通じて接続されることを許可しています。しかし、Cosmosアプリケーションチェーンの実現過程にもいくつかの脆弱性や安全リスクが存在する可能性があります。例えば、BeginBlockerとEndBlockerのクラッシュ脆弱性、ローカル時間の不正使用、乱数の不正使用など11の脆弱性と安全リスクがあります。
3、ビットコイン拡張エコシステム脆弱性: ビットコインスクリプト構築脆弱性、派生資産による脆弱性、UTXO金額計算エラー脆弱性などが含まれます。
4、プログラミング言語の一般的な脆弱性(無限ループ、無限再帰、整数オーバーフロー、競合条件など)
5、P2Pネットワーク脆弱性: P2P(ピアツーピア)ネットワークは、ブロックチェーンシステム内で分散ノード間の直接接続と通信に使用されます。P2Pネットワークは分散型システムにネットワーク基盤を提供しますが、異形攻撃脆弱性、信頼モデルメカニズムの欠如、ノード数制限メカニズムの欠如などの一般的な脆弱性タイプにも直面しています。
6、DoS攻撃: メモリ枯渇攻撃、ハードディスク枯渇攻撃、カーネルハンドル枯渇攻撃、持続的メモリリークなどが含まれます。
7、暗号学的脆弱性: 暗号学的脆弱性はデータの機密性と完全性を損ない、システムに潜在的な安全脅威をもたらします。主要な暗号学的脆弱性タイプには、すでに不安全であることが証明されたハッシュアルゴリズムの使用、不安全なカスタムハッシュアルゴリズムの使用、不安全な使用によるハッシュ衝突などがあります。
8、台帳の安全脆弱性: (取引メモリプール脆弱性、ブロックハッシュ衝突脆弱性、孤児ブロック処理ロジック脆弱性、メルクルツリーのハッシュ衝突脆弱性など)
9、経済モデルの脆弱性: 経済モデルはブロックチェーンと分散システムにおいて重要な役割を果たし、ネットワークのインセンティブメカニズム、ガバナンス構造、全体的な持続可能性に影響を与えます。報告書に記載された経済モデルの脆弱性は特に注意が必要です。
一般的な攻撃面リスト
報告書では、13の一般的な攻撃面も挙げており、各段階がハッカー攻撃の突破口となる可能性があるため、開発者やプロジェクト側は特に注意が必要です:
1、仮想マシン
2、P2Pノード発見とデータ同期モジュール
3、ブロック解析モジュール
4、取引解析モジュール
5、コンセンサスプロトコルモジュール
…
安全開発のベストプラクティス
豊富な事例の振り返りと攻防の実践を通じて、報告書は体系的な安全対応の考え方を抽出しました。
安全防護の観点から、本報告書は特にブロックチェーン開発のベストプラクティスに関する詳細な提案を提供し、ブロックと取引処理、スマートコントラクト仮想マシン、ログシステムとRPCインターフェース、DoS攻撃防止のためのP2Pプロトコル設計、伝送層の暗号化と認証、ファジング(Fuzzing)と静的コード分析、第三者の安全監査プロセスなど、ブロックチェーンプロジェクトの全ライフサイクルにわたって明確で実行可能な安全ガイドを提供することを目指しています。
具体的な安全開発のベストプラクティスの詳細については報告書をダウンロードしてご覧ください
報告書執筆の背景:
2025年の初めに、過去1年を振り返ると、ブロックチェーン技術は世界中で継続的に高速で進化しています。取引処理性能からクロスチェーン相互作用、スマートコントラクト言語やノード拡張ソリューションに至るまで、業界全体がより多様で複雑な新しい段階に進んでいます。同時に、新興エコシステムのパブリックチェーンも急速に台頭し、柔軟なネットワークアーキテクチャ、革新的なプログラミングモデル、豊富で多様なアプリケーションシナリオを活用して、Web3の技術潮流とエコシステムの繁栄をリードし続けています。
しかし、安全性のリスクは絶えず浮上しており、攻撃や脆弱性の利用が発生すると、チェーン上の資産の損失を引き起こすだけでなく、ネットワークの麻痺を引き起こし、ブロックチェーンエコシステム全体の安定性を脅かす可能性があります。そのため、世界をリードし、新興Web3エコシステムの保護と構築に特化した安全組織BitsLabは、『2024新興エコシステムパブリックチェーン全景観察と安全研究報告書』を発表し、業界の各方面がリスクを正確に予測し、効果的な防護戦略を策定する手助けをすることを目指しています。
会社紹介
BitsLabは、ブロックチェーンとWeb3業界の安全に長期的に注力し、豊富な監査経験と技術的蓄積を持っています。Moveエコシステム、TONネットワーク、ビットコイン拡張分野、Cosmosアプリケーションチェーンエコシステムに至るまで、BitsLabは多くのブロックチェーンプロジェクトに安全監査とインフラサポートを提供してきました。今回発表された報告書は、BitsLabの研究と実戦の成果であると同時に、業界全体に向けた専門的なガイダンスでもあります。より多くのプロジェクトチーム、投資機関、研究者、コミュニティメンバーがこの報告書を読んで、急速に進化する技術の波の中で安定した前進を遂げ、分散型の世界が安全を確保した上で健康的かつ持続可能な発展を実現できることを願っています。
『2024新興エコシステムパブリックチェーン全景観察と安全研究報告書』は正式に公開されており、興味のある方はBitsLabの公式ウェブサイトおよび提携プラットフォームを通じて報告書の完全版を取得し、ブロックチェーンの安全性の最前線の動向を深く洞察し、BitsLabと共に新興パブリックチェーンの堅固な防線を築いていきましょう。Web3の世界がより広い発展の展望を迎え、分散型エコシステムがより繁栄し、健全な未来に向かって進むことを共に支援しましょう!
BitsLabについて
BitsLabは、新興Web3エコシステムの保護と構築に取り組む安全組織であり、業界やユーザーから尊敬されるWeb3安全機関になることを目指しています。傘下には3つのサブブランドがあります:MoveBit、ScaleBit、およびTonBit。
BitsLabは、新興エコシステムのインフラ開発と安全監査に特化しており、Sui、Aptos、TON、Linea、BNB Chain、Soneium、Starknet、Movement、Monad、Internet Computer、Solanaなどのエコシステムをカバーしています。また、BitsLabは、Circom、Halo2、Move、Cairo、Tact、FunC、Vyper、Rust、Solidityなどのさまざまなプログラミング言語の監査において深い専門能力を示しています。
BitsLabチームは、複数のトップレベルの脆弱性研究専門家を集めており、彼らは国際的なCTF賞を何度も受賞しており、TON、Aptos、Sui、Nervos、OKX、Cosmosなどの著名なプロジェクトで重要な脆弱性を発見しています。
