監査の重要性とは Bunzz Audit
ブロックチェーン関連事業には、ブロックチェーン上で稼働するプログラム「スマートコントラクト」の開発が必要だが、コントラクトを展開する前にセキュリティチェックが必須であることをご存知だろうか?コードに脆弱性がある場合、ユーザの資産が不正に引き抜かれたり、サービスの継続が困難になる攻撃を受けるなど、ハッキングリスクがあるためだ。
その対策として、コントラクトのAudit(監査)を行うことが慣例となっている。しかし、そのような認識がまだ十分に広がっておらず、監査なしで運用がスタートした結果、ハッキングによるインシデントが発生するケースが後を絶たない。実際、2022年の統計では実に4,500億円のハッキング被害が発生した。
引用:immunefiの2022年レポート(immunefi.comより)」
一度インシデントが起きたプロジェクトは、ユーザからの信頼を失い、回復は容易でない。あなたのプロジェクトはセキュアだろうか?
この記事では日本人ファウンダーのWeb3スタートアップによる監査サービス「Bunzz Audit」についてお伝えする。
従来のスマートコントラクト監査会社の課題点
コントラクトの監査を行うサービスは国内外に複数あるが、下記の業界課題を抱えている。
- 監査ファームのコストは非常に高い(数百万円〜数千万円)
- アサインされた担当者によってレポートの質がばらばら
- 本当にきちんと監査を行ったか、利用者側は知りようがない
- 監査期間は2週間〜2ヶ月。その間は開発がストップするためローンチのスケジュールを圧迫する
こうした業界課題を解決すべく、スマートコントラクトの開発インフラであるBunzzが新たにローンチした監査サービスが「Bunzz Audit」だ。前述の課題に対しLLM等を利用したスマートなソリューションを提供しており、注目を集めている。
プロフェッショナルな監査プロセスをデジタル化
Bunzzによれば、従来の監査のコストが高く、遅く、品質が不安定な根本原因は「監査人によるマニュアル作業」にあるという。コントラクトに精通した監査人の人件費は非常に高い。監査の質がバラバラなのは、監査人のスキルに個人差があるためだ。Bunzz Auditはこの点に着目し、”優秀な監査人の作業プロセスをデジタル化しコストを下げ効率化する”ことを構想した。
キーポイントは独自の脆弱性データベースとLLM
監査人は通常、監査対象のソースコードが、過去にハッキングが発生したコードに似ていないかを見て、脆弱性の有無を判断する。Bunzz Auditは過去にブロックチェーン領域で発見された脆弱性パターンをインターネットから収集し、膨大なデータベースを構築した。「今まで人類が発見してきたスマートコントラクトの脆弱性を網羅的にまとめたデジタル標本のようなもの」だという。
Bunzz Auditでは、監査が始まると監査対象のコントラクトとデータベースをLLMが照合し、近似値を算出して脆弱性を検知する仕組みになっている。
データの近似を判断するという点では、人間の判断よりもLLMの方が正確で圧倒的に速いため、この手法を採用しました」。(Bunzz チーム)
実際、”LLMベースの監査”と聞くと不安が残るが、Bunzz AuditはLLMが直接コードを監査をするのではなく、「実際に脆弱性を含むコードとクライアントのコードが似ているか」の判定にLLMを活用しているのがポイントだ。Bunzz Auditのデータベースには約100種類もの脆弱性パターンが登録されており、通常の監査人では確認しきれない膨大な観点からの監査を素早く実現する。通常2週間から2ヶ月かかる監査が、Bunzz Auditでは2日で完了する。
監査対象のスマートコントラクト
Bunzz Auditは、Solidityによって記述されたコントラクトに対応し、チェーンもEVM互換であれば全て監査可能だ。また既にデプロイされたオンチェーン上のコントラクトであっても、Githubレポジトリ内のソースコードであってもどちらも監査が可能だという。
拡がる利用
「低コスト、短納期がBunzz Auditの特徴でして、監査に数百万円もかけられないけど監査レポートは欲しいというプロジェクトや、数日以内にすぐ監査したいというお客様が特に多いです」(Bunzz チーム)
先日、Very Long Swapで行われたBONSAICOINのIDO用コントラクトも、Bunzz Auditによって監査された。また、インデックスDeFiのLOCKON、Futaba Protocolの他、国内上場企業のNFTプロジェクトもBunzz Auditに監査依頼をしており、国内外で利用が拡大している。
引用:Xより
|
LOCKON Financeからのフィードバック 監査をお願いしてから短い期間でレポートが出てきたのが嬉しかった。レポートでは18項目の脆弱性の指摘があった中で、16項目は納得感があった。これがAIベースの監査サービスであることを考えるとパフォーマンスは素晴らしいと思う。また、コミュニケーションがTelegramベースなのも便利。 |
|
Futaba Protocolからのフィードバック 思ったよりも早くレポートを取得できた。 Bunzz Auditが指摘した9つの脆弱性のうち、6個は納得できるものだった。プロダクトの仕様上、あえて設定したコードの内容が脆弱性と判断されたが、それはFinalized Reportのコメントで解消された。驚いたことに、他の監査サービスで発見されなかった脆弱性が、Bunzz Auditで発見できた。 |
料金体系
Bunzz Auditの料金体系は下記のようになっており、監査対象のコントラクト数によって料金が変動する。1コントラクトあたり1,791ドル(約27万円)で監査が可能だ。
期間限定無料トライアル
Bunzz Auditは現在期間限定の無料トライアルを実施している。希望者のコントラクトを無料で監査し、ドラフトの監査レポートを取得可能だ。「スマートコントラクトの監査を予定している方はぜひお試しください」(Bunzz チーム)
Bunzz Auditのロードマップ
現在のBunzz AuditのバージョンはV1となっており、新たな脆弱性が発見されるとデータベースも更新される仕組みになっている。V2ではFuzzingという手法を利用し、コントラクトにランダムな値を何万通りも入力しエッジケースを検知することで脆弱性を検知する新たな手法にも取り組んでいるという。今後のアナウンスにも注目だ。
