コンセンシスが展開するスマートコントラクトのセキュリティ監査ツール MythXとは?

コンセンシス(ConsenSys)はアメリカのニューヨーク州に拠点を置くブロックチェーン企業です。同社はイーサリアムの創業者であるジョー・ルービン(Joe Lubin)氏が創業した会社で、営利企業でありながらイーサリアムのエコシステムに大きく関わっていることを特徴としています。

ConsenSysが展開するスマートコントラクトのセキュリティ監査ツール MythX

コンセンシスはスマートコントラクトのセキュリティツールをMythXを展開しています。
MythXはコンセンシス社の提供するスマートコントラクトのためのセキュリティSaaSツールです。

ブロックチェーン上のコードは特別な設計をしない限り、一度デプロイしたコードは変更ができず、その上お金を直接扱うことからクリティカルなバグが致命的な事件に発展することが少なくありません。

2016年のDAOハック事件では当時のレートで50億円程度が流出、2017年のParityライブラリ自己破壊のバグで190億円程度のETHがロックされるなど大きな事件が発生しました。Parityは事件後、同様のケースを防ぐためには、通常のセキュリティ監査だけではなくソフトウェアの開発ライフサイクルの中でより広範囲なセキュリティツールや監視、またテストの手法が重要であることを示唆しました。

MythXではこれまで不正行為に使用されてきたリエントランシー、オーバーフロー、競合状態や自己破壊などのバグをSWCベースで管理し、検知できる仕組みです。またAPIによるサポートや既存の開発ツールとの統合も容易に行えるため導入についてもコストが低くなっています。

開発者は開発のライフサイクルにコード監査のツールや監視を組み込むことで、手動の監査を止めて監査にかかる時間や費用の節約をすることができるようになります。

MythXの特徴

MythXは、脆弱性のスキャンや分析などを提供する複数のコンポーネントから成り立っています。従来のスタンドアロンのセキュリティツールでは誤検出が散見されましたが、さまざまなコンポーネントを統合する複合分析技術によって正確な分析結果を得られるとのことです。例として、静的分析がシンボリック分析と連携し、その結果が動的分析に使用されることで、統合的な分析結果を提供します。

  • Maru:静的コードアナライザー、リンター
  • Harvey:動的コードアナライザー、インプットファズ
  • Mythril++: EVMバイトコードの分析ツール、Ethereum、Quorum、Vechain、 Roostock、TronなどEVMに互換のあるブロックチェーンが対象

MythXを使用することで各アナライザーを複合的に使用してスマートコントラクトの分析ができます。

mythxのimage

デプロイのパイプラインへ組み込むことで、コードのコンパイル時、もしくはリポジトリへのデプロイ時にセキュリティ分析を走らせることができます。MythXでは各コンポーネントはマイクロサービス化されていて、SaaSサービスとして提供されるため、常にアップデートされたスキャンを行えます。

無料プランでは10個までのSWCとQuick modeの分析のみの提供ですが、MythX ProやMythX Enterpriseプランへアップグレードすることでより多くのSWCカバレッジや機能が提供されます。MythXは従来のようなスタンドアロンのツールではなくSaaSサービスとしてサポートされ、APIによる呼び出しもクライアントを通じて可能です。各開発ツールへの組み込みも容易で、より柔軟に使用できるようになっています。

スマートコントラクトの開発ライフサイクル

上記のような特徴から、スマートコントラクトの開発ライフサイクル(SDLC)は以下のように想定されます。

  1. 【計画とデザイン】スマートコントラクトのベストプラクティス(smart contract best practices)に沿ったデザインやOpenZeppelinなどの標準ライブラリを使用した開発が検討できます。AtChaiを使用したシミュレーションが行えます。
  2. 【開発】検討したデザインに沿ってTruffle/VS Code/Remix/Visual Studioなどでコーディングします。
  3. 【テスト】テストケースによるテスト以外に、自動化したセキュリティ分析を統合します。MythXではTruffle MythXプラグイン、Remixプラグイン、GuardRails統合、VS Code拡張など様々な開発ツールへの組み込みが行えます。GuardRailsの場合は、GitHubへのプルリクエストが作成されたときに分析を走らせるように統合が可能です。
  4. 【デプロイ】テストネットやメインネットへローンチするフェーズです。実際のネットワークにデプロイした後にもテストを行います。チーム内のリソースだけでなくバグバウンティプログラムの開催なども検討してください。
  5. 【監査】外部のセキュリティ監査を行うファームへ監査を依頼します。既知のバグはMythXなどのツールで検知できる可能性が大きいですが、未知の脆弱性やバグはツールで発見することが難しいためです。
  6. 【監視】AlethioやEtherscanを使用してコントラクトやコントラクトへのトランザクションを監視します。ユーザ行動から攻撃がないか予兆を可視化します。

このように、コンセンシスは営利企業でありながら、イーサリアムのエコシステムに大きく関わっています。スマートコントラクト監査もイーサリアムのエコシステムに必須なツールであると言えます。

同社は、販売する開発ツールやソリューションを日本のブロックチェーン企業であるHashHubとパートナーシップを組んで展開しています。同社の世界でのブロックチェーン関連の知見を持って、日本企業のブロックチェーン事業を支援しています。

【こんな記事も読まれています】
eスポーツの賞金も仮想通貨で?コンセンシスがイーサリアム利用のプラットフォームを開発
ブロックチェーンベンチャーのConsenSysが公開したトークンセールプラットフォームとは?
イーサリアムのエコシステムを成長させながら企業活動を行うConsenSysの最近の取り組み


HashHub Researchでは、ブロックチェーン業界の動向解説から、更に深いビジネス分析、技術解説、その他多くの考察やレポート配信を月に25本以上の頻度で行なっています。コミュニティでは議論も行えるようにしており、ブロックチェーン領域に積極的な大企業・スタートアップ、個人の多くに利用頂いています。
▼HashHub Research 未来を思考するための離合集散的コミュニティ
https://hashhub-research.com/

おすすめの記事