Liskが外部監査を完了
仮想通貨プロジェクトLiskが、Liskプロトコル設計、Lisk SDK 5.0.0およびLisk Core(ノード参加に必要なプログラム)3.0.0を対象とした外部監査を完了したことを発表した。今回の監査は、これまでにETH2.0、MetamaskおよびTezosなどの監査を行った実績を持つ「Least Authority」が担当。
Least Authorityが公開した監査レポートによると、重大な問題や障害は見つからず、「Liskチームは、監査以前から起こりうる攻撃を想定し、リスク緩和策をコードベースに適用しており、概してセキュリティ意識が高いと言える」と結論づけられた。
監査の詳細
今回の監査結果では、Lisk SDK 5.0.0およびLisk Core3.0.0に書かれているコードのクオリティに関して、「モジュール式および構成可能な方法で書かれているため、論理的かつ系統的によくまとめられている」と報告されている。
Liskプロトコルが採用しているコンセンサスアルゴリズム、DPoS(Delegated Proof-of-Stake)については、コンセンサスに必要な投票がアイデンティティと結びつけられているため、アイデンティティ関連の攻撃リスクが高いことが指摘されている。Liskチームはこの潜在的リスクに対して、既にビットコインなどでも利用されている緩和策を取り入れるなどして対策を講じている。報告書では、このような対応に効果があるかどうかを見極めるために、長期での監視が助言された。
また、同監査報告書では、改善が推奨される問題点として、Liskコーデック(データの符号化および復号を行うソフトウェア)のエラー、Liskアカウント鍵の導出に利用されているアルゴリズムPBKDF2の並列計算が可能なことによるパスワード特定のリスク、およびアカウント鍵導出にSHA-256を抽出器(ランダムなアウトプットを作成するための関数)として利用することの脆弱性が指摘された。コーデックエラーは既に修正済みである一方、残りの二つに関してLiskチームは、一定のリスクは認識しているものの、現在のアルゴリズムは多くのプロジェクトで採用されていることを理由に、改善策を導入する意図はないことを表明した。
これらに加え、セキュリティ強化の観点から、アドレス鍵および署名鍵を分離し、それぞれに別の鍵を使用することが推奨された。Liskチームは、ユーザー視点での利用しやすさも考慮しながら、改善策導入を検討していくという。
今回の監査に関して、LiskのCTO、Oliver Beddows氏は、コミュニティに向けて以下のコメントを出した。
このような監査を通過することは、簡単ではなかった。非常に光栄に思う。これ(監査を通過したこと)は、Lightcurveチームが、20年にLiskプロジェクトで行なった素晴らしい業績の証だ。
今後の展開
Liskは、20年12月にBetanet v5をローンチし、メインネットリリースに向けて開発を進めている。
外部監査完了後は、QA(品質保証)テストが引き続き実施され、21年には、Lisk Core 3.0.0のメインネットリリースが予定されている。このリリースでは、アドレス形式の変更や動的手数料導入が計画されており、これによりLiskプロトコルに大幅な変更がもたらされる。
Lisk Core 3.0.0リリースの完了と共に、Liskは、テストネットが移行されるRelease Candidate段階へと進んでいく。この段階では、Liskプロトコルに関するロードマップの全ての段階が実装され、最終調整が行われる。最終的なメインネットリリースは、このRelease Candidate段階完了後に実施される。テストネットおよびメインネットリリースの両方とも、21年中に行われる計画だ。
関連:Lisk、Betanet v5をローンチ メインネットリリースへの計画を発表
