サーキットのCEOであるハリー・ドネリーは、暗号ハックの被害者はしばしば unscrupulous recovery firms に再び被害を受けると述べています。概要* サーキットのCEOは、ハッキング後のほとんどの暗号回復努力は無駄だと言っています。* 95%の回復業者は捕食的であり、支援を提供しない可能性があります* 予防が重要です。$3B はすでに今年ハッキングによって失われました。暗号通貨の採用が進んでおり、ますます多くの人々が参加しています。しかし、何年もの革新にもかかわらず、暗号通貨は依然として最も脆弱なユーザーの一部を失敗させています。最近の事件では、アメリカの退職者が、知らず知らずのうちにコールドウォレットを危うくしてしまい、XRPで$3 百万を失いました。この事件は、セキュリティが依然として暗号の最重要課題であることを示しています。このため、crypto.newsは暗号セキュリティ会社CircuitのCEOであるハリー・ドネリーに話を聞きました。彼は、エコシステムが今年だけで$3 億ドルをハッキングによって失った理由と、なぜ回復が通常非常に難しいのかを説明しました。**Crypto.news:** **最近、ウォレット保有者がハッキングで生涯の貯蓄を失ったというセキュリティインシデントがありました。これは暗号資産のセキュリティについて私たちに何を教えているのでしょうか?** **ハリー・ドンネリー:** これはXRPウォレットの事件です:ある米国の退職者が約$3 百万XRPを失い、退職貯蓄を失いました。ZacXBTがTwitterでこれについて投稿しました。被害者は警察に通報しようとしたが、法執行機関に連絡できなかったと言いました。その後、資金は約120の取引を通じてマネーロンダリングされました。正確なベクトルの完全な確認は得られていません。なぜなら、被害者は暗号に詳しくなく、手順を追跡するために彼らのラップトップにアクセスできないため、確信を持つことは難しいからです。しかし、このようなケースは、デバイスをスキャンしてシードフレーズやその他の秘密を探すマルウェアが関与していることが多いです。この場合、その人は冷蔵ウォレットを持っていると思っていました — Ellipalから購入した — しかし、彼らはシードフレーズをノートパソコンにインポートしました。それはコールドストレージの意味をなくします:シードフレーズがインターネットに接続された機械上に存在する限り、ハードウェアウォレットの保護は実質的に失われます。**CN:** **ZacXBTは、多くの回収会社が疑わしいと言っています。あなたの見解は何ですか?****HD:** 全く公平です。人々が絶望しているとき、悪意のある者たちが彼らを食い物にします。最も悪質な者たちは、誰かが「盗まれた暗号通貨を回復する」と必死に検索したときに最初に表示されるように、自分たちのページをSEO最適化することがよくあります。正当な回収は難しい。暗号は携帯資産であり、鍵を持つことは所有権を意味する。銀行に電話してオンチェーンの送金を逆転させることはできない。正当な回収業者は通常、法執行機関と連携して働く法律事務所であり、ChainalysisやTRM Labsのようなブロックチェーンフォレンジックツールを使用し、資金を追跡し、法的通知を用いて取引所に口座の凍結を求める。しかし、それは資金が協力する意志のあるKYC取引所に入る場合にのみ機能し、かつその管轄区域が協力的である場合です。攻撃者はしばしば非協力的な取引所やミキシングサービスに資金をルーティングします。昨年、これらの方法で回収された資産は5%未満でした。捕食的な企業は、基本的なスキャンに対して約$10,00の高額な手数料を請求し、被害者に誤った情報を提供するレポートを作成します。例えば、彼らは被害者にトルネードキャッシュにメールを送るように指示しますが、これは無意味です。**CN:** **回復は難しそうですね。代わりに何がありますか?****HD:** 回復の確率が低いため、予防が重要です。Circuitは、ハッキング後の回復に頼るのではなく、損失を防ぐことに重点を置いています。資金がウォレットを出てしまうと、回復の可能性はわずかです; 盗難を未然に防ぐことは、はるかに高い成功確率を持っています。損失モードは2つあります:(1) あなたはプライベートキーへのアクセスを失います (資金はアクセスできません) または (2) 他の誰かがあなたのプライベートキーを取得します (資金は盗まれます)。サーキットは、キーだけを保護するのではなく、資産を直接保護することで両方に対処します。私たちは自動資産抽出と呼ばれるものを構築しています。プライベートキーを保護するだけでなく、資金を事前に定義されたバックアップウォレットに移動させる署名済み取引を事前に作成します。これらの取引はあらかじめ作成され、暗号化されて保存されます — 正当なユーザーがそれらをトリガーするまで決してブロードキャストされることはありません。**CN: では、その大きな赤いボタンは誰が制御しているのですか?** **HD:** ユーザーがそれを制御します。彼らは私たちのウェブアプリに入り、2FAを使用して自分の身元を確認し、ボタンを押します。それがトランザクションを復号化して放送し、資金がバックアップウォレットに移動します。事前に署名されたトランザクションを暗号化して保存しますが、ユーザーだけがそれを復号化して実行できます。彼らは事前に宛先アドレスを定義し、そのアドレスを変更することはできません。一度署名されると、それはロックされます。当社のシステムはそれを安全に保持し、ユーザーが必要なときにトリガーできるようにします。**CN:** **現在このサービスを利用しているのは誰ですか?** **HD:** 現在、すべての機関や企業です。私たちはまだ小売ユーザーにはサービスを提供していません。私たちのパートナーは取引所、資産管理者、OTCデスクです。これらは大規模な資金と顧客資産を管理している人々です。彼らにとって、ダウンタイムやアクセスの喪失は壊滅的なことになり得ます。一例として、Shift Marketsがあります。私たちは、彼らが提携している150の取引所にわたって技術を展開しています。これらの取引所は、数時間でも資金へのアクセスを失うことができません。機関にとって、盗難を防ぐことだけではありません。時には誰かが署名デバイスを置き忘れたり、Fireblocksのようなサービスがダウンすることがあります。それがすべての業務を停止させる可能性があります — 入金も、出金もありません。Circuitを使えば、彼らは数分以内に回復でき、何日もダウンすることはありません。そして、それは彼らにとって評判を守ること — そして顧客維持に数百万を節約することを意味するかもしれません。**CN: ユーザーはどのようにバックアップウォレットを選択しますか?別のハードウェアウォレット、取引所のアカウント、またはカストディアンであるべきですか?****HD:** いい質問ですね。バックアップウォレットはプライマリーと同じくらい安全であることをお勧めします。つまり、異なるウォレットプロバイダーを使用し、鍵を異なる場所に保管し、インフラストラクチャが同じ場所にないことを確認することです。両方の鍵セットを同じ金庫やサーバーに保管してはいけません。また、私たちは単一の失敗点を避けるために、クォーラム承認—4の目または6の目のポリシー—を強制しています。ほとんどの大規模機関はすでにこの方法で運営しています。いくつかは、主要およびバックアップウォレットのために異なるMPCまたはマルチシグ設定を使用しています。他のものは、異なる安全施設または異なる法域を使用しています。アイデアは、災害が1つのシステムに襲いかかっても、他のシステムには影響を与えないということです。私たちは主要な保険会社とも提携しており、彼らはこれをリスク軽減策として認識しています。多くの暗号保険の請求は、アクセスの喪失や盗まれた資金に関するものです。Circuitの技術を追加することで、企業はより低リスクになります。そのため、保険提供者は私たちを利用するクライアントに割引を提供します。これにより、保険がより利用しやすくなり、結果としてより多くの機関投資家が暗号に資本を投じることになります。**CN:** **実際に誰かが赤いボタンを使わなければならなかったケースはありましたか?** **HD:** はい、私たちは赤いボタンを使用しました。実際のケースと制御されたテストの両方でです。私たちは、ホワイトハットやシミュレーション環境で攻撃者に意図的にアクセスを与え、資金を盗もうとさせることさえしました。毎回、耐えました。私たちのエンジニアリングチームは、エッジケースや現実の脅威に対処できるように懸命に働いてきました。私たちは、独立してテストした業界の主要なプレイヤーと協力しています。私たちは、次の1か月または2か月のうちに、それらの検証のいくつかを紹介する公表を行う予定です。**CN: そして機関にとって、典型的な失敗シナリオは?****HD:** それは彼らのウォレットの設定によります。もし彼らがFireblocksのような非カストディサービスを使用している場合、機関は一定の責任を負います — Fireblocksがダウンしていたり利用できない場合でも、彼らは自分のウォレットにアクセスできる必要があります。もし彼らがCoinbaseやAnchorageのような完全なカストディアルソリューションを使用している場合、これらのプロバイダーはすべてをエンドツーエンドで管理します。しかし、Fireblocksを使用する場合は、キーシャードや署名デバイスへの安全なアクセスを自分で確保する必要があります。つまり、Fireblocksに依存している取引所を想像してみてください。そして、デバイスを失ってしまった場合 — たとえば、誰かの電話やYubiKey。これにより、一時的にロックされ、出金や入金が停止する可能性があります。**CN: あなたは以前、攻撃者がより洗練されていると述べました。暗号産業がそれにどのように適応しているかについてのあなたの見解は何ですか?セキュリティにおいて何が変わっていますか?****HD:** Web2のサイバーセキュリティに似ています;それは猫とネズミのゲームです。新しい攻撃が出現し、私たちは防御を構築し、攻撃者は再び進化し、そして次々と続きます。初期の大きなブレークスルーはマルチシグで、トランザクションを承認するために複数の鍵が必要です。次に、MPCウォレット(マルチパーティ計算)が登場し、マルチシグを改善しました。マルチシグの設定では、3つのキーのうち2つを妥協すると、3つ目に関する部分的な情報が得られます。しかし、MPCではそのようなことはなく、各シャードは全体に関する情報を提供しないため、より耐障害性があります。Fireblocksのような企業は、MPCで多くの成功を収めています。その上に、特定の条件下で取引をブロックするルールであるポリシーエンジンが登場しました。例えば、「$1 百万を超える全ての転送をブロックする」や「ホワイトリストに登録されていないアドレスへの転送を許可しない」というものです。次に検出ツールが登場しました。これはチェーン活動を監視し、疑わしい行動を flag するサービスです。しかし、今日では、それらのほとんどがアラートに対して人間の対応を必要とします。一部の設定では、アメリカ、ヨーロッパ、アジアの人々からの承認が必要になる場合があり、これは数時間かかることがあります。一方で、攻撃は数分または数秒で発生しています。私たちはSwissBorg/Kilnハックでこれを見ました:$41 百万が3分で消えました。人間は単純にそんなに早く反応しません。**CN: 中央集権取引所が盗まれた資金を凍結すると、人々は通常理解します。しかし、DeFiプロトコルがウォレットを凍結したりスマートコントラクトを一時停止したりすると、中央集権化に対する批判がよくあります。それについてあなたの見解は何ですか?****HD:** 見てください、最終的には、もし何千万ドル、何億ドルもの盗難を防ぐことができるのなら、そしてそれを実現するために数時間スマートコントラクトを停止させる必要があるのなら、私はそれをすべきだと思います。私は、分散化の非常に大きな支持者がいることを知っていますが、人々がそれを採用しなければ分散化は根付かないでしょう。そして、人々は全ての資金を失う危険があるなら、それを採用しないでしょう。結局のところ、私はそれが非常に単純なことだと思います。もしあなたがこれを本当に信じており、主流に受け入れられることを望むのであれば — 実際の企業や実際の機関によって — 彼らはそれに信頼を持たなければなりません。そして「ただハッキングされてしまえ」とか「コードは法律だ」と言う支持者たちに対して、私が思うに問題は、私たちが望むほどこの分野の成長を根本的に止めてしまうということです。そして、私はあなたが見ることになる二つの領域があると思います。プールとプロトコルは、ただ物事をそのままにしておくだけで、運営を続けるでしょう。そして、より機関向けおよび企業向けのインフラがあり、そこには安全装置があり、フェイルセーフがあり、プールに保険が組み込まれているところもあるでしょう。それはすでに起こっています。そして、あなたが見ることになるのは、実際の資本—機関—が自分の資金を置くことに自信を持っている場所であるプールに、さらに多くの流動性が預けられることです。そして、DeFiにおける最大のネットワーク効果は何かを考えると、それは流動性に帰着します。したがって、多くの流動性がどこに向かうかを見ると、時間が経つにつれて、フェイルセーフやチェックが整っている場所にシフトするはずです。なぜなら、それが人々により多くの信頼を与えるからです。**CN: しかし、誰かが言うかもしれません。プロトコルがウォレットを凍結したりスマートコントラクトを一時停止する能力を持っているなら、プールを排出する能力も持っているのではないでしょうか?それについてどう思いますか?****HD:** そうですね、それは公平な指摘だと思います。誰かがそれを一時停止し、セーフガードを設ける能力がある場合、それは彼らが資金で何でもできるということを意味しますか?スマートコントラクトの美しさは、正しく実行すれば、不変で透明であることだと思います。事前に厳密なパラメータを定義することができます。ルールをハードコーディングすることができます:いつこれが一時停止されるのか、なぜ一時停止されるのか、そしてその後資金はどうなるのか?彼らは移動されますか?もしそうなら、どこに?特定の場所にしか移動できませんか?一時停止の後、彼らは戻りますか?それらはすべてエンコードできます。それは裁量的である必要はありません。そうですね、もし人々に自由に何でもできる完全な権限を与えると、それは良くありません。人々はそのプロトコルに資金を預けたくなくなるでしょう。しかし、何が可能かについて厳密に定義されたパラメータがある場合 — その一部には緊急時の凍結や一時停止が含まれます — それは実際に人々により多くの信頼を与えることになります。なぜなら、最大のプロトコルでさえ — 例えば、膨大なTVLを持つEulerのようなプロトコル — ハッキングされたからです。彼らは複数の監査やコードレビューを経てきましたが、全てのことを行ってきました。しかし、誰かが悪用できる小さな脆弱性が残っていました。私たちはこれらの事を検出する能力が向上していますが、新しい問題は常に発生します。そして、あなたが言ったように、それはいたちごっこのゲームです。防御を構築し、次に誰かが新しい攻撃を見つけます。そして新しい防御を構築し、その繰り返しです。**CN: 最近考えていることで、業界が見落としていると思うことはありますか?****HD:** 私たちが内部で多くの時間を費やしていることの一つは、暗号保険を実際に手に入れやすくすることです — なぜなら、私たちが話してきたことに戻ると、常に新しい攻撃があり、人々は新しい防御を構築するからです。しかし、その間にそのギャップを埋める何かが必要です。DeFi保険、つまりNexus Mutualが試みていたようなものは、人々が期待したほどには本当に拡大していないと思います。その大きな理由の一つは、意味のある保険を提供するためには、その背後に膨大な資本プールが必要だからです。これが保険の仕組みなのです。伝統的な保険業界にはすでに何十億ドルもの準備金が蓄えられています。彼らはリスクを引き受ける方法を知っています。もし私たちがそれらのプレーヤーを暗号の世界に引き入れ、リスクがどのように軽減されているかについての信頼を与えることができれば、私たちは本当に大きなものを解き放つことができます。真実は、私たちが大手銀行や真剣な金融機関にDeFiやオンチェーンファイナンスに関与してもらいたいのであれば、彼らには保険が必要だということです。これで終わりです。もしそれを実現できれば — もし伝統的な保険会社にリスクを価格設定し、実際に補償を提供するために必要なツールとデータを提供できれば — 突然、もっと多くの資本がこの分野に安心して入ってくることになります。そしてそれが起こると、すべてが成長します。プロトコルが成長し、インフラが成熟し、ユーザーが利益を得ます。だから、そうですね — 本物の暗号保険を解放することは、今私たちができる最も重要なことの一つだと思います。
GM
GDOG
芝麻开门
GCAT
芝麻人生
インタビュー | 暗号資産の回復は神話であり、予防が鍵である:サーキット
サーキットのCEOであるハリー・ドネリーは、暗号ハックの被害者はしばしば unscrupulous recovery firms に再び被害を受けると述べています。
概要
暗号通貨の採用が進んでおり、ますます多くの人々が参加しています。しかし、何年もの革新にもかかわらず、暗号通貨は依然として最も脆弱なユーザーの一部を失敗させています。最近の事件では、アメリカの退職者が、知らず知らずのうちにコールドウォレットを危うくしてしまい、XRPで$3 百万を失いました。
この事件は、セキュリティが依然として暗号の最重要課題であることを示しています。このため、crypto.newsは暗号セキュリティ会社CircuitのCEOであるハリー・ドネリーに話を聞きました。彼は、エコシステムが今年だけで$3 億ドルをハッキングによって失った理由と、なぜ回復が通常非常に難しいのかを説明しました。
Crypto.news: 最近、ウォレット保有者がハッキングで生涯の貯蓄を失ったというセキュリティインシデントがありました。これは暗号資産のセキュリティについて私たちに何を教えているのでしょうか?
ハリー・ドンネリー: これはXRPウォレットの事件です:ある米国の退職者が約$3 百万XRPを失い、退職貯蓄を失いました。ZacXBTがTwitterでこれについて投稿しました。被害者は警察に通報しようとしたが、法執行機関に連絡できなかったと言いました。その後、資金は約120の取引を通じてマネーロンダリングされました。
正確なベクトルの完全な確認は得られていません。なぜなら、被害者は暗号に詳しくなく、手順を追跡するために彼らのラップトップにアクセスできないため、確信を持つことは難しいからです。しかし、このようなケースは、デバイスをスキャンしてシードフレーズやその他の秘密を探すマルウェアが関与していることが多いです。
この場合、その人は冷蔵ウォレットを持っていると思っていました — Ellipalから購入した — しかし、彼らはシードフレーズをノートパソコンにインポートしました。それはコールドストレージの意味をなくします:シードフレーズがインターネットに接続された機械上に存在する限り、ハードウェアウォレットの保護は実質的に失われます。
CN: ZacXBTは、多くの回収会社が疑わしいと言っています。あなたの見解は何ですか?
HD: 全く公平です。人々が絶望しているとき、悪意のある者たちが彼らを食い物にします。最も悪質な者たちは、誰かが「盗まれた暗号通貨を回復する」と必死に検索したときに最初に表示されるように、自分たちのページをSEO最適化することがよくあります。
正当な回収は難しい。暗号は携帯資産であり、鍵を持つことは所有権を意味する。銀行に電話してオンチェーンの送金を逆転させることはできない。正当な回収業者は通常、法執行機関と連携して働く法律事務所であり、ChainalysisやTRM Labsのようなブロックチェーンフォレンジックツールを使用し、資金を追跡し、法的通知を用いて取引所に口座の凍結を求める。
しかし、それは資金が協力する意志のあるKYC取引所に入る場合にのみ機能し、かつその管轄区域が協力的である場合です。攻撃者はしばしば非協力的な取引所やミキシングサービスに資金をルーティングします。昨年、これらの方法で回収された資産は5%未満でした。
捕食的な企業は、基本的なスキャンに対して約$10,00の高額な手数料を請求し、被害者に誤った情報を提供するレポートを作成します。例えば、彼らは被害者にトルネードキャッシュにメールを送るように指示しますが、これは無意味です。
CN: 回復は難しそうですね。代わりに何がありますか?
HD: 回復の確率が低いため、予防が重要です。Circuitは、ハッキング後の回復に頼るのではなく、損失を防ぐことに重点を置いています。資金がウォレットを出てしまうと、回復の可能性はわずかです; 盗難を未然に防ぐことは、はるかに高い成功確率を持っています。
損失モードは2つあります:(1) あなたはプライベートキーへのアクセスを失います (資金はアクセスできません) または (2) 他の誰かがあなたのプライベートキーを取得します (資金は盗まれます)。サーキットは、キーだけを保護するのではなく、資産を直接保護することで両方に対処します。
私たちは自動資産抽出と呼ばれるものを構築しています。プライベートキーを保護するだけでなく、資金を事前に定義されたバックアップウォレットに移動させる署名済み取引を事前に作成します。これらの取引はあらかじめ作成され、暗号化されて保存されます — 正当なユーザーがそれらをトリガーするまで決してブロードキャストされることはありません。
CN: では、その大きな赤いボタンは誰が制御しているのですか?
HD: ユーザーがそれを制御します。彼らは私たちのウェブアプリに入り、2FAを使用して自分の身元を確認し、ボタンを押します。それがトランザクションを復号化して放送し、資金がバックアップウォレットに移動します。
事前に署名されたトランザクションを暗号化して保存しますが、ユーザーだけがそれを復号化して実行できます。彼らは事前に宛先アドレスを定義し、そのアドレスを変更することはできません。一度署名されると、それはロックされます。当社のシステムはそれを安全に保持し、ユーザーが必要なときにトリガーできるようにします。
CN: 現在このサービスを利用しているのは誰ですか?
HD: 現在、すべての機関や企業です。私たちはまだ小売ユーザーにはサービスを提供していません。私たちのパートナーは取引所、資産管理者、OTCデスクです。これらは大規模な資金と顧客資産を管理している人々です。彼らにとって、ダウンタイムやアクセスの喪失は壊滅的なことになり得ます。
一例として、Shift Marketsがあります。私たちは、彼らが提携している150の取引所にわたって技術を展開しています。これらの取引所は、数時間でも資金へのアクセスを失うことができません。
機関にとって、盗難を防ぐことだけではありません。時には誰かが署名デバイスを置き忘れたり、Fireblocksのようなサービスがダウンすることがあります。それがすべての業務を停止させる可能性があります — 入金も、出金もありません。
Circuitを使えば、彼らは数分以内に回復でき、何日もダウンすることはありません。そして、それは彼らにとって評判を守ること — そして顧客維持に数百万を節約することを意味するかもしれません。
CN: ユーザーはどのようにバックアップウォレットを選択しますか?別のハードウェアウォレット、取引所のアカウント、またはカストディアンであるべきですか?
HD: いい質問ですね。バックアップウォレットはプライマリーと同じくらい安全であることをお勧めします。つまり、異なるウォレットプロバイダーを使用し、鍵を異なる場所に保管し、インフラストラクチャが同じ場所にないことを確認することです。両方の鍵セットを同じ金庫やサーバーに保管してはいけません。
また、私たちは単一の失敗点を避けるために、クォーラム承認—4の目または6の目のポリシー—を強制しています。ほとんどの大規模機関はすでにこの方法で運営しています。いくつかは、主要およびバックアップウォレットのために異なるMPCまたはマルチシグ設定を使用しています。他のものは、異なる安全施設または異なる法域を使用しています。アイデアは、災害が1つのシステムに襲いかかっても、他のシステムには影響を与えないということです。
私たちは主要な保険会社とも提携しており、彼らはこれをリスク軽減策として認識しています。多くの暗号保険の請求は、アクセスの喪失や盗まれた資金に関するものです。Circuitの技術を追加することで、企業はより低リスクになります。そのため、保険提供者は私たちを利用するクライアントに割引を提供します。これにより、保険がより利用しやすくなり、結果としてより多くの機関投資家が暗号に資本を投じることになります。
CN: 実際に誰かが赤いボタンを使わなければならなかったケースはありましたか?
HD: はい、私たちは赤いボタンを使用しました。実際のケースと制御されたテストの両方でです。私たちは、ホワイトハットやシミュレーション環境で攻撃者に意図的にアクセスを与え、資金を盗もうとさせることさえしました。毎回、耐えました。私たちのエンジニアリングチームは、エッジケースや現実の脅威に対処できるように懸命に働いてきました。
私たちは、独立してテストした業界の主要なプレイヤーと協力しています。私たちは、次の1か月または2か月のうちに、それらの検証のいくつかを紹介する公表を行う予定です。
CN: そして機関にとって、典型的な失敗シナリオは?
HD: それは彼らのウォレットの設定によります。もし彼らがFireblocksのような非カストディサービスを使用している場合、機関は一定の責任を負います — Fireblocksがダウンしていたり利用できない場合でも、彼らは自分のウォレットにアクセスできる必要があります。
もし彼らがCoinbaseやAnchorageのような完全なカストディアルソリューションを使用している場合、これらのプロバイダーはすべてをエンドツーエンドで管理します。しかし、Fireblocksを使用する場合は、キーシャードや署名デバイスへの安全なアクセスを自分で確保する必要があります。
つまり、Fireblocksに依存している取引所を想像してみてください。そして、デバイスを失ってしまった場合 — たとえば、誰かの電話やYubiKey。これにより、一時的にロックされ、出金や入金が停止する可能性があります。
CN: あなたは以前、攻撃者がより洗練されていると述べました。暗号産業がそれにどのように適応しているかについてのあなたの見解は何ですか?セキュリティにおいて何が変わっていますか?
HD: Web2のサイバーセキュリティに似ています;それは猫とネズミのゲームです。新しい攻撃が出現し、私たちは防御を構築し、攻撃者は再び進化し、そして次々と続きます。初期の大きなブレークスルーはマルチシグで、トランザクションを承認するために複数の鍵が必要です。
次に、MPCウォレット(マルチパーティ計算)が登場し、マルチシグを改善しました。マルチシグの設定では、3つのキーのうち2つを妥協すると、3つ目に関する部分的な情報が得られます。しかし、MPCではそのようなことはなく、各シャードは全体に関する情報を提供しないため、より耐障害性があります。
Fireblocksのような企業は、MPCで多くの成功を収めています。その上に、特定の条件下で取引をブロックするルールであるポリシーエンジンが登場しました。例えば、「$1 百万を超える全ての転送をブロックする」や「ホワイトリストに登録されていないアドレスへの転送を許可しない」というものです。
次に検出ツールが登場しました。これはチェーン活動を監視し、疑わしい行動を flag するサービスです。しかし、今日では、それらのほとんどがアラートに対して人間の対応を必要とします。一部の設定では、アメリカ、ヨーロッパ、アジアの人々からの承認が必要になる場合があり、これは数時間かかることがあります。一方で、攻撃は数分または数秒で発生しています。
私たちはSwissBorg/Kilnハックでこれを見ました:$41 百万が3分で消えました。人間は単純にそんなに早く反応しません。
CN: 中央集権取引所が盗まれた資金を凍結すると、人々は通常理解します。しかし、DeFiプロトコルがウォレットを凍結したりスマートコントラクトを一時停止したりすると、中央集権化に対する批判がよくあります。それについてあなたの見解は何ですか?
HD: 見てください、最終的には、もし何千万ドル、何億ドルもの盗難を防ぐことができるのなら、そしてそれを実現するために数時間スマートコントラクトを停止させる必要があるのなら、私はそれをすべきだと思います。
私は、分散化の非常に大きな支持者がいることを知っていますが、人々がそれを採用しなければ分散化は根付かないでしょう。そして、人々は全ての資金を失う危険があるなら、それを採用しないでしょう。結局のところ、私はそれが非常に単純なことだと思います。
もしあなたがこれを本当に信じており、主流に受け入れられることを望むのであれば — 実際の企業や実際の機関によって — 彼らはそれに信頼を持たなければなりません。そして「ただハッキングされてしまえ」とか「コードは法律だ」と言う支持者たちに対して、私が思うに問題は、私たちが望むほどこの分野の成長を根本的に止めてしまうということです。
そして、私はあなたが見ることになる二つの領域があると思います。プールとプロトコルは、ただ物事をそのままにしておくだけで、運営を続けるでしょう。そして、より機関向けおよび企業向けのインフラがあり、そこには安全装置があり、フェイルセーフがあり、プールに保険が組み込まれているところもあるでしょう。
それはすでに起こっています。そして、あなたが見ることになるのは、実際の資本—機関—が自分の資金を置くことに自信を持っている場所であるプールに、さらに多くの流動性が預けられることです。そして、DeFiにおける最大のネットワーク効果は何かを考えると、それは流動性に帰着します。
したがって、多くの流動性がどこに向かうかを見ると、時間が経つにつれて、フェイルセーフやチェックが整っている場所にシフトするはずです。なぜなら、それが人々により多くの信頼を与えるからです。
CN: しかし、誰かが言うかもしれません。プロトコルがウォレットを凍結したりスマートコントラクトを一時停止する能力を持っているなら、プールを排出する能力も持っているのではないでしょうか?それについてどう思いますか?
HD: そうですね、それは公平な指摘だと思います。誰かがそれを一時停止し、セーフガードを設ける能力がある場合、それは彼らが資金で何でもできるということを意味しますか?
スマートコントラクトの美しさは、正しく実行すれば、不変で透明であることだと思います。事前に厳密なパラメータを定義することができます。ルールをハードコーディングすることができます:いつこれが一時停止されるのか、なぜ一時停止されるのか、そしてその後資金はどうなるのか?
彼らは移動されますか?もしそうなら、どこに?特定の場所にしか移動できませんか?一時停止の後、彼らは戻りますか?それらはすべてエンコードできます。それは裁量的である必要はありません。
そうですね、もし人々に自由に何でもできる完全な権限を与えると、それは良くありません。人々はそのプロトコルに資金を預けたくなくなるでしょう。しかし、何が可能かについて厳密に定義されたパラメータがある場合 — その一部には緊急時の凍結や一時停止が含まれます — それは実際に人々により多くの信頼を与えることになります。
なぜなら、最大のプロトコルでさえ — 例えば、膨大なTVLを持つEulerのようなプロトコル — ハッキングされたからです。彼らは複数の監査やコードレビューを経てきましたが、全てのことを行ってきました。しかし、誰かが悪用できる小さな脆弱性が残っていました。
私たちはこれらの事を検出する能力が向上していますが、新しい問題は常に発生します。そして、あなたが言ったように、それはいたちごっこのゲームです。防御を構築し、次に誰かが新しい攻撃を見つけます。そして新しい防御を構築し、その繰り返しです。
CN: 最近考えていることで、業界が見落としていると思うことはありますか?
HD: 私たちが内部で多くの時間を費やしていることの一つは、暗号保険を実際に手に入れやすくすることです — なぜなら、私たちが話してきたことに戻ると、常に新しい攻撃があり、人々は新しい防御を構築するからです。しかし、その間にそのギャップを埋める何かが必要です。
DeFi保険、つまりNexus Mutualが試みていたようなものは、人々が期待したほどには本当に拡大していないと思います。その大きな理由の一つは、意味のある保険を提供するためには、その背後に膨大な資本プールが必要だからです。これが保険の仕組みなのです。
伝統的な保険業界にはすでに何十億ドルもの準備金が蓄えられています。彼らはリスクを引き受ける方法を知っています。もし私たちがそれらのプレーヤーを暗号の世界に引き入れ、リスクがどのように軽減されているかについての信頼を与えることができれば、私たちは本当に大きなものを解き放つことができます。
真実は、私たちが大手銀行や真剣な金融機関にDeFiやオンチェーンファイナンスに関与してもらいたいのであれば、彼らには保険が必要だということです。これで終わりです。
もしそれを実現できれば — もし伝統的な保険会社にリスクを価格設定し、実際に補償を提供するために必要なツールとデータを提供できれば — 突然、もっと多くの資本がこの分野に安心して入ってくることになります。
そしてそれが起こると、すべてが成長します。プロトコルが成長し、インフラが成熟し、ユーザーが利益を得ます。だから、そうですね — 本物の暗号保険を解放することは、今私たちができる最も重要なことの一つだと思います。