イーサリアム財団は、昨日(10日)Xプラットフォームを通じて「1兆米ドルセキュリティプラン」の最初のレポートを正式にリリースし、ユーザーエクスペリエンス、スマートコントラクト、インフラストラクチャとクラウドセキュリティ、コンセンサスプロトコル、監視、インシデント対応と軽減、ソーシャルレイヤーとガバナンスの6つの側面をカバーしています。 (あらすじ:イーサリアムの新提案:EU GDPRデータ仕様に準拠するためのモジュラーアーキテクチャ+プライバシー強化、機能は何ですか? (背景補足:ヴィタリックが「イーサリアムの1年間の大躍進計画」を口走った:L1拡張後、スループットは10倍に増加する) イーサリアム財団は先月、イーサリアムが数十億人のユーザーが1兆ドル以上のオンチェーン資産を安全に保有できるようにサポートし、企業、機関、政府が単一のスマートコントラクトまたはアプリケーションで1つ以上の資産を保存および取引する自信を与えることを目的とした「Trillion Dollar Security(1TS)」イニシアチブの開始を発表しました 数兆ドルの価値により、イーサリアムは世界経済の「文明レベルのインフラストラクチャ」になりました。 ちょうど昨日(10日)、イーサリアム財団は、Xプラットフォームを通じてプロジェクトの最初のレポート「セキュリティチャレンジの概要」を正式にリリースしました。 このレポートでは、イーサリアムエコシステムが抱える6つの主要なセキュリティ課題を整理し、その後の優先課題に対する解決策の基礎を築いています。 このレポートのリリースは、イーサリアムがより高いセキュリティ基準を追求するための重要な一歩となります。 0. 先月、私たちはイーサリアムのセキュリティをアップグレードするためのエコシステム全体の取り組みである「Trillion Dollar Security (1TS)」イニシアチブを発表しました。 本日、イーサリアムエコシステムにおける既存のセキュリティ課題の概要をまとめた1TSレポート第1弾をリリースします。 pic.twitter.com/R1dhY34pDT — イーサリアム財団 (@ethereumfndn) 2025年6月10日 イーサリアムの6つのセキュリティ課題の詳細な分析 「イーサリアムエコシステムにおける既存のセキュリティ課題の概要」レポートによると、イーサリアム財団はユーザー、開発者、および セキュリティの専門家や機関からの広範なフィードバックに基づいて、次の6つの主要領域における課題が特定されました。 ユーザーエクスペリエンス(UX) ユーザーがイーサリアムとやり取りするインターフェースは、セキュリティ上の課題の中心的な原因であり、トランザクションの原子性(不可逆性)による単一のエラーが大きな損害を引き起こす可能性があります。 1.1秘密鍵の管理:ユーザーが秘密鍵を安全に管理することは困難であり、ソフトウェアウォレットのニーモニックは安全でなく簡単に保管され、ハードウェアウォレットは紛失、損傷、またはサプライチェーン攻撃のリスクにさらされています。 人員の異動や企業ユーザーのコンプライアンス要件により、秘密鍵の管理はより困難になっています。 1.2 ブラインド署名と取引の不確実性:ユーザーは、ウォレットに不明なデータが表示され、悪意のある契約、フィッシング、詐欺、またはフロントエンド攻撃に対して脆弱であるため、取引を盲目的に承認することがよくあります。 1.3承認と権限管理:ウォレットにはデフォルトで無制限の承認と有効期限がなく、権限管理機能がないため、悪意のあるアプリケーションが資金を使い果たすリスクが高まります。 1.4 攻撃されたWebインターフェイス:Webインターフェイスは、DNSハイジャック、悪意のあるJavaScriptインジェクションなどに対して脆弱であり、ユーザーを悪意のあるコントラクトに誘導したり、誤解を招くトランザクションに署名したりします。 1.5 プライバシー: プライバシー保護が弱いと、ユーザーはフィッシング、詐欺、または物理的な攻撃のリスクにさらされます。 機関投資家のユーザーは、コンプライアンスやビジネス上のニーズから、プライバシー保護を強化する必要があります。 1.6 断片化:ウォレットが異なれば、トランザクションの表示や承認処理などに一貫性がないため、ユーザーの学習が難しくなり、セキュリティリスクが高まります。 2. スマートコントラクトのセキュリティ スマートコントラクトは、透明性が高いため、主要な攻撃対象領域であり、監査やツールの進歩にもかかわらず、脆弱性や開発上の課題が残っています。 2.1 契約の脆弱性:アップグレードリスク、リエントラント攻撃、未監査のコンポーネント、アクセス制御の失敗、クロスチェーンプロトコルの複雑さ、AIコード生成の新たなリスクなど。 2.2 開発者の経験、ツール、およびプログラミング言語: ツールにはセキュリティプリセットが欠けており、テストカバレッジが不均一で、形式検証の採用が低く、コンパイラの欠陥があり、言語の制限があるため、安全なコントラクトをデプロイすることがより困難になります。 2.3 オンチェーンコードのリスク評価:既存のリスク評価フレームワークは、スマートコントラクトに適用するのが難しく、コードを変更して一元化できると仮定しているため、機関投資家がリスクを管理することは困難です。 3. インフラストラクチャとクラウドセキュリティ イーサリアムに依存するインフラストラクチャ(L2チェーン、RPC、クラウドサービスなど)は攻撃対象領域を構成し、中央集権化は停止や検閲のリスクを高めます。 3.1 セカンドレイヤーチェーン:L2は、資産の複雑さを橋渡しし、システムエラーを証明し、セキュリティ委員会の共謀リスクにより、資金の損失や資産の凍結につながる可能性があります。 3.2 RPCとノードインフラストラクチャ:少数のRPCおよびクラウドプロバイダーに依存すると、オフラインまたは検閲されている場合、ユーザーアクセスがブロックされる可能性があります。 3.3 DNSレベルの脆弱性:DNSハイジャック、ドメイン名の押収、および類似のドメイン名のフィッシングは、ユーザーアクセスのセキュリティを脅かします。 3.4 ソフトウェアサプライチェーンとライブラリ: オープンソースライブラリは、悪意のあるパッケージインジェクションや依存関係のハイジャックに対して脆弱であり、攻撃ベクトルとなります。 3.5フロントエンド配信サービスと関連するリスク:CDNおよびクラウドホスティングプラットフォームが攻撃された場合、悪意のあるフロントエンドを提供し、ユーザーのセキュリティに影響を与える可能性があります。 3.6 インターネットサービスプロバイダーレベルのレビュー:ISPまたは国は、トラフィックブロッキング、DNSフィルタリングなどを通じてイーサリアムにアクセスできます。 4. コンセンサスプロトコル イーサリアムのコンセンサスプロトコルは安定していますが、耐性を改善するためには長期的なリスクを改善する必要があります。 4.1 コンセンサスの脆弱性と回復リスク:エッジケース(バリデータの分岐やネットワークの分割など)は、コンセンサスの停滞やバリデーターの資金の損失につながる可能性があります。 4.2 クライアントの多様性: クライアントの多様性はネットワークを保護しますが、少数のクライアントの採用率は低く、さらに改善する必要があります。 4.3 ステーキングの集中とプールの優位性: リキッドステーキング契約と大規模なオペレーターの集中は、ガバナンスの獲得または均質化のリスクにつながる可能性があります。 4.4 未定義のソーシャルリダクションと調整のギャップ:悪意のあるバリデーターに対処するための明確なメカニズムが不足しており、ソーシャルリダクションプロセスはまだ成熟していません。 4.5 経済理論とゲーム理論の攻撃ベクトル:消耗攻撃、戦略的出口、MEV操作などの経済攻撃は十分に研究されていません。 4.6 量子リスク: 量子コンピューティングは既存の暗号化技術をクラックする可能性があり、量子耐性スキームを事前に設計する必要があります。 5. 監視、インシデント対応、および軽減 セキュリティの脆弱性を効果的に監視し、対応する必要がありますが、既存の課題によって効率が制限されます。 影響を受けたチームに連絡する: 攻撃を受けたチームと連絡を取るのが難しく、資金の回収が遅れています。 エスカレートする問題:組織間の調整の難しさと事前の連絡の欠如。 対応の調整: 複数チームのコラボレーションは、混乱を招き、効率を低下させる可能性があります。 不十分な監視機能:オンチェーンおよびオフチェーンの監視が不十分であり、早期の警告を困難にしています。 保険へのアクセス:暗号エコシステムには従来の保険オプションがないため、損失を軽減することは困難です。 6. ソーシャルレイヤーとガバナンス イーサリアムのコミュニティとガバナンスは、全体的なセキュリティに影響を与える長期的なリスクに直面しています。 6.1 ステーキングの集中化:ステーキングの集中度が高いと、ガバナンスの獲得につながり、フォークや取引のレビューに影響を与える可能性があります。 6.2 オフチェーン資産の集中:オフチェーン資産保有者...
イーサリアム財団「1兆ドル安全プラン」が初の報告書を発表:スマートコントラクト、インフラ、クラウドセキュリティなど…6つのエコシステムの課題を整理
イーサリアム財団は、昨日(10日)Xプラットフォームを通じて「1兆米ドルセキュリティプラン」の最初のレポートを正式にリリースし、ユーザーエクスペリエンス、スマートコントラクト、インフラストラクチャとクラウドセキュリティ、コンセンサスプロトコル、監視、インシデント対応と軽減、ソーシャルレイヤーとガバナンスの6つの側面をカバーしています。 (あらすじ:イーサリアムの新提案:EU GDPRデータ仕様に準拠するためのモジュラーアーキテクチャ+プライバシー強化、機能は何ですか? (背景補足:ヴィタリックが「イーサリアムの1年間の大躍進計画」を口走った:L1拡張後、スループットは10倍に増加する) イーサリアム財団は先月、イーサリアムが数十億人のユーザーが1兆ドル以上のオンチェーン資産を安全に保有できるようにサポートし、企業、機関、政府が単一のスマートコントラクトまたはアプリケーションで1つ以上の資産を保存および取引する自信を与えることを目的とした「Trillion Dollar Security(1TS)」イニシアチブの開始を発表しました 数兆ドルの価値により、イーサリアムは世界経済の「文明レベルのインフラストラクチャ」になりました。 ちょうど昨日(10日)、イーサリアム財団は、Xプラットフォームを通じてプロジェクトの最初のレポート「セキュリティチャレンジの概要」を正式にリリースしました。 このレポートでは、イーサリアムエコシステムが抱える6つの主要なセキュリティ課題を整理し、その後の優先課題に対する解決策の基礎を築いています。 このレポートのリリースは、イーサリアムがより高いセキュリティ基準を追求するための重要な一歩となります。 0. 先月、私たちはイーサリアムのセキュリティをアップグレードするためのエコシステム全体の取り組みである「Trillion Dollar Security (1TS)」イニシアチブを発表しました。 本日、イーサリアムエコシステムにおける既存のセキュリティ課題の概要をまとめた1TSレポート第1弾をリリースします。 pic.twitter.com/R1dhY34pDT — イーサリアム財団 (@ethereumfndn) 2025年6月10日 イーサリアムの6つのセキュリティ課題の詳細な分析 「イーサリアムエコシステムにおける既存のセキュリティ課題の概要」レポートによると、イーサリアム財団はユーザー、開発者、および セキュリティの専門家や機関からの広範なフィードバックに基づいて、次の6つの主要領域における課題が特定されました。 ユーザーエクスペリエンス(UX) ユーザーがイーサリアムとやり取りするインターフェースは、セキュリティ上の課題の中心的な原因であり、トランザクションの原子性(不可逆性)による単一のエラーが大きな損害を引き起こす可能性があります。 1.1秘密鍵の管理:ユーザーが秘密鍵を安全に管理することは困難であり、ソフトウェアウォレットのニーモニックは安全でなく簡単に保管され、ハードウェアウォレットは紛失、損傷、またはサプライチェーン攻撃のリスクにさらされています。 人員の異動や企業ユーザーのコンプライアンス要件により、秘密鍵の管理はより困難になっています。 1.2 ブラインド署名と取引の不確実性:ユーザーは、ウォレットに不明なデータが表示され、悪意のある契約、フィッシング、詐欺、またはフロントエンド攻撃に対して脆弱であるため、取引を盲目的に承認することがよくあります。 1.3承認と権限管理:ウォレットにはデフォルトで無制限の承認と有効期限がなく、権限管理機能がないため、悪意のあるアプリケーションが資金を使い果たすリスクが高まります。 1.4 攻撃されたWebインターフェイス:Webインターフェイスは、DNSハイジャック、悪意のあるJavaScriptインジェクションなどに対して脆弱であり、ユーザーを悪意のあるコントラクトに誘導したり、誤解を招くトランザクションに署名したりします。 1.5 プライバシー: プライバシー保護が弱いと、ユーザーはフィッシング、詐欺、または物理的な攻撃のリスクにさらされます。 機関投資家のユーザーは、コンプライアンスやビジネス上のニーズから、プライバシー保護を強化する必要があります。 1.6 断片化:ウォレットが異なれば、トランザクションの表示や承認処理などに一貫性がないため、ユーザーの学習が難しくなり、セキュリティリスクが高まります。 2. スマートコントラクトのセキュリティ スマートコントラクトは、透明性が高いため、主要な攻撃対象領域であり、監査やツールの進歩にもかかわらず、脆弱性や開発上の課題が残っています。 2.1 契約の脆弱性:アップグレードリスク、リエントラント攻撃、未監査のコンポーネント、アクセス制御の失敗、クロスチェーンプロトコルの複雑さ、AIコード生成の新たなリスクなど。 2.2 開発者の経験、ツール、およびプログラミング言語: ツールにはセキュリティプリセットが欠けており、テストカバレッジが不均一で、形式検証の採用が低く、コンパイラの欠陥があり、言語の制限があるため、安全なコントラクトをデプロイすることがより困難になります。 2.3 オンチェーンコードのリスク評価:既存のリスク評価フレームワークは、スマートコントラクトに適用するのが難しく、コードを変更して一元化できると仮定しているため、機関投資家がリスクを管理することは困難です。 3. インフラストラクチャとクラウドセキュリティ イーサリアムに依存するインフラストラクチャ(L2チェーン、RPC、クラウドサービスなど)は攻撃対象領域を構成し、中央集権化は停止や検閲のリスクを高めます。 3.1 セカンドレイヤーチェーン:L2は、資産の複雑さを橋渡しし、システムエラーを証明し、セキュリティ委員会の共謀リスクにより、資金の損失や資産の凍結につながる可能性があります。 3.2 RPCとノードインフラストラクチャ:少数のRPCおよびクラウドプロバイダーに依存すると、オフラインまたは検閲されている場合、ユーザーアクセスがブロックされる可能性があります。 3.3 DNSレベルの脆弱性:DNSハイジャック、ドメイン名の押収、および類似のドメイン名のフィッシングは、ユーザーアクセスのセキュリティを脅かします。 3.4 ソフトウェアサプライチェーンとライブラリ: オープンソースライブラリは、悪意のあるパッケージインジェクションや依存関係のハイジャックに対して脆弱であり、攻撃ベクトルとなります。 3.5フロントエンド配信サービスと関連するリスク:CDNおよびクラウドホスティングプラットフォームが攻撃された場合、悪意のあるフロントエンドを提供し、ユーザーのセキュリティに影響を与える可能性があります。 3.6 インターネットサービスプロバイダーレベルのレビュー:ISPまたは国は、トラフィックブロッキング、DNSフィルタリングなどを通じてイーサリアムにアクセスできます。 4. コンセンサスプロトコル イーサリアムのコンセンサスプロトコルは安定していますが、耐性を改善するためには長期的なリスクを改善する必要があります。 4.1 コンセンサスの脆弱性と回復リスク:エッジケース(バリデータの分岐やネットワークの分割など)は、コンセンサスの停滞やバリデーターの資金の損失につながる可能性があります。 4.2 クライアントの多様性: クライアントの多様性はネットワークを保護しますが、少数のクライアントの採用率は低く、さらに改善する必要があります。 4.3 ステーキングの集中とプールの優位性: リキッドステーキング契約と大規模なオペレーターの集中は、ガバナンスの獲得または均質化のリスクにつながる可能性があります。 4.4 未定義のソーシャルリダクションと調整のギャップ:悪意のあるバリデーターに対処するための明確なメカニズムが不足しており、ソーシャルリダクションプロセスはまだ成熟していません。 4.5 経済理論とゲーム理論の攻撃ベクトル:消耗攻撃、戦略的出口、MEV操作などの経済攻撃は十分に研究されていません。 4.6 量子リスク: 量子コンピューティングは既存の暗号化技術をクラックする可能性があり、量子耐性スキームを事前に設計する必要があります。 5. 監視、インシデント対応、および軽減 セキュリティの脆弱性を効果的に監視し、対応する必要がありますが、既存の課題によって効率が制限されます。 影響を受けたチームに連絡する: 攻撃を受けたチームと連絡を取るのが難しく、資金の回収が遅れています。 エスカレートする問題:組織間の調整の難しさと事前の連絡の欠如。 対応の調整: 複数チームのコラボレーションは、混乱を招き、効率を低下させる可能性があります。 不十分な監視機能:オンチェーンおよびオフチェーンの監視が不十分であり、早期の警告を困難にしています。 保険へのアクセス:暗号エコシステムには従来の保険オプションがないため、損失を軽減することは困難です。 6. ソーシャルレイヤーとガバナンス イーサリアムのコミュニティとガバナンスは、全体的なセキュリティに影響を与える長期的なリスクに直面しています。 6.1 ステーキングの集中化:ステーキングの集中度が高いと、ガバナンスの獲得につながり、フォークや取引のレビューに影響を与える可能性があります。 6.2 オフチェーン資産の集中:オフチェーン資産保有者...