不正行為やクラッキングが後を断たない現状を‘’AI×Web3のコアテクノロジー‘’で切り拓く。新たなセキュリティサービス「Bunzz Audit」をローンチするまでの軌跡

Bunzz pte ltdは2022年創業。シンガポールを拠点にグローバルでプロダクトを展開するWeb3スタートアップです。前身であるLasTrust株式会社（2019年創業）ではファーストプロダクトを上場企業へ事業売却。その事業ナレッジと資本をベースに「Bunzz」というブロックチェーン関連事業の開発プラットフォームをローンチしました。

Bunzzチームの特徴は「独自技術の研究開発力×Bizdev」と言えます。

それぞれの領域で突出したスキルと実績がある技術者が参加するR&Dチームは、最新技術のキャッチアップと研究開発を行っています。また、事業を大きくスケールした経験を持つ外部アドバイザーと共同で、Web3市場におけるペインの特定と事業仮説の設計を行い、”どのような技術的ブレイクスルーがあれば課題解決が可能なのか?”という問いの答えとして、Bunzzはプロダクトをローンチしてきました。

今回ご紹介する「Bunzz Audit」も、そのようなアプローチで生まれました。

#Web3 #セキュリティ #ブロックチェーン

不正行為やクラッキングが後を断たないWeb3事業領域における”北斗の拳”のような現状。サイバーセキュリティ対策が重要な施策となっている

Web3と呼ばれる事業領域の特徴の一つは、エンドユーザもプラットフォーマーも攻撃者も等しくサービスの根幹をなすプログラム（スマートコントラクト）のソースコードを閲覧でき、そこに含まれるファンクションを利用できる点にあります。（パーミッションレスで使えるという意味では、ブロックチェーンに記録されたプログラムは”パブリックAPI”と解釈することもできます）

さて、このようにプログラムがオープンになっていることの恩恵は非常に大きい一方、誰でもソースコードを閲覧でき、かつそのプロジェクトにプールされている資金量や、どのように資金が移動するかのロジックも見えてしまうため、それを逆手に取った不正行為やクラッキングが後を断ちません。（2022年には約6200億円の被害が発生）

悪い意味で高い技術を持つハッカーにとってWeb3は狩り場と言えます。この”北斗の拳”のような業界において、サイバーセキュリティの対策は全てのweb3関連プロジェクトにおいて非常に重要度の高い施策となっています。

Web3における”セキュリティ監査の課題、解決すべく模索する日々

Bunzzは開発インフラとして、前述したスマートコントラクトのモジュールテンプレートや、コントラクトの解析ツール「DeCipher」を提供してきました。一方で、前章でお話した”セキュリティに関するペイン”にも注目すべきではないかと考えていました。

具体的には、下記のような課題がありました。

1. プログラムのセキュリティ監査を専門に行う監査サービスのコストが非常に高い（大手ではミニマムで数百万円）
2. 監査は監査人がマニュアルで行っており、監査レポートのクオリティがばらばら
3. 監査の期間が長く、その間は開発プロセスが止まる

こうした課題があり、監査にコストをかけられなかったプロジェクトがローンチ後にクラックされてサービスが終了するケースも発生していました。Bunzzチームはこれらの課題を解決できないか、R&Dを続けてきました。

突破口はAI+データベース。監査プロセスの効率化でコストを90%削減

そもそも監査コストが高い理由は、監査人の人件費相場が費用に高いためということが分かり、監査プロセスの一部を自動化することでコストを下げることを検討しました。

その頃、ちょうどいいタイミングでChatGPTが3.5から4にアップデートされ、使えるリソースも豊富にありました。当初はプロンプトのチューニングなどシンプルなアプローチで試しましたが、結果はプロダクトレベルには程遠いものでした。”AIをチューニングするだけではまともな監査はできない”。これがR&Dチームにとっての障壁でした。

突破口が開けたのは、脆弱性データベースの構築です。Web3には無数の監査レポートが公開されており、そこには発見された脆弱性パターンが記載されています。それらを集約したデータベースを構築し、”監査対象のコードと脆弱性パターンの近似を評価する”というアプローチに切り替えたところ、精度が飛躍的に高まりました。（実際にはデータベースとの比較をする前にBunzz Audit独自の前処理機構がありますが、ここでは割愛します）

従来よりも90%安く10倍速い監査ファームが誕生、国内外から届いている喜びの声

前述したテクノロジーによって、業界課題であった監査人の人件費を削減することに成功し、従来の相場よりも90%安く、かつ10倍速い納期で監査レポートを提供することが可能になり、2024年4月、「Bunzz Audit」としてローンチいたしました。非常にポジティブなフィードバックが多く、国内上場企業のNFTプロジェクトの監査がBunzz Auditで行われたり、中規模のプロジェクトが潜在的に抱えていた脆弱性を発見するなど、国内外で利用が広がっています。

今後は、脆弱性の中でもより経済的損失が発生しやすいパターンを高度な数学的アプローチで検知する新たなテクノロジーの開発を進め、より業界へ貢献したいと考えています。

自社プロダクトのセキュリティ対策に関心がございましたらBunzzチームにお気軽にご相談ください。

お問い合わせフォームはこちら：https://9vi3topj6b2.typeform.com/to/EAb8IHmA