この議論は、Bybit からの 15 億ドルの盗難から始まり、マルチ署名ウォレット (Safe など) のセキュリティ上の脆弱性とその解決策に焦点を当てました。シェンユ氏は、マルチ署名ウォレットが依存するフロントエンド、ハードウェア、ブラウザなどのインフラストラクチャには、特にフロントエンドの改ざんやブラインド署名の問題など、取引の意図と実際の操作の間に矛盾が生じ、ハッカーに簡単に悪用されるという弱点があると指摘した。そのために、ドメイン名のホワイトリストやトランザクション分析プラグインなどの一時的な解決策を提案し、AIと第三者検証を組み合わせてセキュリティを向上させるエンドツーエンドのクローズドループリスク管理システムを提唱しました。さらに、Shenyu氏は、昨年12,000ETHのフィッシング被害に遭った自身の体験を初めて共有し、ハードウェアウォレットによるブラインド署名のリスクを強調し、業界に階層化、分散化、ゼロトラストのアーキテクチャを採用し、セキュリティ文化の構築を強化するよう呼びかけました。同氏はまた、国家レベルのハッカー攻撃に直面して、業界は技術革新とセキュリティ意識の向上を通じて課題に対応する必要があると述べた。最後に、ShenyuはAIと暗号通貨の組み合わせの展望に期待を寄せ、AIエージェントが将来ブロックチェーンネットワークで重要な役割を果たし、業界の革新を促進する可能性があると信じています。
マルチ署名依存インフラの脆弱性を考慮し、ドメイン名ホワイトリストやトランザクション解析プラグインなどの一時的な解決策を提案し、エンドツーエンドのクローズドループリスク管理を提唱した。
コリン:Bybit 事件についてのご意見と、この事件で注目すべき点は何だと思うか教えてください。
神宇:これは実は非常に典型的な状況です。現在のマルチ署名業界ソリューションは多くのインフラストラクチャと中間サービスに依存する必要があるため、これらのインフラストラクチャと中間サービスは複数の企業によって開発されています。従来の意味では、これはより分散化され、分散化されているため、問題が発生する可能性は低くなりますが、現在の問題は、これらの複数の企業によって開発されたアプリケーションとハードウェア技術間の相互作用にバグや潜在的な弱点があることです。このため、過去数年にわたり大規模なセキュリティインシデントが相次いで発生し、国家レベルのハッカー勢力と対峙する事態に陥っています。この質問の本質は、私が昨年9月に襲撃されて以来ずっと考えてきたことだ。 11月頃にはハードウェアメーカー各社にも問い合わせをしたところ、ブラインド署名が非常に深刻な問題であること、またフロントエンドからデスクトッププラグイン、ハードウェアへの接続も簡単に改ざんされてしまうことが分かりました。ここが一番の弱点だということが分かりました。当時、私たちはすぐにOneKey、Ledgerなどの企業に連絡を取り、解決策について話し合いました。この過程でいくつかの問題が発見され、さまざまな企業が何らかの解決策を提示しましたが、最終的にその解決策を実装して攻撃に抵抗することは困難でした。先ほど誰かが言っていたように、反復には半年以上かかる可能性があり、Ledger は実際に体系的なソリューションを開発しました。契約上、受動的に更新する必要があり、このサイクルも非常に長くなります。問題は、この完全なリンクによって、クロスリンクによって生じる抜け穴やバグをいかにうまく塞ぐことができるかということです。
現在市場に欠けているのは、エンドツーエンドのソリューションです。現在、さまざまな企業がソリューションを組み合わせていますが、組み合わせる過程で予期しない出来事が発生し、ハッカーに悪用される可能性があります。このプロセスの中で、実際に最初に内部ガジェットとデモをいくつか作成したと言いました。まず、Web ページによって開かれる Web サイトが正しく、改ざんされていないことを確認するために、ドメイン名アクセスのホワイトリストを作成しました。これにより、間違った URL の入力やランダムな Web ページへのジャンプなど、一般的なフィッシング攻撃を防ぐことができます。次に、モバイル デバイスで実行できるトランザクション解析プラグインを作成しました。一部のハードウェア ウォレットは、QR コードを介してプラグインまたは Safe と通信します。QR コードによって送信された情報が改ざんされていないかどうかを確認し、ハードウェア ウォレットで解析されたコンテンツを検証します。小さなプラグインをいくつか作りましたが、散らばりすぎていて使いにくいと感じました。エンドツーエンドのプロセス全体が完全に接続されておらず、使用する手順が多すぎました。ですから、この事件の後も私たちは反省し続けるつもりです。
最も重要な点は、私たちの業界が現在、数兆ドル規模で非常に大きくなっており、ハイレベルのハッカーチームからの攻撃を引き付けることは間違いないということです。このプロセスでは、私たちのチームメンバーも言及したように、実際には水平方向にも垂直方向にも非常に深く掘り下げる必要があります。しかし、業界は非常に急速に発展し、非常に速く変化しているため、ビジネスを行う際に、こうした一連の潜在的なリスクが無視されることがよくあります。したがって、このプロセスにおいて、私たちが現在考えていること、あるいは取り組んでいることは、さまざまな秘密鍵(ハードウェア チェーンとソフトウェア チェーン上の秘密鍵)を管理してきたことから、プロセスの中で一連のリスク管理機能を蓄積し、いくつかのリスク制御エンジンを備えることを望んでいるということです。したがって、Safe のような典型的なシナリオでは、当社が管理者となり、秘密鍵を保有できることを期待しています。秘密鍵があれば、完全に独立したソフトウェアとハードウェアの環境セットと、分析用の一連のリスク管理エンジンを保有でき、同時にこのプロセスにカスタマイズされた一連の監査ソリューションを導入し、自動化された AI 分析、手動レビュー、ブラック リストとホワイト リスト、さらには高度な契約パラメータ制御機能も追加できます。
これらは実際に私たちが DeFi プロセスで使用してきたテクノロジーですが、それらを完全に統合して商用化することはできません。この形式の分散化により、一部の秘密鍵は完全なチームによって取得されるのではなく、外部の第三者によって独立して取得されるため、問題はエンドツーエンドで閉じたループになり、制御可能になります。これは私たちの現在の考えであり、実際にオンチェーン DeFi 運用中にこのように運用しています。EOA はフィッシングに特に弱いため、マルチ署名への移行は Bybit と同様の問題に直面するからです。特にリンクが長く、さまざまなリスクがあります。当社の現在の考えと解決策は、独立した第三者を導入し、その独立した第三者がリスク管理エンジンを含む完全に独立したテクノロジー スタックと統合されたハードウェアおよびソフトウェア ソリューションを導入し、さらに AI 機能を追加して、トランザクションの開始と分析、リスク管理のレビューから署名プロセスとの調整までのクローズド ループを完成させ、国家レベルのハッカーによる非常に忍耐強く長期的な侵入攻撃を回避しようとすることです。
シェニュのフィッシング被害の経験は、ハードウェアウォレットによるブラインド署名のリスクと、AIと第三者による検証を組み合わせる必要性を強調している。
コリン: 先ほど EOA フィッシングの問題について触れられましたが、昨年、貴社の資産の一部が誤ってフィッシングされた可能性があることもわかっています。当時何が起こったのか、そして最終的にそのお金が北朝鮮のいわゆるハッカーによって送金されたのかどうか、思い出せますか?
神宇:当時の私の経歴は、あるプロジェクトがエアドロップを実施していたことです。体調があまり良くなく、少し気が散っていたので、間違ったリンクをクリックしてしまいました。リンクの1つに問題がありました。しかし問題は、資金がハードウェアウォレット側に到達したときに、ドメイン名と DNS 解決のためのサードパーティのリスク管理メカニズムが実際に存在していたことです。その結果、そのソリューションがバイパスされ、リスク管理システムがターゲットを逃してしまいました。それをバイパスした後、少し気が散っていたので、それほど注意深く確認せず、次にハードウェアウォレット側に行きました。ハードウェアウォレット側はブラインド署名だからです。そのボタンを押した後、何かおかしいと感じたので、すぐに確認したところ、何かおかしいことが分かりました。残りは歴史です。この出来事の後、私たちはハードウェアウォレットによるブラインド署名の問題を解決しようとしました。この過程で、昨年の建国記念日に私たちはOneKeyや他の関係者と会議を開きましたが、問題はそれほど簡単に解決できるものではないことがわかりました。 EOA はフィッシングされやすいため、特に標的にされやすく、「攻撃」されやすいのです。そこで、私たちはマルチ署名に Safe を使用することにしました。マルチ署名のプロセス中に、基本的にすべてのトランザクションがブラインド署名であるため、この問題がさらに深刻であることがわかりました。そこで、これらの問題を解決するために、多くの小さなツールを作成する必要がありました。結局のところ、クローズドループ ソリューションが必要であり、ハードウェア ウォレットはハードウェアとソフトウェアの統合という目標を達成する必要があります。ハードウェア UI は実際にチェックする最後のポイントだからです。また、このプロセス中に人々が間違った状態にある場合に傍受、アラーム、処理を防ぐことができる独立したサードパーティを導入する必要もあります。これが、この領域で反復処理を開始し、製品化を試みている理由です。
「模倣シーズン」が出現しなかった理由:推進力の欠如と国家備蓄決定が市場発展を促進するという期待
コリン:さらに、昨年、あなたは「アルトコイン」は存在しないという問題を最初に提起し、それについて皆が大いに議論しました。多くの著名人を含む一部の人々は「アルトコイン」がなければならないと批判し、一部の人々はそれに賛成しました。そして昨年12月、「アルトコイン」のトレンドは実に短命に終わりました。その時には、「アルトコイン」相場が到来したと感じ、「アルトコイン」相場はすでに始まっていると言う人もいるかもしれません。その結果、あなたが最初に言ったように、その後間もなく、このサイクルでは「アルトコイン」はほとんど存在しなくなったように見えました。もちろん、私たちは予測を立てているわけではありません。短期的な予測については、誰が以前に予測を立てたのかはわかりません。神のみが知っています。しかし、今、何か新しい考えがありますか?主にビットコインの市場サイクルにあるため、「アルトコイン」がこのサイクルに登場することはほぼ不可能だと思いますか?また、いわゆる強気相場は終わった、あるいは弱気相場に変わり始めているとは思いませんか?
神宇:私の現在の感覚としては、過去2、3年のいくつかの小さな感情的なホットスポットを除けば、業界全体では2020年や2021年のような非常に明確なアプリケーションと実際の需要シナリオがまだ欠けているということです。本質的な問題はここにあると思います。内発的な推進力がないため、真に価値のある新しいアプリケーション資産は蓄積されません。一方、今回のサイクルでは、伝統的な米国株式市場には実際に多くのプレイヤーが残っていました。彼らはETFを構成し、Robinhoodなどのプラットフォームを通じて取引していました。彼らは実際には仮想通貨資産を所有していなかったため、市場に多くの資金が実際に留まらず、誰もが特に期待していた、ビットコインやイーサリアムから他の通貨に波及しない、いわゆるスピルオーバー効果は現れませんでした。これら2つの要因が組み合わさって、どういうわけか、「アルトコイン」市場は、ほんの数週間の短期的な感情によって動かされ、広範囲にわたる流行は起こらない可能性があります。私は依然として、以前の判断をほぼ維持しています。
それで、今年の私の見方、あるいは市場に対する私の期待は、今年後半、おそらく6月から10月にかけて市場はより発展するかもしれないということです。その後、米国の国家準備金レベルで物事がより明確になり、通過した後、より多くの新しい資金が業界全体または市場全体に流れ込む可能性があります。しかし、現時点では、または短期から中期的には、アプリケーション レベルで問題を解決することはできない可能性があります。オンサイトレベルでもオフサイトレベルでも、資金の異常な流入はないようです。ということで、今年の後半が楽しみです。
この件については今日判断しません。最終的には米国の国家準備金関連の問題が今年何らかの成果をあげられるかどうかにかかっているかもしれません。成果がなければ、市場は終わってしまうかもしれません。現時点では合格の可能性はまだ比較的高いと感じていますが、断言は難しいため、下半期にさらに期待をかけています。 (このスペースは2月25日に公開され、トランプ大統領は3月にビットコイン国家準備金に関する大統領令に署名しました)
過去の盗難事件の概要: 国家レベルのハッカーに対処するには、階層化された分散化、ゼロトラストアーキテクチャ、セキュリティ文化の浸透が必要
コリン:実は、シェンユさんも暗号通貨界のベテランですね。もう何年も経ちます。私が参加したのは2017年です。暗号通貨界の歴史には盗難事件が多すぎます。どれもスリリングなものでした。もちろん、今回Bybitから盗まれた金額は史上最高額だが、利益は十分あるため、全額補償できるだろう。初期の頃も含め、あなたの歴史的記憶の中で、最も記憶に残る盗難体験のうち、共有する価値のあるものは何ですか?
神宇:攻撃と防御は常に進化し続けており、初期の攻撃手段は非常に原始的だったと思います。我々実務家は、国家レベルの勢力と対峙していることを認識しなければなりません。彼らは普通のハッカーではありません。彼らは組織化されており、10代の頃から集中的な訓練を受けています。彼らは、中核施設への攻撃と同じようなさまざまな方法とアプローチを使用して、企業の内部に侵入し、人間レベルで我々に挑戦します。私たちは、そのような相手と対峙していることを明確に認識する必要があります。この過程で、人々は怠惰になり、人間性にいくつかの問題が生じることになります。最終的には、テストに耐えられる手段と方法を採用する必要があります。
インターネットの歴史において、Cobo はセキュリティ手法であるゼロトラスト モデルを採用した最初の中国系企業である可能性があります。私たちがこの一連の方法論を採用する理由は、この一連の方法論だけが国家レベルの勢力の侵入に耐えられることが証明されているからです。そこで、当社では2018年、2019年と早い段階から社内でゼロトラスト変革の実装を開始し、社内のあらゆるサービスや全社員のパソコンや携帯電話にさまざまなものをインストールしました。したがって、これを認識した後は、この一連のソリューションを採用し、さまざまなシステムを最小限の信頼の状態にする必要があります。
同時に、私たちにとって最も重要な資産は秘密鍵であり、階層化、分散化、分散化の考え方を導入する必要があります。階層化とはどういう意味ですか?私たちは財布を細かく分けなければなりません。私は以前、個人的なレベルでは4つの財布理論を持っていると話しました。しかし、機関レベルでは、少なくともホット、ウォーム、コールドの 3 層のウォレット アーキテクチャが必要であり、アーキテクチャの各層には独自の特性がある可能性があります。さらに、ブラックリストとホワイトリスト、および時間遅延を含む一連のプロセスが存在する可能性があります。多くの場合、効率性のためにセキュリティを妥協し、犠牲にすることはよくあります。特に、急速に発展している業界ではそうです。しかし、強制的な時間遅延により、セキュリティリスクの露出が非常に低いレベルにまで下がることがよくあります。特に、コールドウォレットとウォームウォレットのレベルでは、階層化を実行し、各レイヤーに異なるセキュリティリスクを設定し、一連の監査システムとプロセスを確立して、これらのシステムリスクを回避する必要があります。コールドウォレットは絶対的なセキュリティを保証するため、物理レベルで保管するのが最適です。
2つ目は権力を分散させることです。業界は長年にわたって発展し、参加者も増えているため、最初は解決策が見つからず、社内のチームに任せて何とかするしかない場合もあります。特にリモートワークが普及している現在、社内の従業員に北朝鮮が潜入したり、有力な人材が組織内に取り込まれたりといった事例も発生しており、こうした社内プロセスを完全に信頼することはできません。したがって、このレベルでは分散化が必要です。一部の秘密鍵を管理し、検証を行う外部の独立した第三者を導入する必要があります。これも非常に重要です。現在、さまざまなレベルで秘密鍵を保管できる保管会社、セキュリティ会社、保険会社が多数存在し、ホットウォレット用の秘密鍵、ウォームウォレット用の秘密鍵、コールドウォレット用の秘密鍵などがあります。外部の独立した第三者として、独自のセキュリティソリューションを持ち、リスク管理と制御を行っています。一連の対策により、攻撃のコストと閾値は飛躍的に増加します。
そして最後に、これは実際には分散化に関することです。基本的に誰もが比較的分散化された状態にあるため、ソフトウェアとハードウェアを世界中に配布するのがより優れている可能性があります。この観点から、まず、最小限の信頼システムを採用し、ゼロトラストリスク設計コンセプトを使用して社内システムとアーキテクチャ全体を設計し、階層化、分散化、分散化されたコア資産管理方法を採用し、一連のソフトウェアおよびハードウェアセキュリティモジュールと厳格な社内アクセス制御プロセスを装備して、安全なライフサイクルクローズドループ管理を確立する必要があります。さらに、高リスクで不確実な攻撃インシデントでも長期間生き残れるように、イベント中およびイベント後に緊急対応と解決策を用意しておくこともできます。
コンプライアンス取引所はセキュリティに多額の投資を行っているが、オフショア取引所は成長圧力が大きく、セキュリティ対策が不十分である。
コリン:個人的には、Coinbase やその他の規制に準拠した取引所について知りたいです。正直に言うと、ほとんどすべてが盗まれているオフショア取引所とは異なり、盗難は確かに少ないようです。多くの取引所では何度も盗難に遭っています。その理由は何でしょうか。実のところ、よく分かりません。理論的には、彼らが使用できるアーキテクチャはオフショア取引所でも使用できるのでしょうか?オフショア取引所の方が資本額が大きいか、運営が若干異なるためです。セキュリティ分野のどのゲストがこの質問に答えてくれるのだろうか。さらに、シェンユさん、北朝鮮のハッカーによるこのような攻撃に直面すると、この業界でビジネスを始めることが非常に困難になり、一般の起業家のセキュリティコストや必要な投資が非常に高くなり、この業界の発展が大きく妨げられると思いますか?業界が北朝鮮のハッカーによる攻撃に耐えられるかどうかについては、誰もが今や多少懐疑的になっているようだ。
Shenyu: 私の直感では、規制に準拠した取引所は効率性よりもセキュリティを重視する可能性があると付け加えておきます。例えば、いくつかの面ではより厳しいため、セキュリティへの投資も非常に大きくなります。
理論的には、オフショア取引所は多くの資金を保有しており、セキュリティにさらに投資することができます。今回の件も含め、初期のBinanceにしろ他にしても盗難はかなり頻繁に起きているようです。
これは、オフショア取引所に対する成長のプレッシャーが大きすぎるため、常に高頻度で反復する必要があり、顧客からの苦情も多いためと考えられます。しかし、規制に準拠した取引所では、一般ユーザーの期待はそれほど高くなく、出金もそれほど速くする必要はありません。中には、大口出金にT+1またはT+2を要求するところもあります。T+7のところも見たことがありますが、顧客基盤が異なるため、ユーザーはこれを受け入れることができます。規制に準拠した取引所の顧客基盤は主に機関です。これら 2 つの取引所は長い歴史があるかもしれません。盗難に遭ったことがあるかどうかはわかりません。社内でセキュリティの問題に対処する経験は豊富であるはずです。セキュリティの問題は、基本的に会社にとって「成人の儀式」と見なすことができます。
この業界に十分な利益率がある限り、いくつかの SaaS 製品に投資することで、この業界の問題点やニーズを確実に満たすことができると思います。ただ、人々のセキュリティ意識や支払い意欲は今のところそれほど高くありません。非常に優れたセキュリティ製品も数多くありますが、誰もが一生懸命働いてお金を稼いでおり、コストのバランスを取るのも難しいため、他の面からの補助金に頼る必要があります。
このレベルは実は問題なのですが、攻守の高度化に伴い、セキュリティが非常に重要な問題だという認識が徐々に広まり、セキュリティへの投資も増えていくと感じています。また、セキュリティSaaSに注力している企業などにも、一定の開発余地と資金が生まれます。セキュリティとアーキテクチャの観点からは、効果的で検証可能なソリューションがあります。ただし、Safe の場合、上流と下流の参加者は 4 ~ 5 人程度です。トランザクションを完了するには、各参加者間の調整と連携が非常に遅く、ハードウェアの反復処理は特に遅いため、最終的にはハッカーに時間的余裕が生まれます。
ブロックチェーン業界の問題が完全に明らかになり、議論されれば、1、2回の反復サイクルで解決できるはずです。さらに、Web2 でセキュリティ問題に投資されるリソースはブロックチェーン業界ほど大きくはありませんが、Web2 も同様の問題に直面しています。パスワードのセキュリティを保護するために設計された Passkey は、長年にわたって推進され、特に一部の機密性の高い金融分野で、ここ 1 ~ 2 年でようやく大規模に使用され始めました。したがって、私たちが使用している Apple デバイスも含め、セキュリティ レベルでも急速に進化している基盤となるテクノロジーは再利用および開発できます。最終的には解決策はありますが、時間と資金の投資が必要になる場合があります。このプロセスでは、リスクに対する意識が弱く、より積極的に行動する開発者がいくらかのコストを負担する可能性がありますが、問題は解決できます。
起業家向けのセキュリティアドバイス: ゼロトラストモデル、マルチ監査相互検証、定期的なセキュリティ訓練を実践する
コリン:起業家にとって、最近、コミュニティの多くの人々が支援しているにもかかわらず、あるスタートアップ プロジェクトから 5,000 万ドルが盗まれました。起業プロジェクトのセキュリティに関して、長年の経験と多くのことを経験してきた者として、起業家がセキュリティ意識をさらに高めるためにどのような提案がありますか?
申宇:起業のプロセスにおいてゼロトラストモデルを実践することが非常に重要だと思います。現在の環境では、この一連の方法論と概念だけがすべての人を保護できます。同時に、単一障害点や一方的な契約監査に頼ることはできません。基本的な要件は、監査を実施する当事者が少なくとも 2 つか 3 つ存在し、プロセスで何らかの問題が明らかになるように相互検証が必要であるということです。また、資金の額を急激に増やしすぎないでください。初期段階では、内部テストや公開テストを通じて資金の額をゆっくりと増やし、資金を分離することで、比較的うまくリスクを管理できます。
実際、セキュリティ監視やリスク管理システムなど、業界には多くの安価なセキュリティソリューションがあり、生存の可能性を大幅に高めることができるため、誰もが活用する必要があります。
起業プロセスにおいては、一方ではビジネスモデルはユーザー側を考慮する必要があります。特に技術的なバックグラウンドを持たない起業家は、セキュリティと内部のゼロトラスト アーキテクチャに多大な注意を払う必要があり、少なくとも 20 ~ 30 パーセントの注意をこれに向ける必要があります。企業がこうした社内のセキュリティ文化やシステムを重視しず、社内で定期的なセキュリティフィッシングテストや攻撃・防御訓練を実施しなければ、従業員レベルでも人間レベルでも全員が怠惰になってしまいます。ハッカーがいつでもあなたを監視している可能性があることに注意してください。したがって、リソースと注意は依然としてセキュリティに集中する必要があります。
コリン:そうですね、この業界が成長するにつれて、経営者個人であれ会社であれ、盗難に遭わない会社はほとんどなくなると思います。幸いなことに、今回負けない限り、個人も業界全体も何らかの進歩を遂げるでしょう。
ミームコインのこのラウンドに参加してみませんか:体調不良、AIに焦点を当てる
Web3 Jiaozi: Shenyuさん、あなたは長い間暗号通貨業界に携わっており、この業界ではよく知られた人物でもあります。最も早い時期に、Coboウォレットはみんなを一緒にマイニングに導くことができましたが、私は最も初期の参加者の一人でした。今年の市場状況では、Shenyu が業界関連の事柄について話すことはほとんどないことがわかりました。今日投稿されたリンクを含め、PVP については簡単にしか触れられていません。私がもっと心配しているのは、業界にとって、前回の市況の波の後、業界がボトルネックに達しているように見えることです。Shenyuさんにお聞きしたいのですが、次の出口はどこでしょうか?
コリン:そうですね、シェンユさん、あなたはいつもいろいろな新しいことに挑戦するのが好きなんですが、今回のミームはとても人気があるようですが、あなたが特別な方法で参加しているのを見たことはありません。その理由は何ですか?
神宇:私がMemeをプレイしない主な理由は、私の体がそれに耐えられないことと、2000年代に生まれた人たちと比較できないことです。もうひとつの要因は、最近私の関心が AI に集中していることです。将来的には AI が暗号通貨と破壊的な組み合わせになり、新たな成長をもたらす可能性があるようです。 1年以上前にオフラインイベントで、暗号通貨の最終的なユーザーは人間ではなく、AIエージェントやAIロボットである可能性があると提案したため、私はAIの使い方を学ぶことに多くのエネルギーを費やしました。もうPVPはプレイできません。普段はみんなにお金をあげるためだけにプレイしていて、ポジティブなフィードバックはあまりないので、主にAIに集中しています。
AIと暗号を組み合わせる可能性に期待し、AIエージェントは将来ブロックチェーンネットワークで重要な役割を果たす可能性があると考えられています。
コリン:今のAIについてどう思いますか?というのも、以前、いわゆるAIエージェントブームがありましたが、特に急激に衰退しました。私の友人の多くは、AIに投資したために破産しました。以前の AI エージェントは何か魅力的なものを生み出したと思いますか?将来、AI と暗号通貨のどのような応用がより良くなると思いますか?
神宇:最も基本的なレベルでは、AI自体の能力がまだその段階に達していないということだと思います。今はまだ概念検証の段階です。すると、AI の開発速度が非常に速く、基礎となるコンピューティング パワー モデルが絶えず反復されていることがわかります。将来、AI は汎用 AGI (人工知能) を備えた状態に到達すると予想されます。
暗号通貨に関しては、2つのポイントがあります。一方で、データはオープンかつ透明であるため、完全にデジタル化されたものには非常に友好的です。そのため、一方では、AI がインタラクションの方法を変える可能性があります。これらの複雑なスマート コントラクトや反人間セキュリティ操作については、補助的な決定を下すのに役立つ、信頼性が高くインテリジェントな AI エージェントに頼ることができるはずです。私は今、分散型金融を運営しており、それを監視するために数人の AI エージェントをリモートで手配しなければならないと冗談を言うのが好きです。将来的には、実際にこのようになり、人工知能エンジニアと、おそらく 1 人か 2 人の AI エージェントが画面を監視するようになるかもしれません。さらに先を見据えると、AI は実際にブロックチェーン ネットワークに接続されるようになるかもしれません。
私たちは、AI エージェントが相互にやり取りし、価値やデータの交換を行うシナリオを想像しています。これには契約レベルの事柄も含まれる可能性があり、緩やかに形成された会社や DAO を形成することもあります。スマートコントラクトのようなプラットフォームを使用して、価値レベルの交換を行う可能性があります。おそらく今後 3 ~ 5 年以内に、Web ソーシャル ネットワークやバリュー ソーシャル ネットワークに似たものがブロックチェーン上に形成され、最終的にはこの AI エージェントのグループによって使用されるようになると思います。一度これが現れれば、それがもたらす価値と影響力は非常に大きくなるかもしれません。私たちは常にWeb3のネットワーク効果について話してきました。これがもたらす資産規模や価値は、現在見られる従来のインターネット企業よりもはるかに大きい可能性があり、現在の兆単位の規模よりもさらに大きなものになるかもしれません。私はこれが何なのか、そしてその中で何ができるのかについて考えていました。私はかなり楽観的です。過去2、3年、業界では良い応用の方向性は現れていませんが、将来的には現れると思います。解決できるかもしれない障害もいくつかあるので、その日を楽しみにしています。
セーフウォレットブラインド署名ソリューション: エンタープライズ署名ツール + AIリスク管理 + ブラックリストとホワイトリストの管理
TheCheerSong: 私はオンチェーン自動取引を行っているトレーダーです。今回の事件を受けて、事業を止めるわけにはいかないものの、セキュリティ対策も強化しています。一番面倒なのはSafeウォレットのブラインド署名部分だと感じています。私たちが今できることは、オープンソースの権限制御モジュールをいくつか用意し、それを Safe ウォレットに適用することです。この使用プロセスでは、ほとんどのトランザクション要求が自動化されているため、Safe ウォレットは基本的に一部のトークンの手動転送操作にのみ使用されます。先生方にお聞きしたいのですが、比較的簡単なリクエストですが、署名の内容を確認するために利用できるツールはありますか?
Shenyu: 実は、先ほど誰かが来週リリースすると言っていました。私たちはこの社内ツールのセットを製品化し、この安全なエンタープライズ署名ツールのセットをリリースしました。本質は、安全な秘密鍵を取得し、マシンを介していくつかのブラックリストとホワイトリストを追加することです。これには、いくつかのリスク管理テンプレートが含まれます。トークンの量、トランザクション速度の制限、ブラックリストとホワイトリストの設定など、いくつかの一般的なリスク管理措置をカスタマイズできます。さらに、AIエージェントの一部の機能と大きな損失の状況を考慮すると、この一連のプロセスを整理し、同時にリスクを管理できます。
このソリューションは、Cobo の以前のアクセス制御リストベースの契約と Argus チェーン上のパラメータ レベルの制御と組み合わされています。現時点では、これを行うことによってのみ、チェーン上で大口資金が取引されるときに安心できると感じています。これは私たちが使用している安全な方法です。
バイビット盗難事件におけるウォレットのセキュリティ問題に関するセキュリティ専門家の意見
このスペースでは、BlockSec CEO の Zhou Yajin 教授、OneKey 最高成長責任者の Nig 氏、Cobo 最高セキュリティ責任者の Moon 氏も意見を述べました。
バイビット事件における取引所のセキュリティ問題について、周亜金教授は、この事件はSafeコントラクトウォレットを使用して資金を管理する操作と実際の取引の間に矛盾があり、ウォレットが悪意を持ってアップグレードされ、資金が盗まれたことによって引き起こされたと述べました。原因はまだ公表されていません。多くのプロジェクトオーナーは、ウォレットの管理にSafeマルチ署名を使用するのが安全だと考えていますが、実際には、セキュリティは運用、非技術、技術レベルをカバーするシステム構築であるという事実を無視しています。秘密鍵の物理的なセキュリティを確保する際には、保管、署名、トランザクションの解析と解釈が不十分であったり、ユーザーフレンドリーであることからセキュリティリンクの取り扱いが不十分であったりするなど、秘密鍵の管理とトランザクションの解釈に抜け穴があります。多額の資金を多重署名で送金する場合、信頼チェーンは長いが、取引解釈と操作インターフェース情報の第三者による二重検証が不足している。そのため、契約ウォレットを使用して多額の資金を管理するには、第三者による検証と認証を導入する必要があり、ホワイトリストや分散化を設定して、契約ウォレットの柔軟な戦略制御を実現する必要がある。
Safeウォレットのフロントエンドの頻繁な改ざんと主流のマルチ署名ソリューションであるSafeのセキュリティに関して、Moon氏は、Safeソリューションと契約自体は比較的安全だが、適用時に信頼チェーンが長く、予期しない状況が発生しやすいと考えています。今回のBybitへの攻撃は、契約の問題ではなくアウトソーシングの問題である可能性が高く、日常的にセキュリティ意識を高めることの重要性を浮き彫りにしている。 Safeウォレットを安全に使用するには、垂直方向と水平方向の両方を考慮する必要があります。垂直方向の各リンクには、独立した機器などの制御可能な技術的ソリューションが必要です。水平方向のマルチ署名では、署名者による独立した検証が必要であり、信頼チェーンが長いと、ハッカーが検証をバイパスするために使用できるクロスリンクに簡単につながる可能性があります。したがって、水平方向の拡張では、署名者の数を増やすだけでなく、署名者の計画と環境が独立しており、個別に検証されていることを確認して、Safeの役割を十分に発揮する必要があります。さらに、取引所や富裕層は、契約ウォレットの使用に加えて、手動による調整や異常の監視などの厳格なメカニズムを確立し、監査に自動化プログラムを使用し、Web2攻撃を回避するためのセキュリティ意識を高める必要があります。さらに、Cobo は、Safe のマルチ署名機能を使用して、異なる署名者が独立した完全なエンドツーエンドの署名リンクを持つことができるようにする、MPC と Safe を組み合わせた管理ソリューションも開始します。
Bybit事件におけるハードウェアウォレット関連の問題について、Nig氏は、BybitはEOAウォレットを制御するためにNPCを使用していた(署名は解析しやすいため)が、Safeスマートコントラクトウォレットの署名は複雑で解析が難しく、セキュリティチームが間に合わなかった可能性があると述べた。既存のハードウェアウォレット(Ledgerなど)はパフォーマンスが限られており、複雑なスマートコントラクトの解析やブラインド署名の処理が困難です。より早く対策を講じていれば、この攻撃は回避できたはずです。ShenyuチームとOneKeyは関連する解析ツールを開発しました。 Ledger の Clear Signing はゆっくりと進歩しており、署名データはネットワーク デバイスから送信されると簡単に汚染されます。意図の一貫性を確保するには、ハードウェア ウォレットの解析だけに頼るだけでは不十分です。今回は、最初の署名者がハッキングされ、他の署名者は機器の問題により盲目的に署名したため、Bybit には早期警告がありませんでした。富裕層個人や機関は、侵入のリスクを減らすために、資金取引に関連するインターネットデバイスをオフィス機器から独立させて隔離しておくことが推奨されています。以前、環境が隔離されていなかったために、Radium がハッキングされたことがあります。
Safeのセキュリティ、サードパーティの監視機能、ブロックチェーンセキュリティにおけるAIの応用に関して、周亜金教授は、Safeの契約はこれまで非常に安全であり、複数の当事者によってレビューされてきたが、使用プロセスが長いためリスクが伴うと考えています。同社チームが開発した Falcon Safe セキュリティ システムは、第三者の観点からユーザーの取引を調査し、取引内容を分析し、送金や契約のやり取りなどの主要な取引情報についてリマインダーを提供することで、ユーザーの認知閾値を下げ、セキュリティの問題を回避します。 AIの応用面では、一方ではAIが悪事を働くコストを削減し、フィッシングツールのバッチ生成を容易にします。他方では、業界ではAIと監査の組み合わせや自動監査コードを模索しています。理想の状態には程遠いですが、AIは暗号通貨ユーザーが製品を使用するハードルを下げ、複雑なユーザー操作の問題を解決するのに役立ちます。
ハードウェアウォレットに関する問題について、Nigは、取引所が盗まれた後、一部の同業他社のように売上の大幅な増加を宣伝するために戦闘レポートを発行することはないだろうと回答した。売上の増加は良いことだが、多くの人が秘密鍵のセキュリティに注意を払い始めたばかりであることも反映している。このセキュリティ インシデントの原因はハードウェア ウォレットにあります。Ledger と Safe のパフォーマンスは期待に応えられませんでした。Safe はフロントエンドとネイティブ サポートを停止しました。前世代のハードウェアウォレットは、セキュリティ上の配慮から解析能力が限られていました。UltraやProなどの新世代製品は、ローカルの複雑な契約解析を強化し、コアトランザクション要素の解析をサポートします。Classicも重要な部分を選択して表示します。APPは主流のEVMトランザクション解析を実装し、ハードウェア側はセキュリティテストのため後日実装されます。 Safeに関しては、今後、関連する攻撃に対する防御方法のデモンストレーションや、ユーザー安全教育を実施していく予定です。今後、OKXがハードウェアウォレットへのアクセスに熱心ではないことや、機関がNPCウォレットを推進していることなど、技術の多様性にもかかわらず、署名プロセスはオンライン環境でニーモニックが露出するリスクをもたらすため、ハードウェアウォレットは常に物理的な隔離を核に展開し、ニーモニック標準のアップグレードなどの変更があっても、コアのセキュリティ防御は変わりません。
