スマートコントラクト監査サービスは、セキュリティを高め、重大なインシデントのリスクを回避するために重要な役割を果たしています。大手監査プラットフォームのImmunefiによると、2022年にはハッキングによってWeb3業界全体で37億7,390万USD(日本円で約5,600億円)の被害が発生しました。
国内では、スマートコントラクトの脆弱性に起因するインシデントを防ぐため、様々なサービスが展開されています。本記事では、スマートコントラクトの基本概念から、最新の監査サービス事例までを紹介します。
この記事でわかること
- スマートコントラクトの基本概念がわかる
- スマートコントラクトの脆弱性に起因するハッキング事例がわかる
- 最新のスマートコントラクト監査サービス事例がわかる
寄稿者Kenta Akutsu(Bunzz CEO)
■CEO / Kenta Akutsu プロフィール
2019年 経産省主催「ブロックチェーンハッカソン2019」にてコンピュータ・ソフトウェア協会賞、副賞をW受賞。同年8月、web3スタートアップとしてLasTrust株式会社を創業。2021年に1stプロダクト「CloudCerts」を上場企業に事業売却。2022年 Bunzz pte ltd創業。2ndプロダクトとして「Bunzz」をローンチ。主にブロックチェーン領域における新規事業開発の統括、ドリブンを主なフィールドとしてバリューを提供。
【登壇歴】
金融庁・日本経済新聞社主催「FIN/SUM BB 2020」、
文科省主催「スキームD」(文科省公認ピッチアクター)
【受賞歴】
B Dash Crypto 2022 Web3ピッチ優勝
日経BP「スタートアップス」にて「VC・CVCが選んだ92社」にノミネート
『Unicorn Pitches Japan』 ブロンズ受賞
『世界発信コンペティション2021』受賞
総務省後援『ASPIC IoT・AI・クラウドアワード2020』審査委員会賞
経産省主催『ブロックチェーンハッカソン2019』受賞
「世界発信コンペティション2021』 受賞。
目次
スマートコントラクトとは
スマートコントラクトとは人の手を介さずに契約内容を自動で実行してくれる仕組みのことです。
1994年に法学者/暗号学者のニック・スザボによって提唱され、イーサリアム(ETH)の考案者のヴィタリック・ブテリンが、ブロックチェーン技術を利用して開発・提供を始めたコンピュータプロトコルです。
スマートコントラクトでは、契約内容とその実行条件をあらかじめプログラムしておくことが可能です。イーサリアムには、ビットコイン(BTC)と同じようにブロックチェーン技術が用いられていますが、このスマートコントラクトという機能が備わっている点が最大の特徴といえます。
スマートコントラクトの脆弱性によるインシデントとは?
スマートコントラクトは、ブロックチェーン上のアプリケーションを構築するために必須のプログラムの一つです。NFTやDAO、DeFiといった様々なプロジェクトがありますが、それらは自律的かつ確実に実行されるスマートコントラクトによって成立しています。
一方、スマートコントラクトは通常のソフトウェア同様、セキュリティに脆弱性を持つ可能性があり、監査(Audit)と呼ばれるセキュリティチェックを行うことが慣例となっています。
ブロックチェーン上のプログラムは通常のソフトウェアと違い、スマートコントラクトのファンクションがユーザとプロジェクトの資産をダイレクトにハンドルすることがあるため、そこに含まれる脆弱性はトークンの不正な引き抜きやプロジェクトが破綻するリスクを意味します。Web3において監査が必須となっているのは、こういったダウンサイドが大きいことが理由です。
この記事の後半では監査の方法やソリューションを具体的にご紹介しますが、まずはどのようなインシデントが発生したのかケーススタディでご紹介します。
ブロックチェーン事業におけるハッキングの被害額
引用:CRYPTO LOSSES IN 2022 - Immunefi
大手監査プラットフォームのImmunefiによると、ハッキングによってWeb3業界全体で37億7,390万USD(日本円で約5,600億円)の被害が発生しました。(2022年のみで)
引用:CRYPTO LOSSES IN 2022 - Immunefi
プロジェクトによってはクリティカルな被害によってエコシステム自体が崩壊し、運用を断念するケースも発生しています。
スマートコントラクトの脆弱性が原因で発生したインシデントの実例
スマートコントラクトの脆弱性が原因で発生したインシデントとして、代表的には次の実例が挙げられます。
プロジェクト名 | インシデント | 被害額 |
The DAO | イーサリアム上の非中央集権ファンド「The DAO」のスマートコントラクトがハッキングされ、不正にETHを引き抜かれた。(攻撃手法はリエントランシーアタック) | 約7,000万ドル |
Bancor | 攻撃者は、Bancorのスマートコントラクトがウォレットのアドレスを更新する機能の不備を突き、被害者の送金処理において、ウォレットアドレスに自分のアドレスを設定しトークンを不正に引き出した | 約2,350万ドル |
Qubit | 攻撃者は、スマートコントラクトの不備を突き、自分がブリッジに入金していないにもかかわらず、入金したかのようにプログラムを誤認識させ、不正に資金を引き出した。 | 約8,000万ドル |
The DAO
The DAOとは、イーサリアム(ETH)上のプロジェクトである分散型自律組織です。投資先をファンド参加者の投票で決め、利益が上がれば投資者に配分するというシステムを採用していました。
2016年5月にICOを開始し、当時のICO額としては最高の約150億円もの資金を集めました。The DAOは、投資家が預けている資金をDAOから切り離して新しいDAOを作成できる「スプリット」という機能を持っていました。通常、このスプリットは一度行うと処理が完了しますが、資金の移動が完了する前に何度もスプリットを繰り返すことができるというバグ(リエントランシー)が発生しました。The DAOのICOではこの脆弱性が悪用され、集めた資金の3分の1以上にあたる約360万ETH、当時の価格で約7,000万ドル(約52億円相当)の額が盗まれる事件が発生しました。
Bancor
引用:Bancor
Bancor(バンコール)とは、2017年にサービスを開始した分散型取引所(DEX)です。日本時間2018年7月9日午前10時56分に公式ツイッターで、Bancorはセキュリティー侵害を受けたことを明かしました。
盗まれた通貨はイーサリアム(ETH)をはじめとした複数の通貨で、被害額は約2,350万ドル(約15億円相当)にのぼるといわれています。攻撃者は、Bancorのスマートコントラクトがウォレットのアドレスを更新する機能の不備を突き、被害者の送金処理において、ウォレットアドレスに自分のアドレスを設定しトークンを不正に引き出しました。
Qubit
Qubitとは、分散型金融(DeFi)サービスを提供するQubit Financeを運営しているプロジェクトです。2022年1月27日の午後5時(アメリカ東部時間)に、Qubit Financeはスマートコントラクトの脆弱性を突かれ、8,000万ドル相当の暗号資産が流出しました。
Qubit FinanceはイーサリアムとBinance Smart Chain(BSC)ネットワークの間でブリッジを運用しています。 ハッカーはQubit Financeのスマートコントラクトコードにあるセキュリティ上の欠陥を狙い、0 ETHの預金と引き換えに8,000万ドル相当を超えるバイナンスコイン(BNB)を引き出しました。
インシデントを回避する「スマートコントラクトの監査(Audit)」とは?
スマートコントラクトの監査には特定の知識とスキルが必須のため、専門のサービスを利用する必要があります。最もライトなものではBotや静的監査ツールなどがあり、個人の監査人やバグバウンティプラットフォーム、そして大手の監査ファームが利用可能です。それぞれの特徴は下記の通りです。
カテゴリ | 概要説明 | コスト感 | 監査の精度 |
Bot | コードのバグや脆弱性を検出できる開発者向けの自動化ツール。コードの改善に使用される | 低 | 低 |
Static analytics tool(Slither等の静的解析ツール) | 静的解析を用いてコード内の問題点を分析できる。コードの改善に使用される | 低 | 低 |
フリーランスの監査人 | 専門知識のある監査人がマニュアルでコントラクトの監査を実施。上記のBotや解析ツールを併用することが多い。 | 低〜中 | 低〜中 |
バグバウンティプラットフォーム(Code4rena、Immunefi等) | 複数のフリーランスの監査人で構成されるコミュニティで、監査依頼のあったコントラクトを精査する仕組み。バグの発見者に報酬が提供される。 | 中〜高 | 中〜高 |
大手監査ファーム | 専門かつ高スキルの監査人が所属する監査会社が綿密なチェックとセキュリティ対策を提供 | 高 | 高 |
国内プロジェクトが利用する監査サービスについて
上記の表のようにコストやスコープが大きく異なるため、プロジェクトの種類や規模に合わせて適切なサービスを選ぶ必要があります。
基本的に日本国内では複雑なDeFiプロジェクトは少なく、NFTやDAO関連のシンプルでリスクが限定的なスマートコントラクト開発がほとんどです。したがって、1監査あたり最低でも数百万円以上する大手監査ファームのサービスは大袈裟です、また、Botや静的監査ツールはあくまで「コードの改善を行うもの」であり、プロダクトレベルの監査とは言い難いため、多くのプロジェクトは個人のAuditor監査人もしくは中堅監査ファームの利用が主流です。
国内の主要なスマートコントラクト監査ファーム「Bunzz Audit」
国内では「Bunzz Audit」という監査ファームがローンチされ、ブロックチェーン関連プロジェクト向けに適切なコストで高精度の監査を提供しています。
同サービスは従来の大手監査ファームで人間が行っていた脆弱性スキャンの作業を、スマートコントラクトのセキュリティに特化したAIで代替することにより、コストを大幅に削減しつつ、精度の高い包括的な監査を行っています。
価格は1,791ドルから利用可能となっており、大手監査ファームよりも安価(フリーランスの監査人と同レベル)で、精度の高い監査を提供しているとのこと。
Bunzz Auditの実績
国内外の監査を手掛けており、国内発のプロジェクトでは上場企業が提供するNFTプロジェクトや、LOCKON Finance、Futaba Protocol等に監査を提供した実績があります。Bunzz Auditは無料相談を受け付けており、下記から問い合わせが可能です。
https://9vi3topj6b2.typeform.com/to/EAb8IHmA
スマートコントラクト監査まとめ
以上、スマートコントラクトの監査の必要性とソリューションについて見てきました。ブロックチェーン関連事業は攻めだけでなく「守り」も重要なファクターです。多くのハッキングが起きた歴史を持つWeb3領域において、コンシューマもプロジェクトがセキュリティをケアしているかを気にしています。将来的なインシデントを未然に防ぎ、安全な運用でビジネスを拡大していきましょう。