暗号プラットフォーム、そして投資家は長い間、ハッカーの攻撃やエクスプロイトの被害に苦しんできました。いま、その脅威をさらに悪化させているのが人工知能(AI)です。
こうした見方を示したのは、暗号ウォレット提供事業者Ledgerの最高技術責任者(CTO)であるCharles Guillemet氏です。同氏は、AIツールによってシステムを攻撃することがより速く、より安くできるようになったことで、サイバーセキュリティの経済性が崩れつつあると述べました。
「脆弱性を見つけて、それを悪用することが、本当に、本当に簡単になります」と、Guillemet氏はCoinDeskのインタビューで語りました。「攻撃のコストがゼロまで下がっています。」
同氏の発言は、暗号資産の強奪(クリプト強盗)が再び見出しをにぎっていることとも符合します。今週だけでも、Solanaベースの分散型金融(DeFi)プロトコルであるDriftが悪用され、攻撃者は2億8500万ドル相当のデジタル資産を吸い上げました。これは、今年ここまでで最も深刻なエクスプロイトの1つです。その1週間前には、利回りプロトコルのResolvへの攻撃により、損失が2500万ドルに達しました。
DefiLlamaのデータによると、過去1年のあいだに暗号への攻撃で盗まれた、または失われた資産は合計で14億ドル超にのぼります。
セキュリティは長い間、不均衡に依存してきました。つまり、システムをハッキングすることは、得られる可能性のある報酬よりも難しく、費用も高くなければならない、という考え方です。
しかしAIが、その優位性を浸食しています。ソフトウェアのリバースエンジニアリングやエクスプロイトの連鎖のように、かつて熟練した研究者が数か月かけていた作業も、適切なプロンプトさえあれば、いまでは数秒で実行できるようになりました。
コードがしばしば大規模な資金プールを制御する暗号の世界では、この変化が賭け金を引き上げます。
「あなたは完璧である必要がある」と、Guillemet氏はブロックチェーン・プロトコルを開発するチームに警告しました。
問題は、AIが生成したコードによってさらに深刻化する点です。より多くの開発者がAIツールに依存するようになれば、脆弱性はより速いスピードで拡散する可能性があります。
「『安全にする』ためのボタンはありません」と同氏は述べました。「私たちは、設計上不安全になり得る大量のコードを生み出すことになります。」
暗号プロトコルにとって、それはセキュリティをゼロから作り直すことを意味します。
Guillemet氏は、コードを検証するために数学的な証明を用いる形式的検証(formal verification)は、バグを見逃す可能性がある従来の監査よりも強力なアプローチになると指摘しました。
ハードウェアに基づくセキュリティも別の層だと同氏は述べました。ハードウェアウォレットのようなデバイスは、秘密鍵をインターネット接続されたシステムから切り離し、露出を減らします。
「インターネットにさらされていない専用のデバイスがあるなら、それは設計上、より安全です」と同氏は語りました。
こうした考え方は、マルウェアがより高度になっていることもあり、ますます重要性を増しています。Guillemet氏は、侵害された電話をスキャンしてウォレットのシードフレーズを探し、ユーザーの操作なしでハッカーが資金を吸い上げられるようにする攻撃について説明しました。
一般の暗号ユーザーに対するGuillemet氏のメッセージは、端的です。システムは失敗するし、失敗するものだと考えるべきだ、ということです。
「あなたが使っている大半のシステムは信用できません」とGuillemet氏は述べました。
それは、より多くのユーザーをコールドストレージへ向かわせ、より強固な運用上のセキュリティを採用し、機微なデータをオフラインで保持することにつながるかもしれません。それでもリスクはソフトウェアの外にも及び、暗号資産の保有者を狙う物理的な攻撃も含まれます。
Guillemet氏は、今後の分断を見込んでいます。ウォレットやプロトコルのような重要なシステムは、セキュリティに多額の投資をして適応するでしょう。しかし、より広いソフトウェア・エコシステムの多くは、それについていくのが難しいかもしれません。
「本当に、すべてをハッキングするほうが簡単になっています」と同氏は述べました。
関連記事
イーサリアム財団もそれを使っている!CoW Swap のフロントエンドがハッキングされ、DeFiの大物は許可(revoke)の取り消しを推奨
RAVEが急騰して山寨(コピー)コインの熱狂を爆発させる中、FFとINXが「ポンプ・アンド・ダンプ(釣り上げて売り抜ける)」の手口を暴露
