監査だけでは不十分？監査済みDeFiプロジェクトで33億ドルの損失、データが明らかに

監査は重要ですが、魔法の盾ではありません。これは、ブロックチェーンデータ分析プラットフォームSentoraによる最近のスレッドと、DeFiハックやエクスプロイトで失われた数十億ドルを内訳にした棒グラフからの明確な結論です。データは2020年から2025年(までをカバーしており)テラの崩壊を除き$5 、次のような不快なポイントを示しています：セキュリティレビューに費用をかけたプロジェクトでさえ、巨額の損失を被っています。

「監査はDeFiにとって不可欠ですが、保証ではありません」とSentoraは書いています。「2020年から2025年の間に、監査済みのプロジェクトは33億ドル超の損失を経験し、ラグプル、プライベートキーの漏洩、監査後の変更によるものです。DeFiの監査は基本ですが、効果的なリスク管理には積極的なリスク監視も必要です。」

付随するチャートは、監査人別に損失を分類しており、未監査のプロジェクトが最大の打撃を受けていることを示しています。おおよそ(十億ドルの範囲ですが、また、Certik、NCC Group、Trail of Bitsなどの監査済みのプロジェクトや有名企業も免疫ではないことを示しています。

層状の問題

これらのビジュアルとSentoraの要約を合わせると、層状の問題が浮き彫りになります。一つは明白な点：監査をスキップしたり、手抜きをしたプロジェクトはその代償を払っています。もう一つは同じくらい重要で、監査自体がスナップショットであり、多くの場合、最後の瞬間のコード修正、ガバナンスの変更、新しい管理者キーの導入前に行われることです。

これらの監査後の修正や、プライベートキーを奪取するソーシャルエンジニアリング攻撃、内部者による悪意のあるラグプルは、Sentoraが監査済みプロジェクトで指摘した33億ドルの損失の大部分を占めています。チャートはまた、「その他)68」と分類された中間カテゴリーも強調しており、これらの小規模な監査人のグループも損失のかなりの部分を占めています。

これは、問題が単にプロジェクトが監査を受けたかどうかだけでなく、監査の質と網羅性、監査人の範囲、そしてレポート発行後に何が起こるかに関係していることを示唆しています。重要な設計仮定を見落とす監査や、推奨された緩和策を無視するチームは、リスクの扉を開けたままにします。

セキュリティの実務者は何年も、「単一の監査はセキュリティプログラムの始まりであり、終わりではない」と言い続けています。継続的な監視、段階的な展開、多署名コントロール、特権機能のタイムロック、積極的なバグバウンティプログラム、保険商品などが、より堅牢なアプローチの一部です。

Sentoraのメッセージは、監査は最低基準を設定するものであり、チームや投資家は保護層を重ねて監視を続ける必要があることを強調しています。コンポーザビリティと迅速なイテレーションを重視するDeFiエコシステムにとって、その緊張感は現実的です。開発者は機能をリリースし素早くピボットしたいと考え、監査人は徹底的に範囲と時間を確保し、攻撃者はその間の短いウィンドウを狙います。

このデータの結論はシンプルで不快なものであり、監査にかかる費用は今後も必要であり続けますが、コミュニティは損失を実質的に削減したいのであれば、より良い監査後の規律と運用上の安全策も必要です。

Sentoraのスレッドとチャートは、DeFiにおけるセキュリティはプロセスであり、証明書ではないことを思い出させるものです。監査は問題を見つけるのに役立ちますが、問題の発生を止めることはできません。チームがセキュリティを継続的な作業と捉えず、チェックリストの一部として扱い続ける限り、ヘッドラインの数字は増え続けるでしょう。