Category: Gnosis (GNO)

Gnosis MultiSig Wallet(ノーシス・マルチシグ・ウォレット)とセキュリティへのコミットメント

パイロットはプレフライトチェックリストを使って、重要なタスクの漏れがないかを確認します。 これと同様に、マルチシグ・ウォレットに関しても、複数の経験豊富なエンジニアが特定のバグをチェックしたことを確認する必要があります。(画像引用元 Nasa QuickLaunch

先日、パリティチームによって実装されたマルチシグ・ウォレットにて、キーホルダーを設定するための機能が完全に保護されいないという重大なバグが発見されましたことを、ご報告いたします。つまり、MultiSigウォレットに使用していたコードが安全性に欠けるもので、誰もが、いつでも乱用できる可能性がありました。

このバグの影響を受けた2億ドル以上の価値のあるトークンとEthereum(イーサリアム)は誰にでも盗むことができる可能性がありました。

この記事では、今回発見されたのようなバグが今後マルチシグ・ウォレットに影響を及ぼさないことを100%保証できるのか。という疑問に関して議論及び説明いたします。

現実的な結果から申し上げますと:バグの発生及び影響を防ぐことが100%確実であることはありません。 バグの発生は防ぐことができなくとも、プロダクトへの影響を防ぐことは可能であると考えられます。 コードを書くエンジニアが1人の場合、開発中にバグやエラーが入り込むことがあります。 これらのエラーを防止するための鍵は、複数のエンジニアが関わる厳格なレビュープロセスです。 このプロセスは、スマートコントラクトの最初の作成時に開始され、実際のリリースに拡張され、プロダクションでコントラクトが締結される前に、全てのバグをあぶり出します。

下記は、数百万ドルの価値を扱うスマートコントラクトのために定義した最低限必要なプロセス要件のリストです。

  1. 実際のデプロイの前に、すべてのコントラクトのコードを複数ヶ月公開する必要があります。
  2. コードの自然言語仕様が必要です。
  3. 正式な内部レビュープロセスが必要です。
  4. 経験豊富な複数のエンジニアがチェックリストを作成し、特定のバグをチェックしたことを確認する必要があります。
  5. 少なくとも2人の経験豊富なエンジニアが、スマートコントラクトの外部監査に関わりました。
  6. 公開バグバウンティプログラムは少なくとも1ヶ月間実行されていました。
パイロットのチェックリスト

マルチシグ・ウォレット関して、対策及び対応を下記に記載いたします。

  1. 2016年9月8日に初めてコードを公開いたしました。
  2. 現在、ウォレットの自然言語仕様はありません。 しかし、多くの自動テストが装備されており、近日中に自然言語仕様を導入する予定です。
  3. レビュープロセスの一環として、ConsenSysのエンジニア・チームによって作成されたコントラクトセキュリティに関するベストプラクティスに基づくチェックリストに従っています。 複数のエンジニアがコントラクト上に既知の問題(リエントラント、Integer Overflow(インテジャー・オーバーフロー)、ガスの周りの問題など)をチェックし、それらのチェックを文書化する必要があります。
  4. 前述のポイントを参照してください。
  5. マルチシグ・ウォレットに関して、2種類の監査が行われました。1つはMartin Holst Swende、もう1つはConsenSysによるものです。 監査の結果はこちらからご確認いただけます。
  6. バグ・バウンティ・プログラム(こちらの記事も参照ください。)を公開し、5件の実質的な投稿を得ました。

ノーシス・マルチシグ・ウォレット(Gnosis Multisig Wallet)のコントラクトは、少なくとも5人のシニアソリッド開発者によってレビューされています。 また、過去数ヶ月にわたってICOを行った大部分のチームは、すでに10億ドルを超える価値のあるEthereum(イーサリアム)とトークン(Gnosis Vault =ノーシス・ボールド)を保有している、ノーシス・マルチシグ・ウォレットのインスタンスをすでに使用しています。

私たちは、上記の対策及び対応の厳格な公式化が必要と考え、かつ、将来的には、ブロックチェーン上での形式的な実現を想定してます。そのために、今回改めて定義された一連の防御策の標準装備をブロックチェーン上で証明いたします。

マルチシグ・ウォレットの開発は進行中ですが、来週、電子アプリとして単体のアルファ版のウォレットをリリースし、合わせて、その機能の詳細を説明いたします。


Gnosis MultiSig Wallet(ノーシス・マルチシグ・ウォレット)とセキュリティへのコミットメント was originally published in Gnosis on Medium, where people are continuing the conversation by highlighting and responding to this story.

<div class="infobox"><span class="appendinfo">This article was originally published on: <a href="https://blog.gnosis.pm/" target="_blank">The Gnosis Blog</a> on </span></div>