ブロックチェーン、DeFiの最前線から重要トレンドを解説するニュースレターDIVE INTO CRYPTOへようこそ！1,300を超える投資家や開発者、クリエイターのコミュニティに飛び込んでみてください🧑‍💻🚀

🤖 Research of the Day 🧬

1. Security issue in Ledger ConnectKit library affects multiple decentralized applications

2. DePIN: Decentralized Physical Infrastructure Networks

3. A post on benefits and challenges of enshrined ZK-EVMs at layer 1

DIVE INTO CRYPTO！

Security issue in Ledger ConnectKit library affects multiple decentralized applications

2023年12月14日、Ledgerの元社員のアカウントがフィッシング攻撃にあったことが原因で、ハードウェアウォレットLedger Connect Kitのバージョン「1.1.5」「1.1.6」「1.1.7」に、悪意のあるファイルを仕込まれてしまったことがわかりました。

Ledger社のハードウェアウォレット本体やLedger Liveアプリには問題はありません。

このバージョンを使用してLedgerで署名を行うと、攻撃者のウォレットに資産が送られてしまう罠が張られていました。

現在はバージョン1.1.8になり解消していますが、1週間程度は積極的なDappsとのインタラクションは控えた方がよいとも言われています（もちろん、Ledgerでの取引のみ）。

このライブラリは、多くのDappsがウォレットを接続させる際に参照するものであったため、SUSHI SwapのCTOはXで「全てのDappsの利用を停止」するよう呼びかけ、その投稿に同調するようにDeFiプロトコルやセキュリテイ系アカウントが注意喚起するなど、X上では騒然とした雰囲気となっていました。

Ledger社は問題を認識した後、即座に対応して攻撃者が使用した悪意のあるファイルは停止させ、被害のあったユーザーに連絡をとって資産を取り戻せるようにサポートを行ったそうです。

Chainalysisやテザー社などのパートナー企業と連携し、攻撃者のアドレスを突き止め、USDTの凍結を行ったとのことです。

ユーザー側でできる対策

今回のLedger Connect Kitのようなツールへの攻撃は、ウォレットの署名時に防ぐしかありません。今回のような場合、署名前に警告を出す仕組みを搭載しているウォレットを利用することがいいでしょう。

個人的におすすめなのは、Rubby Walletです。初めて署名するコントラクトにイエローやレッドで危険性を表示して説明してくれますし、トランザクションを先回りしてシミュレートするので危険な署名を未然に防ぐことが可能です（完璧に防げるわけではありません）。

この機能で全てが解決するわけではありませんが、署名時やいつもと違うアラートを見たら一度ストップする癖をつけることが重要だと思います。

DePIN: Decentralized Physical Infrastructure Networks

DePINというセクターが注目されています。

主なプロジェクトとしては、以下が挙げられます。

• Helium（ワイヤレスネットワークインフラ）

• Hivemapper（分散型Google Map）

• Teleport（分散型ライドシェアプロトコル）

Hivemapperに関しては、日本でもバズリました。メルカリで40万円で取引されるような状態でした。

DePINとは、Decentralized Physical Infrastructure networksのことですが、要するにブロックチェーン技術を利用して分散型の物理的インフラネットワークを構築し持続的に運用するコンセプトです。

個々の人々やコミュニティがインフラの構築と維持に参加し、トークンを利用して動機付けされることを意図しています。

インフラだけでなく、オフチェーンコンピューティングも含まれるのが重要で、これはゼロ知識証明などの計算にも活用され得るので、今後話題にされることが多くなるかも知れません。

A post on benefits and challenges of enshrined ZK-EVMs at layer 1

Ethereum、Co-founderのヴィタリクが、もしzkevmをEthereumに組み込む場合、どのようなトレードオフがあるのか、実現する場合どのようなアプローチが考えられるのかを検討する記事を公開しました。

分かりやすく背景を説明すると、

• 現状のL2（OpRollup・zkRollup）はEVMの検証に依存している（最終的にEthereumにデータを投稿するので）ため、これだとEVMがハッキングされると同じように危険にさらされる

• Ethereum（L1）にEIPなどで変更が行われると、Ethereumとほぼ等価であろうとするzkEVMにも同じような変更を加える必要があり、ガバナンスを経て変更決定が行われる必要があるが、既にEthereumでバグ修正やアップグレードを対応しているため、zkEVMも同じような変更のためにガバナンス決定が必要な状況は非効率的

• 今後、ライトクライアント（少ない情報量でブロック検証できるEthereumバリデーターのクライアントの形態）が改善され、ZK-SNARKを使ってEthereumの実行状態を完全に検証できるようになる可能性があり、その時点でEthereumには実質的に zkEVM が組み込まれるようなものになる

• そうなのであれば、EthereumにそもそもEVMではなく、zkEVMをデフォルトの実行環境とすればよいのでは？

もしzkEVMがEthereumにEnshrinedされる場合、今後のレイヤー2がその役割を終える、という話ではなく、以下のような点で重要な役割を担うようになるだろうとしています。

1. 迅速な事前確認: レイヤー2プロジェクトは、ユーザーにレイヤー1よりも低遅延で「事前確認」を提供しており、これは引き続きレイヤー2の責任となる。

2. MEV緩和戦略: 暗号化されたメモリプール、評判に基づくシーケンサー選択など、レイヤー1が実装しない機能をレイヤー2が担当する。

3. EVMへの拡張: レイヤー2プロジェクトは、EVMに重要な拡張を加えることができる。これには、「ほぼEVM（Arbitrum Stylusなど）」と根本的に異なるアプローチが含まれる。

4. ユーザーと開発者向けの利便性: レイヤー2チームは、ユーザーやプロジェクトを引き付け、歓迎するための作業を行い、MEVと混雑手数料でこれに対する報酬を受け取る。

現状は、どのようなアプローチがトレードオフが最もベターなのかを検討している段階で結論がなく抽象的です。今後、ヴィタリクから具体的な提案が行われることになるかも知れません。

👀 Worth Reading 🗞️

1. swETH restakers on @EigenLayer will earn both Pearls and Points

2. SUAVE&MEVM入門

3. Restaking is coming to @Solana

4. Introducing the @MantaNetwork New Paradigm: The only live Ethereum L2 with native yield for ETH and stablecoins.

5. Thread on my latest research diving into Ethereum orderflow.

6. Eclipse Testnet is live.This marks a significant step towards bringing the Solana Virtual Machine (SVM) to Ethereum L2.

7. How we should imagine Uniswap v4 to be?

本日は以上です。

もしこの記事を気に入っていただけたら「いいね・Xでのシェア」を頂けたらとても嬉しいです。質問や感想はコメントをいただければ返信します。

Share

コミュニティ

Xでいただいたリプライや感想を紹介しています。読者の声が、ニュースレター継続の最大の原動力です。

Leave a comment

免責事項

このニュースレターは、教育目的の情報提供を主旨としており、投資や金融、税に関するアドバイスではありません。ご自身での調査やデューデリジェンスが必要です。