AI駆動スマートコントラクト監査サービス
Web3(分散型ウェブ)の世界は、DeFi(分散型金融)、DAO(分散型自律組織)、NFT(非代替性トークン)など、革新的なサービスが生まれています。これらのサービスの背後には、スマートコントラクトというプログラムが存在し、複雑なデータ処理や契約の自動執行を可能にしています。
しかし、スマートコントラクトに脆弱性があれば、それはハッカーにとって格好の標的となり、莫大な資金損失につながる可能性があります。Web3事業者にとってスマートコントラクトの監査は、事業継続のための必須プロセスとなっています。
従来のスマートコントラクト監査には、いくつかの課題がありましたー高額な費用、長期化する監査期間、そして監査の品質にばらつきがあることなど。
この記事では、これらの課題に挑戦するスマートコントラクト監査サービス「Bunzz Audit」を紹介します。
Bunzz Pte. Ltd. Co-founder、CEOの圷(あくつ)健太氏への取材を通じて得た洞察を交えながら、「Bunzz Audit」がどのようにしてWeb3業界の長年の課題を解決しようとしているのか探ります。
取材協力
スマートコントラクト監査の課題
中小規模プロジェクトにとっての高いコスト負担
Web3業界では、大手監査ファームの費用は数万から数十万ドル(100万円~1000万円)に及び、特に初期段階のプロジェクトにとっては大きな負担となっています。大型の資金調達を行うプロジェクトであれば可能かもしれませんが、その他の多くのプロジェクトにとって、立ち上げ当初にこうした高額な監査費用を捻出することは容易ではありません。
監査の形式主義と実効性の低下
ベンチャー企業には、1回最低15万〜最大70万円で引き受けてくれる場合もあります。しかし、こうした監査ファームに委託しても万全なわけではありません。潜在的な脆弱性が見過ごされ、実際にインシデントが発生するまで問題が明らかにならないこともあります。また、「形式的なハンコを押すこと」、それだけが目的となっているような、質の悪い監査サービスも中には存在するとも言われています。
背景には、取引所や投資家からのデューデリジェンスの一環で、監査が「アリバイ作り」として求められる状況があります。プロジェクトとしては、本来の目的である、脆弱性の発見と修正にコストをかけたいところです。
これらの要因は結果として、Web3エコシステム全体のセキュリティと信頼性に影響を及ぼしています。
Bunzz Audit:Web3業界の課題に応える監査サービス
Bunzz圷(あくつ)CEO
Bunzz Auditは、プロジェクトの初期段階から開発・テストフェーズ、さらにはプロダクション段階まで、Web3プロジェクトのライフサイクル全体に対応した監査を提供します。
Bunzz Auditの特徴・メリット
1.AIと脆弱性データベースの活用
Bunzz Auditは、AIと豊富な脆弱性データベースを駆使し、100種類以上の観点からコードを徹底的にスキャン。幅広い脆弱性パターンを効率的かつ効果的に検出します。
従来の監査プロセスは主に2段階で構成されています。一つは、「既知の脆弱性パターンとクライアントのコントラクトの比較」、そして、「プロジェクト固有のロジックに起因する脆弱性や運用上の矛盾の検出」です。
Bunzz Auditは、特に第1段階において優れた性能を発揮。AIと豊富なデータベースを組み合わせることで、人間の監査者が見落としがちな最新、かつ微細な脆弱性も網羅的に検出します。
2.選べる3つのプラン、1,791ドルから利用可能
Bunzz Auditは、スマートコントラクトの本数に応じた段階的な監査プランを提供しています。
出典:Bunzz
- スタンダードプラン:約25万円(1つのコントラクト監査)
- アドバンスプラン:約50万円(2つのコントラクト監査)
- エキスパートプラン:約116万円(5つのコントラクト監査)
Bunzz圷(あくつ)CEO
価格はアプリケーションの内容ではなく、監査対象のコントラクトの数で決まります。ここでいう「1コントラクト」とは、EVM上にデプロイされた際に単一のコントラクトアドレスを持つSolidityコードを指します。例えば、Solidityファイル内にERC20とMyTokenという2つのコントラクトが定義されていて、MyTokenが「MyToken is ERC20」としてERC20を継承している場合、コントラクトの数は”1″と見なされます。多くの場合1コントラクトに収まるように思います。
3.柔軟なオプション
さらに、プロジェクト固有のロジックに起因する脆弱性に対して、Bunzz Auditの経験豊富な監査人による詳細な分析をオプションとして提供。コードのみの基本的な監査から、固有ロジックを含む包括的な監査まで、プロジェクトのニーズに合わせたサービスを選択可能です。
3つの主な監査タイミング
Bunzz Auditは、Web3プロジェクトのライフサイクル全体に対応した監査サービスを提供しています。Bunzz社の圷(あくつ)CEOに、その詳細について聞きました。圷氏の説明によると、Bunzz Auditは以下の3つの主要なタイミングで活用できます:
1.開発初期段階での品質向上
開発者は開発の途中段階でバグがないか確認したのちにコントラクトを完成させたいニーズがあります。従来はコストが高いため、コードの品質向上のためだけに監査を行うのは非現実的でしたが、Bunzz Auditの価格帯であればコスト的に十分見合います。
2.メインネットデプロイ前の最終チェック
ある程度完成したコントラクトをメインネットにデプロイする前に監査するケースです。圷CEOによれば、これが最もスタンダードな利用方法となります。
3.メインネットデプロイ後の継続監査
従来の方法では継続的な監査は非常にコストが高く現実的ではありませんでした。しかし、コントラクトの脆弱性は日々新しいものが発見されており、自社のコントラクトがそれに該当する場合、迅速な対応が必要です。つまり監査は一度で終わりではなく、定期的なチェックが重要となります。
Bunzz圷(あくつ)CEO
Bunzz Auditは元々の価格がリーズナブルなのに加え、複数回の監査でボリュームディスカウントが効くので、コストに見合った継続監査が可能になります。
安全で信頼性の高いWeb3プロジェクトの実現に向けて、Bunzz Auditが全力でサポートします。詳細情報や無料相談については、上のリンクからBunzz Auditの公式サイトをご覧ください。
Bunzz Auditの実績・レビュー
We analyzed $CCC's contract and the good news is we didn't find any critical vulnerabilities.
— Bunzz | Audit & Smart Contract Hub (@BunzzDev) April 26, 2024
However, there are 22 areas that require further examination to tighten things up.
We've put together a detailed 49-page preliminary report with suggestions for code improvements.… pic.twitter.com/XkgilOdkj1
Bunzz Auditは、国内外で着実に実績を積み上げています。以下に、その代表的な事例をご紹介します。
利付インデックスを提供するDeFiプロジェクト「LOCKON Finance」
スマートコントラクトの特性:収益性の高いウォレットをオンチェーン解析して、月に3,600回ほどトークン比率の調整を行う。無数のウォレットアドレスから取引履歴をコピーし、最もリスクが低くリターンが期待できるトレードを算出し、インデックストークンの中の各トークンのポートフォリオの比率を高頻度取引(HFT=High Frequency Trading)で自動調整。
LOCKON Financeは、最初の監査を「Blaize」という監査ファームに依頼しましたが、第2回目の監査では Bunzz Audit を選択したと言います。その結果について、LOCKON Finance の日本人ファウンダーの窪田氏は以下のようにコメントしています:
初回がヒューマン監査(人間による監査)だったため、人間ではなく、AIが幅広く脆弱性を見てくれることで包括的に監査できると考えた。結果的に期待値通り、監査の項目が人間と比べて多かった。クリティカルな脆弱性はなかったものの、修正が必要な箇所を複数発見できた。
コントラクトを無数に監査してきた経験豊富な監査人にしか発見できない根が深い脆弱性もあれば、AIのように、これまでに発見された脆弱性パターンを全てスキャンする包括的監査が有効なコントラクトもあります。プロジェクトの目的やその時のステージによって最適な監査サービスを選ぶべきだ。
AIとヒューマン監査の使い分け
窪田氏は、ヒューマン監査の長所も認めており、ヒューマン監査とAI監査にはそれぞれ特徴があり、プロジェクトの性質によって適した方法があると言います。
Bunzz社の圷CEOもこの点について同意しており、「プロジェクト固有のビジネスロジックに関連した脆弱性は人間の監査人がじっくりマニュアルでチェックした方が見つかることがあります」と説明します。これは、AIによるパターンマッチングが主に既知の脆弱性パターンの検知に有効である一方、プロジェクト特有の「固有のビジネスロジック」に由来する脆弱性は、過去のパターンに含まれていない可能性が高いためです。
独自性が高いほど過去に定義されたデータがないため、AIよりもマニュアル監査によって発見されることが多くなります。ただし、こうしたヒューマン監査の利点は、個々の監査人の能力に依存する点に注意が必要です。
Bunzz圷(あくつ)CEO
窪田さんのおっしゃったことはその通りで、例えば監査したいコントラクトが一般的なもので特殊なロジックをあまり含まない場合、マニュアル監査よりもAIベースの監査の方がレポートの質も一定でより安価に行うことができるため最適です。
Oasys Spring のベータ版ローンチ:
2024年、Bunzzはブロックチェーンゲームに特化したブロックチェーン「Oasys」と提携し、Web3開発者向けの画期的なスマートコントラクト展開ツール「Oasys Spring」のベータ版をリリースしました。このツールには、Bunzzの監査および開発ツールのコア技術が活用されています。
Oasys Springは、デプロイが申請されたスマートコントラクトの安全性を自動判定する機能を備えています。さらに、GitHubリポジトリから数回のクリックだけでチェーンにコントラクトをデプロイできる、開発者フレンドリーなUI/UXを提供しています。
Japan Open Chainとの提携:
2023年、BunzzはJapan Open Chain(日本企業のコンソーシアムが管理する、Ethereum完全互換のパブリックチェーン)と提携しました。
Japan Open Chainのweb3ビジネス実装支援プログラム「デベロップメント・パートナー・プログラム」とBunzzの「Bunzz for Enterprise」(エンタープライズ向けプラン)を連携。Bunzzはweb3の事業立ち上げフェーズのコンサルティングとシステム開発周りの技術提供を担当し、Japan Open Chainはプロジェクトの展開先チェーンを提供します。
Gincoとの提携:
2023年、BunzzはWeb3国内大手企業であるGincoとパートナーシップを締結しました。Gincoは業務用暗号資産ウォレットの提供で知られ、オールインワンなクラウド型ブロックチェーンインフラ「Ginco Web3 Cloud」も運営しています。両社は、Web3インフラ事業に参入する企業に包括的なサポートを提供する方針です。
競合の監査サービス・ツールとの比較
スマートコントラクト監査サービスの幅は広く、最もライトなものではBotや静的監査ツール、個人の監査人やバグバウンティプラットフォーム、大手の監査ファームまであります。
Botや静的監査ツール(例:Slither)は低コストで利用できますが、主に「コードの改善」を目的としており、プロダクトレベルの包括的な監査とは言えません。複雑な論理的エラーや特定のコンテキストに依存する問題を見逃す可能性もあります。
個人の監査人(フリーランス)やバグバウンティプラットフォーム(Code4rena、Immunefiなど)は、専門知識を活かした監査です。優秀な個人や活発なバグバウンティコミュニティもありますが、その品質は属人的なものです。
大手監査ファームは、より体系化された、綿密なチェックとセキュリティ対策を提供しますが、高コストであり、初期段階のプロジェクトにとっては手の届かないものとなっています。
このような市場環境に対して、Bunzz Auditは、コストを大幅に削減しつつ、精度の高い包括的な監査を提供します。人間が行ってきた脆弱性スキャンの作業を、専門化されたAIで代替します。
出典:Bunzz
- 脆弱性検知率:100種類以上の脆弱性をカバーし、担当者による結果のばらつきがない。
- 監査時間:48時間以内で完了するという迅速さを実現。
- コスト効率:28万円から利用可能で、従来の監査(50万円以上)と比較して安価。
安全で信頼性の高いWeb3プロジェクトの実現に向けて、Bunzz Auditが全力でサポートします。詳細情報や無料相談については、上のリンクからBunzz Auditの公式サイトをご覧ください。
Bunzz社とは
Bunzz pte ltd(シンガポール、代表:圷 健太)は、web3アプリケーション(dApp)のコア技術であるスマートコントラクトに特化したスタートアップ。各種インフラストラクチャーや開発支援サービスをグローバルに展開しています。”web3版GitHub”を目指すブロックチェーン関連事業のシステム開発インフラ「Bunzz」を2022年2月に本格提供開始。
現在、15,000人以上のWeb3開発者が利用し、Bunzzを通じてブロックチェーンに展開されたWeb3プロジェクトは4,500を超えています。スマートコントラクト特化のインフラとして、アジア最大級のトラフィックを生成し、Coinbase発表のWeb3開発インフラカオスマップにも採択されています。
出典:Bunzz
2023年1月には、シードラウンドの第三者割当増資を実施し、Coincheck Labs、グリーベンチャーズ株式会社、株式会社セレスなど、国内外の13の投資家から総額約6億円の資金を調達しました。
Bunzz Audit APIの提供開始について
Bunzz AuditではAPIの提供を開始しました。この仕組みをインターネットを介して利用することで、例えばコントラクト監査の事業を立ち上げたいシステム開発会社様や既存の監査会社様が、監査人を雇用することなく監査事業をスタート、あるいは強化できます。ご関心のある方はお気軽にご相談ください。
Bunzz圷(あくつ)CEO
ブロックチェーン事業においてコントラクトのセキュリティ監査は、ユーザ保護の観点から必須です。当社では網羅的な審査項目から包括的な監査を安価に即実行できます。ぜひご利用ください。
安全で信頼性の高いWeb3プロジェクトの実現に向けて、Bunzz Auditが全力でサポートします。詳細情報や無料相談については、上のリンクからBunzz Auditの公式サイトをご覧ください。
本記事は企業の出資による記事広告やアフィリエイト広告を含みます。CoinPostは掲載内容や製品の品質や性能を保証するものではありません。サービス利用やお問い合わせは、直接サービス提供会社へご連絡ください。CoinPostは、本記事の内容やそれを参考にした行動による損害や損失について、直接的・間接的な責任を負いません。ユーザーの皆さまが本稿に関連した行動をとる際には、ご自身で調査し、自己責任で行ってください。
