インタビュー | 暗号資産の回復は神話、予防が重要：Circuit

暗号資産ハッキングの被害者は、しばしば悪徳な資産回収業者によって二度被害に遭っていると、Circuit社のCEO、Harry Donnellyは述べています。

暗号資産の採用は増加しており、参加する人々の数も増えています。しかし、長年のイノベーションにもかかわらず、暗号資産は最も脆弱なユーザーの一部に対して依然として失敗しています。最近の事件では、米国の退職者がコールドウォレットを知らずに危険にさらし、300万ドル相当のXRPを失いました。

この事件は、セキュリティーが暗号資産における最重要課題であることを示しています。このため、crypto.newsは暗号資産セキュリティ企業CircuitのCEO、Harry Donnellyに話を聞きました。彼は、なぜエコシステムが今年だけで30億ドル以上をハッキングによって失ったのか、そしてなぜ資産回収が通常非常に困難であるのかを説明しました。

Crypto.news: 最近、ウォレット所有者がハッキングによって生涯の貯蓄を失うというセキュリティインシデントを目にしました。これは暗号資産のセキュリティについて何を教えてくれますか？

Harry Donnelly: これはXRPウォレットの事件です：米国の退職者とされる人物が約300万ドル相当のXRP、つまり退職金を失いました。ZacXBTがXでこれについて投稿しました。被害者は警察に届け出ようとしたが、法執行機関に連絡が取れなかったと言っています。その資金はその後、約120の取引を通じてマネーロンダリングされました。

被害者が暗号資産に詳しくなく、ステップを追跡するためのラップトップへのアクセスがないため、正確な攻撃ベクトルの完全な確認はできません。しかし、このような事例では、デバイスをスキャンしてシードフレーズやその他の秘密情報を探すマルウェアが関与していることがよくあります。

この場合、その人はEllipalから購入したコールドウォレットを持っていると思っていましたが、シードフレーズをラップトップにインポートしてしまいました。これによりコールドストレージの意味がなくなります：シードフレーズがインターネットに接続されたマシンに存在すると、ハードウェアウォレットの保護は事実上なくなってしまいます。

CN: ZacXBTは多くの資産回収業者が疑わしいと言っています。あなたの見解は？

HD: 全くその通りです。人々が絶望的になると、悪質な行為者が彼らを餌食にします。最悪の行為者はしばしばSEO最適化されたページを作成し、誰かが必死に「盗まれた暗号資産を回収する」と検索したときに最初に表示されるようにします。

正当な資産回収は困難です。暗号資産は持参人資産です：鍵の所有権がそのまま所有権を意味します。銀行に電話してオンチェーン送金を取り消すことはできません。正当な資産回収業者は通常、法執行機関と協力し、ChainalysisやTRM Labsのようなブロックチェーンフォレンジックツールを使用し、資金を追跡し、法的通知で取引所にアカウントを凍結させようとする法的な事業者です。

しかし、それは資金がKYC取引所に到達し、その取引所が協力する意思と能力があり、かつ管轄区域が協力的である場合にのみ機能します。攻撃者はしばしば資金を非協力的な取引所やミキシングサービスに送ります。昨年、これらの方法で回収された資産は5%未満でした。

略奪的な業者は基本的なスキャンに対して1万ドルのような高額な手数料を請求し、被害者に虚偽の情報を与えるレポートを作成します。例えば、Tornado Cashにメールを送るように指示しますが、それは無意味です。

CN: つまり、資産回収は難しいようですね。代替案は何ですか？

HD: 資産回収の可能性が低いため、予防が重要です。Circuitはハッキング後の資産回収に頼るのではなく、損失を防ぐことに焦点を当てています。資金がウォレットから出てしまうと、回収の可能性は低くなります。盗難が発生する前に阻止することの方が、成功確率がはるかに高いのです。

損失モードは2つあります：(1)プライベートキーへのアクセスを失う（資金にアクセスできなくなる）、または(2)他の誰かがプライベートキーを入手する（資金が盗まれる）。Circuitは鍵だけを保護するのではなく、資産を直接保護することでこの両方に対処します。

私たちは自動資産抽出と呼ぶものを構築しています。プライベートキーを保護するだけでなく、事前に定義されたバックアップウォレットに資金を移動する署名済みトランザクションを事前に作成します。これらのトランザクションは事前に作成され、暗号化され、保存されます—正当なユーザーがトリガーしない限り、決して送信されません。

CN: では、その大きな赤いボタンを誰が制御するのですか？

HD: ユーザーが制御します。彼らは私たちのウェブアプリに入り、2段階認証を使用してアイデンティティを確認し、ボタンを押します。それによってトランザクションが復号化され送信され、資金はバックアップウォレットに移動します。

私たちは事前署名されたトランザクションを暗号化して保存しますが、それを復号化してトリガーできるのはユーザーだけです。彼らは事前に送信先アドレスを定義し、私たちはそのアドレスを変更することはできません。一度署名されると、それはロックされます。私たちのシステムは単にそれを安全に保持し、必要なときにユーザーがトリガーできるようにするだけです。

CN: 現在、このサービスを利用しているのは誰ですか？

HD: 現在は、すべて機関投資家と企業です。まだ個人ユーザー様にはサービスを提供していません。私たちのパートナーは取引所、資産管理者、OTC取引デスクです。これらは大きな金額とクライアントの資産を管理している人々です。彼らにとって、ダウンタイムやアクセスの喪失は壊滅的な結果をもたらす可能性があります。

一例はShift Marketsです。私たちは彼らが協力している150の取引所全体に私たちの技術を展開しています。これらの取引所は数時間でも資金へのアクセスを失う余裕がありません。

機関投資家にとって、それは単に盗難を防ぐだけではありません。時には誰かが署名デバイスを紛失したり、Fireblocksのようなサービスがダウンしたりすることがあります。それによってすべての操作が停止する可能性があります—入金も出金もできなくなります。

Circuitを使用すれば、数日間ダウンしている代わりに数分以内に回復できます。そして彼らにとって、それは評判を守ることを意味します—そして顧客維持のために数百万ドルを節約することになります。

CN: ユーザーはバックアップウォレットをどのように選択すべきですか？別のハードウェアウォレット、取引所アカウント、またはカストディアンであるべきですか？

HD: 良い質問です。私たちはバックアップウォレットがプライマリと同じくらい安全であることを推奨しています。つまり、異なるウォレットプロバイダーを使用し、異なる場所に鍵を保存し、インフラストラクチャが同じ場所に配置されていないことを確認することを意味します。両方の鍵セットを同じ金庫やサーバーに保存したくはありません。

また、単一障害点を避けるために、クォーラム承認—4人または6人の目のポリシー—を強制しています。ほとんどの大規模機関はすでにこの方法で運営しています。一部はプライマリとバックアップウォレットに異なるMPCまたはマルチシグ・ウォレット設定を使用しています。他の機関は異なる安全施設や異なる管轄区域を使用しています。考え方は：一つのシステムに災害が発生しても、もう一方は影響を受けないということです。

また、主要な保険会社とも協力しており、彼らはこれをリスク軽減策として認識しています。多くの暗号資産保険請求はアクセスの喪失や盗まれた資金に関するものです。Circuitの技術を追加することで、企業はリスクが低くなります。そのため、保険プロバイダーは私たちを利用するクライアントに割引を提供します。それにより保険がより利用しやすくなり、結果として暗号資産にさらに多くの機関資本が流入します。

CN: 実際に誰かが赤いボタンを使用しなければならなかったケースはありましたか？

HD: はい、実際のケースと制御されたテストの両方で赤いボタンを使用しました。ホワイトハットやシミュレーション環境で攻撃者に意図的にアクセスを与え、資金を盗もうとさせたこともあります。毎回、それは持ちこたえました。私たちのエンジニアリングチームはエッジケースや実世界の脅威をカバーしていることを確認するために懸命に働いてきました。

私たちはこの分野で最大のプレーヤーの一部と協力しており、彼らは独自にテストを行っています。次の1、2ヶ月以内に、それらの検証の一部を紹介する公式発表を行う予定です。

CN: 機関投資家にとって、典型的な障害シナリオは何ですか？

HD: それは彼らのウォレット設定によります。Fireblocksのような非カストディアルサービスを使用している場合、機関はある程度の責任を負います—Fireblocksがダウンしたり利用できなくなったりしても、彼らは自分のウォレットにアクセスできなければなりません。

CoinbaseやAnchorageのような完全なカストディアルソリューションを使用している場合、それらのプロバイダーはすべてをエンドツーエンドで管理します。しかしFireblocksでは、鍵のシャードや署名デバイスへの独自の安全なアクセスが必要です。

したがって、Fireblocksに依存する取引所を想像してみてください。そして彼らがデバイスを紛失した場合—おそらく誰かの電話やYubiKeyです。それによって一時的にロックアウトされ、出金や入金が停止する可能性があります。

CN: 先ほど攻撃者がより洗練されて