ミッチェル・アマドール、ImmunefiのCEOが、セキュリティ企業がどのようにして次の10億ドルのステーブルコインの悪用を防ぐために競い合っているのかを説明します。 概要
暗号通貨が主流採用に向かって進む中、ステーブルコインはオンチェーン経済の財政的基盤となっています。しかし、資本が流入し続ける一方で、これらのシステムを支えるセキュリティインフラは危険なくらい未発展のままです。
Web3セキュリティ企業ImmunefiのCEOであるミッチェル・アマドールは、私たちが「時間との競争」にあると信じています。このインタビューでは、ステーブルコインシステム内に隠れている実際のリスクや、ほとんどの機関が次の10億ドルの悪用に備えていない理由を説明しています。
Crypto.news: ステーブルコインに関する現在のセキュリティ状況について何か教えていただけますか?
ミッチェル・アマドール: 我々はある種の勇敢な新世界にいます。私たちは過去数年間に使用してきたセキュリティ対策が本当に効果を発揮したのかどうかを今まさに見つけ始めているところです。
一方で、しばらくの間、重大なステーブルコインのハッキングは見られていません。初期のDeFiハッキングや、シリコンバレー銀行の崩壊時にUSDCがペッグを外れた問題などの事件を振り返ることができます — それらは深刻な出来事でしたが、それ以降、その規模のものは発生していません。
人々はステーブルコインのセキュリティについてかなり良い気持ちを抱いています。しかし真実は、私たちは本当に物事が安全かどうかわからないということです。比較のために、MakerDAO、Aave、またはCompoundのようなものに自信を持つまでにどれくらいの時間がかかったかを考えてみてください。その信頼を築くのに何年もかかりました。ステーブルコイン、特に分散型のものは、これらのプロトコルよりもまだ成熟していません。
私たちは今後数年でシステムにさらに1兆ドルのステーブルコイン流動性を追加する予定です。本当の質問は:私たちはそのような価値を壊滅的な失敗なしに吸収する準備ができているのか?私はまだその答えを知らないと思います — そして私たちは厳しい方法でそれを知るかもしれません。
CN: ハッキングリスクについてはどうですか?
MA: それが私が最も懸念しているリスクです。私たちは金融の不安定化イベントを見てきました — ペッグ解除、レバレッジの巻き戻し、さらには救済 — それらを管理する方法は知っています。しかし、ハッキングに関しては、常にブラックスワン要因があります。
ステーブルコインを標的とした大規模なハッキングは、暗号通貨全体を非合法化する可能性があります。数千億ドルに影響を与えるスマートコントラクトの脆弱性や、他のプロトコルを支えるコアのステーブルコイン資産のバグを想像してみてください。それはサイエンスフィクションではありません。可能性があります。
Immunefiの観点から見ると、私たちが監査するプロジェクトの90%以上に重大な脆弱性があります — ステーブルコインシステムを含めて。良いニュースは、私たちが多くの進展を遂げたことです。数年前、私たちが関わったほぼすべてのプロジェクトは、数年以内に侵害を経験していました。今日では、それは半分未満です — まだ高いですが、改善されています。
それでも、私たちは基本的に、準備が整っていない可能性のあるコードに全エコシステムを賭けていることになります。そして、圧力の下でテストされるまで、それが本当にどうなるかはわかりません。私はそれをカウントダウン時計のように考えます。USDCやUSDTのようなステーブルコインが展開される瞬間から、重大な悪用のリスクがカウントダウンを始めます。
契約がより複雑になり、機能が増えるにつれて、リスクも増加します。一方で、時計の反対側では、セキュリティインフラの改善に向けて急いでいます — バグバウンティ、ファイアウォール、AIベースの脆弱性スキャナー、ブラックリストツール。これらは、そのカウントダウンに「時間を追加する」手助けをしています。
レースは:壊滅的なハッキングが発生する前に、これらのシステムを十分に迅速に確保できるかどうかです。
今、私たちはそのレースの真っ只中にいます — そして、私たちは成功するかもしれません。大規模な失敗が決して起こらないほど安全になる可能性があります。しかし、まだ確信はありません。次の2年は重要です。
CN: ステーブルコインにおけるスマートコントラクトの脆弱性の最大の原因は何ですか?
MA: リスクはほとんどのDeFiアプリと似ていますが — いくつかの違いがあります。ほとんどのステーブルコインは分散型ではないため、通常、ガバナンスに関連する問題はありません。しかし、2つの主要な脆弱性クラスがあります:
コードリスク — スマートコントラクトは、操作されやすい方法で書かれることがあります。数学的なエラー、欠陥のある償還ロジック、オラクルの誤用などを見てきました — これらはすべて大規模な悪用につながる可能性があります。これが、初期のステーブルコインハックが発生した理由です。
アクセス制御 — 多くのステーブルコインは中央集権的であり、これは発行者によって制御される特権的な機能 — 例えば、発行や償還 — があることを意味します。もし誰かがその制御を侵害した場合、全体のシステムが崩壊する可能性があります。PayPalの問題を思い出すかもしれませんが、誰かが誤って$300 兆PYUSDを発行したことがありました。それは無害なミスでしたが、可能性を示しています。
金融リスクは現実です。私たちはSVB危機の際にCircleでそれを目にしました — 悪い担保のせいではなく、流動性の圧力のためです。資産が技術的に存在していても、償還の急増は「銀行の取り付け騒ぎ」のシナリオを生み出す可能性があります。
法的リスクも増加しています。政府は介入することができ、そして介入するでしょう。しかし、これらはスマートコントラクトの意味での「証券」問題ではなく、より広範な安全性の懸念です。それらを管理するためには全く異なるツールセットが必要です。
CN: あなたが説明しているリスクについて、機関や銀行は理解していると思いますか?
アマドール:そうでもないです。彼らは財務リスクと法的リスクを理解しています — それが彼らの世界です。しかし、コードリスクに関しては、彼らはほとんどただ恐れているだけです。
彼らは自分たちが手に負えないことを理解しています。彼らは学ぼうとしており、暗号ネイティブのチームを雇い、PrivyやBridgeのようなインフラスタートアップを買収しています。しかし、ほとんどの人はまだ安全だとは感じていません。彼らはスマートコントラクトの脆弱性を、自分たちが解決することができない外国の問題と見なしており、その通りです。
彼らはキー管理とアクセス制御にもっと慣れており、それは彼らのレガシープロセスに合っています。しかし、暗号スタックの深い部分に入ると、それは彼らにとって異質な領域になります。
CN: 何が彼らをより早く動かすことを納得させるでしょうか?
MA: FOMO。それだけです。彼らはビジネスケースが必要です—逃したくない大きな機会です。そうすれば、リスクを理解するために投資します。そこに私たちImmunefiが登場します:これらの機関がどのように自分自身を守るかを見極める手助けをします。
CN: 今日、暗号プロジェクトはスマートコントラクトリスクを管理するために実際に何をすべきでしょうか?
MA: 私たちは「デフォルトで安全」になることを目指す必要があります。それが目標です。私たちは今、強力なツールを持っています — ファジング、形式的検証、AI駆動の静的解析 — その多くはImmunefiで先駆的に開発されたものです。しかし、導入はまだ低すぎます。ほとんどのチームは、監査やバグバウンティを一度きりのチェックリストとして扱っています。それでは不十分です。
真剣なプロジェクトがすべきことは次の通りです:
AI脆弱性検出 (PRレビュー): 新しいコードのすべての行をマージする前に自動化された+人間によるスキャン。
監査:伝統的な監査と、数十人または数百人のハッカーがコードをレビューする監査コンペティションの両方。
バグバウンティ:リスクにさらされる金額に応じた意味のある報酬。
監視ソリューション:展開後のリアルタイム脅威検出。
ファイアウォール: 悪意のある取引が実行される前にブロックする契約レベルの「バウンサー」。
このフルスタックを実行すれば、損害を引き起こす前に脆弱性をキャッチするための5つの明確なチャンスを自分に与えることができます。それでも、1%未満のプロジェクトがファイアウォールを使用しており、10%未満がAI脆弱性ツールを使用しています。これは大きなギャップであり、解決可能なものです。
CN: 契約をより安全にする他の要因 — 例えば言語設計やアーキテクチャ — はありますか?
MA: はい、しかしそれはアプリによります。シンプルな契約は常に安全です。だからこそ、ERC-20契約はほとんどハッキングされることがありません — それらは小さく、厳密で、十分にテストされています。あなたのロジックが複雑になるほど、リスクが増します。
アップグレード可能性はもう一つの大きな要因です。それはUXの柔軟性を加えますが、バックドアを導入します。理想的には、あなた自身だけがそれを使用しますが、私たちはそれが悪用される多くのケースを見てきました。それでも、今日のほとんどのプロジェクトは、採用のためにトレードオフが価値あるため、アップグレード可能性を選択しています。
CN: 最後の考え — 誰も十分に話していない重要な問題は何ですか?
MA: 確かに。最大の盲点の一つはプロトコルの責任に関することです。オンチェーンシステムにお金が流入するにつれて、法的な状況は急速に変化するでしょう。いつか誰かが尋ねるでしょう:何かが壊れたとき、誰が責任を持つのか?私たちはまだその明確な答えを持っていませんが、それは来るでしょうし、プロトコルの構築とガバナンスの方法を再形成するでしょう。
もう一つ私が考えることは、暗号の文化がどれほど変わっているかということです。金融になりつつあります。それを感じることができます。初期のビルダーはイデオロギーを持った人々であり、分散化とオープンシステムの真の信者でした。今、私たちはこの分野に非常に異なるアプローチを持つ金融専門家の波を見ています。それは必ずしも悪いことではありませんが、倫理が変わりつつあり、その変化の長期的な結果が何になるのかはまだ分かっていません。
そして、可逆性の問題があります。機関がオンチェーンに移行するにつれて、現在ほとんどのパブリックチェーンには存在しない機能を要求し始めます。その1つが、取引を逆転させる能力です。
私は、より多くのチェーン、場合によっては主要なものが、その機能を提供し始めるのを目にすると思います。特に許可された、または半許可された環境においてです。それは、従来の金融により似た挙動をする新しいクラスのブロックチェーンインフラを作り出します — 閉じられた庭とオープンな世界への橋。
これらすべては、人々が見落としていると思うことに結びついています:暗号のセキュリティがついに注目を浴びる時が来ようとしています。今日でもまだ過小評価されていますが、資金からDAO、銀行に至るまで、すべての主要なプレーヤーが最終的にはオンチェーンのレールに依存することが明らかになりつつあります。
そしてそれは、彼ら全員が真剣な保護を必要とすることを意味します。私は、私たちがセキュリティインフラストラクチャの大きな爆発の始まりにいると思っており、それがどのようなものになるかについて誰も本当に準備ができていないと考えています。
<br>
6.5K 人気度
4.9K 人気度
7K 人気度
1.9K 人気度
82.2K 人気度
GM
GCAT
芝麻开门
GDOG
GING
インタビュー | ステーブルコインのセキュリティは時間との戦い: Immunefy CEO
暗号通貨が主流採用に向かって進む中、ステーブルコインはオンチェーン経済の財政的基盤となっています。しかし、資本が流入し続ける一方で、これらのシステムを支えるセキュリティインフラは危険なくらい未発展のままです。
Web3セキュリティ企業ImmunefiのCEOであるミッチェル・アマドールは、私たちが「時間との競争」にあると信じています。このインタビューでは、ステーブルコインシステム内に隠れている実際のリスクや、ほとんどの機関が次の10億ドルの悪用に備えていない理由を説明しています。
Crypto.news: ステーブルコインに関する現在のセキュリティ状況について何か教えていただけますか?
ミッチェル・アマドール: 我々はある種の勇敢な新世界にいます。私たちは過去数年間に使用してきたセキュリティ対策が本当に効果を発揮したのかどうかを今まさに見つけ始めているところです。
一方で、しばらくの間、重大なステーブルコインのハッキングは見られていません。初期のDeFiハッキングや、シリコンバレー銀行の崩壊時にUSDCがペッグを外れた問題などの事件を振り返ることができます — それらは深刻な出来事でしたが、それ以降、その規模のものは発生していません。
人々はステーブルコインのセキュリティについてかなり良い気持ちを抱いています。しかし真実は、私たちは本当に物事が安全かどうかわからないということです。比較のために、MakerDAO、Aave、またはCompoundのようなものに自信を持つまでにどれくらいの時間がかかったかを考えてみてください。その信頼を築くのに何年もかかりました。ステーブルコイン、特に分散型のものは、これらのプロトコルよりもまだ成熟していません。
私たちは今後数年でシステムにさらに1兆ドルのステーブルコイン流動性を追加する予定です。本当の質問は:私たちはそのような価値を壊滅的な失敗なしに吸収する準備ができているのか?私はまだその答えを知らないと思います — そして私たちは厳しい方法でそれを知るかもしれません。
CN: ハッキングリスクについてはどうですか?
MA: それが私が最も懸念しているリスクです。私たちは金融の不安定化イベントを見てきました — ペッグ解除、レバレッジの巻き戻し、さらには救済 — それらを管理する方法は知っています。しかし、ハッキングに関しては、常にブラックスワン要因があります。
ステーブルコインを標的とした大規模なハッキングは、暗号通貨全体を非合法化する可能性があります。数千億ドルに影響を与えるスマートコントラクトの脆弱性や、他のプロトコルを支えるコアのステーブルコイン資産のバグを想像してみてください。それはサイエンスフィクションではありません。可能性があります。
Immunefiの観点から見ると、私たちが監査するプロジェクトの90%以上に重大な脆弱性があります — ステーブルコインシステムを含めて。良いニュースは、私たちが多くの進展を遂げたことです。数年前、私たちが関わったほぼすべてのプロジェクトは、数年以内に侵害を経験していました。今日では、それは半分未満です — まだ高いですが、改善されています。
それでも、私たちは基本的に、準備が整っていない可能性のあるコードに全エコシステムを賭けていることになります。そして、圧力の下でテストされるまで、それが本当にどうなるかはわかりません。私はそれをカウントダウン時計のように考えます。USDCやUSDTのようなステーブルコインが展開される瞬間から、重大な悪用のリスクがカウントダウンを始めます。
契約がより複雑になり、機能が増えるにつれて、リスクも増加します。一方で、時計の反対側では、セキュリティインフラの改善に向けて急いでいます — バグバウンティ、ファイアウォール、AIベースの脆弱性スキャナー、ブラックリストツール。これらは、そのカウントダウンに「時間を追加する」手助けをしています。
レースは:壊滅的なハッキングが発生する前に、これらのシステムを十分に迅速に確保できるかどうかです。
今、私たちはそのレースの真っ只中にいます — そして、私たちは成功するかもしれません。大規模な失敗が決して起こらないほど安全になる可能性があります。しかし、まだ確信はありません。次の2年は重要です。
CN: ステーブルコインにおけるスマートコントラクトの脆弱性の最大の原因は何ですか?
MA: リスクはほとんどのDeFiアプリと似ていますが — いくつかの違いがあります。ほとんどのステーブルコインは分散型ではないため、通常、ガバナンスに関連する問題はありません。しかし、2つの主要な脆弱性クラスがあります:
コードリスク — スマートコントラクトは、操作されやすい方法で書かれることがあります。数学的なエラー、欠陥のある償還ロジック、オラクルの誤用などを見てきました — これらはすべて大規模な悪用につながる可能性があります。これが、初期のステーブルコインハックが発生した理由です。
アクセス制御 — 多くのステーブルコインは中央集権的であり、これは発行者によって制御される特権的な機能 — 例えば、発行や償還 — があることを意味します。もし誰かがその制御を侵害した場合、全体のシステムが崩壊する可能性があります。PayPalの問題を思い出すかもしれませんが、誰かが誤って$300 兆PYUSDを発行したことがありました。それは無害なミスでしたが、可能性を示しています。
金融リスクは現実です。私たちはSVB危機の際にCircleでそれを目にしました — 悪い担保のせいではなく、流動性の圧力のためです。資産が技術的に存在していても、償還の急増は「銀行の取り付け騒ぎ」のシナリオを生み出す可能性があります。
法的リスクも増加しています。政府は介入することができ、そして介入するでしょう。しかし、これらはスマートコントラクトの意味での「証券」問題ではなく、より広範な安全性の懸念です。それらを管理するためには全く異なるツールセットが必要です。
CN: あなたが説明しているリスクについて、機関や銀行は理解していると思いますか?
アマドール:そうでもないです。彼らは財務リスクと法的リスクを理解しています — それが彼らの世界です。しかし、コードリスクに関しては、彼らはほとんどただ恐れているだけです。
彼らは自分たちが手に負えないことを理解しています。彼らは学ぼうとしており、暗号ネイティブのチームを雇い、PrivyやBridgeのようなインフラスタートアップを買収しています。しかし、ほとんどの人はまだ安全だとは感じていません。彼らはスマートコントラクトの脆弱性を、自分たちが解決することができない外国の問題と見なしており、その通りです。
彼らはキー管理とアクセス制御にもっと慣れており、それは彼らのレガシープロセスに合っています。しかし、暗号スタックの深い部分に入ると、それは彼らにとって異質な領域になります。
CN: 何が彼らをより早く動かすことを納得させるでしょうか?
MA: FOMO。それだけです。彼らはビジネスケースが必要です—逃したくない大きな機会です。そうすれば、リスクを理解するために投資します。そこに私たちImmunefiが登場します:これらの機関がどのように自分自身を守るかを見極める手助けをします。
CN: 今日、暗号プロジェクトはスマートコントラクトリスクを管理するために実際に何をすべきでしょうか?
MA: 私たちは「デフォルトで安全」になることを目指す必要があります。それが目標です。私たちは今、強力なツールを持っています — ファジング、形式的検証、AI駆動の静的解析 — その多くはImmunefiで先駆的に開発されたものです。しかし、導入はまだ低すぎます。ほとんどのチームは、監査やバグバウンティを一度きりのチェックリストとして扱っています。それでは不十分です。
真剣なプロジェクトがすべきことは次の通りです:
AI脆弱性検出 (PRレビュー): 新しいコードのすべての行をマージする前に自動化された+人間によるスキャン。
監査:伝統的な監査と、数十人または数百人のハッカーがコードをレビューする監査コンペティションの両方。
バグバウンティ:リスクにさらされる金額に応じた意味のある報酬。
監視ソリューション:展開後のリアルタイム脅威検出。
ファイアウォール: 悪意のある取引が実行される前にブロックする契約レベルの「バウンサー」。
このフルスタックを実行すれば、損害を引き起こす前に脆弱性をキャッチするための5つの明確なチャンスを自分に与えることができます。それでも、1%未満のプロジェクトがファイアウォールを使用しており、10%未満がAI脆弱性ツールを使用しています。これは大きなギャップであり、解決可能なものです。
CN: 契約をより安全にする他の要因 — 例えば言語設計やアーキテクチャ — はありますか?
MA: はい、しかしそれはアプリによります。シンプルな契約は常に安全です。だからこそ、ERC-20契約はほとんどハッキングされることがありません — それらは小さく、厳密で、十分にテストされています。あなたのロジックが複雑になるほど、リスクが増します。
アップグレード可能性はもう一つの大きな要因です。それはUXの柔軟性を加えますが、バックドアを導入します。理想的には、あなた自身だけがそれを使用しますが、私たちはそれが悪用される多くのケースを見てきました。それでも、今日のほとんどのプロジェクトは、採用のためにトレードオフが価値あるため、アップグレード可能性を選択しています。
CN: 最後の考え — 誰も十分に話していない重要な問題は何ですか?
MA: 確かに。最大の盲点の一つはプロトコルの責任に関することです。オンチェーンシステムにお金が流入するにつれて、法的な状況は急速に変化するでしょう。いつか誰かが尋ねるでしょう:何かが壊れたとき、誰が責任を持つのか?私たちはまだその明確な答えを持っていませんが、それは来るでしょうし、プロトコルの構築とガバナンスの方法を再形成するでしょう。
もう一つ私が考えることは、暗号の文化がどれほど変わっているかということです。金融になりつつあります。それを感じることができます。初期のビルダーはイデオロギーを持った人々であり、分散化とオープンシステムの真の信者でした。今、私たちはこの分野に非常に異なるアプローチを持つ金融専門家の波を見ています。それは必ずしも悪いことではありませんが、倫理が変わりつつあり、その変化の長期的な結果が何になるのかはまだ分かっていません。
そして、可逆性の問題があります。機関がオンチェーンに移行するにつれて、現在ほとんどのパブリックチェーンには存在しない機能を要求し始めます。その1つが、取引を逆転させる能力です。
私は、より多くのチェーン、場合によっては主要なものが、その機能を提供し始めるのを目にすると思います。特に許可された、または半許可された環境においてです。それは、従来の金融により似た挙動をする新しいクラスのブロックチェーンインフラを作り出します — 閉じられた庭とオープンな世界への橋。
これらすべては、人々が見落としていると思うことに結びついています:暗号のセキュリティがついに注目を浴びる時が来ようとしています。今日でもまだ過小評価されていますが、資金からDAO、銀行に至るまで、すべての主要なプレーヤーが最終的にはオンチェーンのレールに依存することが明らかになりつつあります。
そしてそれは、彼ら全員が真剣な保護を必要とすることを意味します。私は、私たちがセキュリティインフラストラクチャの大きな爆発の始まりにいると思っており、それがどのようなものになるかについて誰も本当に準備ができていないと考えています。
<br>