執筆者:Shisijun
この事件はユーザーではなく資本の勝利であり、業界の発展にとっては後退だ。
ビットコインは左に進み、Suiは右に進み、業界の分散化を揺るがすあらゆる動きはビットコインへの信頼を強めます。
世界に必要なのは、より優れた世界金融インフラだけではありません。自由のための空間を必要とする人々が常に存在するのです。
かつて、アライアンスチェーンは当時の規制ニーズを満たしていたため、パブリックチェーンよりも人気がありました。しかし、今日のアライアンスの衰退は、実際のユーザーのニーズではなく、単にこのニーズに応えているだけであることを意味しています。規制対象ユーザーが失われれば、規制ツールの必要性はどうなるのでしょうか?
1. 背景
2025年5月22日、Suiパブリックチェーンエコシステム最大の分散型取引所(DEX)であるCetusがハッカーの攻撃を受けました。流動性は瞬く間に急落し、複数の取引ペアの価格が暴落し、損失は2億2,000万米ドルを超えました。
記事執筆時点でのタイムラインは次のとおりです。
- 5月22日の朝、ハッカーがCetusを攻撃し、2億3000万ドルを盗み出しました。Cetusは緊急に契約を停止し、発表を行いました。
- 5月22日午後、ハッカーは約6,000万米ドルをチェーン上で送金しましたが、残りの1億6,200万米ドルは依然としてSuiチェーンアドレスに残っていました。Sui検証ノードは迅速に行動を起こし、ハッカーのアドレスを「拒否リスト」に追加し、資金を凍結しました。
- 5月22日の夕方、Sui CPO @emanabioはツイートして確認しました。資金は凍結されており、返還はまもなく開始されます。
- 5月23日、Cetusは脆弱性の修正と契約の更新を開始した。
- 5月24日、SuiはオープンソースのPRを公開し、資金はエイリアシングとホワイトリストを通じて回収されると説明した。
- 5月26日、Sui氏はオンチェーンガバナンスの投票を開始し、プロトコルのアップグレードを実装し、ハッカーの資産を保管アドレスに移管するかどうかを提案した。
- 5月29日に投票結果が発表され、検証ノードの3分の2以上がプロトコルのアップグレードを支持しました。
- 5月30日から6月上旬にかけて、プロトコルのアップグレードが有効になり、指定されたトランザクションハッシュが実行され、ハッカーの資産が「合法的に移転」されました。
2. 攻撃の原則
業界ではイベント原則に関する記事が多数ありますが、ここでは中核となる原則の概要のみを説明します。
攻撃プロセスの観点から:
攻撃者はまずフラッシュローンを利用して約10,024,321.28 haSUIを借り入れ、取引プールの価格を瞬時に下落させました。
99.90%。この巨大な売り注文により、ターゲットプール価格は約1.8956×10^19から1.8425×10^19に下落し、底値をほぼクリアしました。
その後、攻撃者はCetus上で極めて狭いレンジ(下限300000、上限300200、レンジ幅はわずか1.00496621%)で流動性ポジションを作成しました。このような狭いレンジは、その後の計算エラーによる必要トークン数への影響を増幅させます。
攻撃の核となる原則:
問題は、Cetus が必要なトークン数を計算するために使用する get_delta_a 関数に整数オーバーフローの脆弱性があることです。攻撃者は意図的に大量の流動性(約10^37単位)を追加すると宣言しましたが、実際には1トークンしかコントラクトに追加されませんでした。
checked_shlw のオーバーフロー検出条件のエラーにより、契約は左シフト計算中に高い位置で切り捨てられ、システムは必要な haSUI の量を大幅に過小評価し、その結果、非常に小さなコストで大量の流動性と交換されます。
checked_shlw のオーバーフロー検出条件のエラーにより、契約は左シフト計算中に高い位置で切り捨てられ、システムは必要な haSUI の量を大幅に過小評価し、その結果、非常に小さなコストで大量の流動性と交換されます。
技術的な観点から見ると、上記の脆弱性は、Cetus が Move スマート コントラクトで誤ったマスクと判断条件を使用した結果、0xffffffffffffffff << 192 未満の任意の値が検出を回避できることに起因しています。また、64 ビット左シフトした後、上位データが切り捨てられ、システムはわずかなトークンを収集するだけで膨大な流動性を獲得したと認識します。
事件後、「凍結」と「回復」という 2 つの公式措置が策定され、それぞれ 2 段階から構成されています。
- 凍結フェーズは、拒否リスト + ノードのコンセンサスによって完了します。
- 回復フェーズでは、ブラックリストを回避するために、オンチェーン プロトコルのアップグレード + コミュニティ投票 + 指定されたトランザクションの実行が必要です。
3. スイの凍結機構
Sui Chain自体には、ハッカーの資金を凍結できる特別なDeny Listメカニズムが搭載されています。さらに、Suiのトークン規格には、凍結機能が組み込まれた「規制トークン」モードも用意されています。
今回の緊急凍結は、この機能を活用しました。バリデータノードは、盗難された資金に関連するアドレスをローカル設定ファイルに迅速に追加しました。理論上は、各ノードオペレーターがTransactionDenyConfigを変更してブラックリストを更新できますが、ネットワークの一貫性を確保するために、初期設定の発行者であるSui Foundationが集中的な調整を行いました。
財団はまず、ハッカーのアドレスを含む設定アップデートを公式にリリースし、バリデータはデフォルト設定に従って同期的に有効になったため、ハッカーの資金はチェーン上で一時的に「封印」されました。実際には、この背後には高度に中央集権化された要因があります。
凍結された資金から被害者を救出するために、Suiチームはすぐにホワイトリストメカニズムのパッチを開始しました。
これは、その後の資金の送金のためのものです。合法的な取引を事前に構築してホワイトリストに登録しておけば、資金アドレスがブラックリストに載っていても強制執行できます。
この新しい機能 transaction_allow_list_skip_all_checks を使用すると、特定のトランザクションを「免除リスト」に事前に追加して、署名、権限、ブラックリストなどを含むすべてのセキュリティ チェックをこれらのトランザクションでスキップできるようになります。
ホワイトリスト パッチはハッカーの資産を直接盗むことはできないことに注意してください。特定のトランザクションに凍結を回避する機能を与えるだけであり、実際の資産転送を完了するには、依然として法的な署名または追加のシステム許可モジュールが必要です。
実際、業界で主流となっている凍結スキームは、トークン契約レベルで行われることが多く、発行者の複数の署名によって制御されています。
Tetherが発行するUSDTを例に挙げましょう。そのコントラクトにはブラックリスト機能が組み込まれており、発行会社は不正なアドレスを凍結することでUSDTの送金を不可能にすることができます。この解決策では、チェーン上で凍結リクエストを発行するために複数の署名が必要であり、複数の署名が合意に達した後にのみ実行されるため、実行遅延が発生します。
Tether の凍結メカニズムは効果的ですが、統計によると、マルチ署名プロセスには「ウィンドウ期間」が存在することが多く、犯罪者に悪用される機会が残されています。
対照的に、Sui のフリーズは基礎となるプロトコル レベルで発生し、バリデータ ノードによって共同で操作され、通常のコントラクト呼び出しよりもはるかに高速に実行されます。
このモデルでは、十分に速く実行するために、これらのバリデータノード自体の管理が高度に統一されていることを意味します。
3. スイの「トランスファー型リサイクル」実施原則
さらに驚くべきは、スイ氏がハッカーの資産を凍結しただけでなく、盗まれた資金をオンチェーンアップグレードを通じて「移転・回収」する計画を立てていたことだ。
5月27日、Cetusはプロトコルをアップグレードし、凍結された資金をマルチシグネチャ・エスクローウォレットに送金するためのコミュニティ投票計画を提案しました。その後、Sui Foundationはオンチェーン・ガバナンス投票を開始しました。
5月29日に投票結果が発表され、バリデーターの約90.9%が計画を支持しました。Sui氏は、この提案が可決されれば、「2つのハッカーアカウントに凍結されたすべての資金は、ハッカーの署名のないマルチシグネチャウォレットに復元される」と公式発表しました。
ハッカーの署名は必要ありません。これは非常にユニークな機能であり、ブロックチェーン業界ではこのような修復方法はこれまでありませんでした。
Suiの公式GitHub PRによると、プロトコルにアドレスエイリアシングの仕組みが導入されたようです。このアップグレードには、ProtocolConfigでエイリアスルールを事前に指定することで、許可されたトランザクションの一部で、正当な署名をハッカーアカウントから送信されたものとして扱うことができるようになります。
Suiの公式GitHub PRによると、プロトコルにアドレスエイリアシングの仕組みが導入されたようです。このアップグレードには、ProtocolConfigでエイリアスルールを事前に指定することで、許可されたトランザクションの一部で、正当な署名をハッカーアカウントから送信されたものとして扱うことができるようになります。
具体的には、実行されるレスキュートランザクションのハッシュリストはターゲットアドレス(つまりハッカーアドレス)に紐付けられ、これらの固定トランザクションサマリーに署名して公開する実行者は、有効なハッカーアドレスの所有者としてトランザクションを開始したとみなされます。これらの特定のトランザクションについては、バリデータノードシステムは拒否リストのチェックをバイパスします。
コード レベルでは、Sui はトランザクション検証ロジックに次の判断を追加しました: トランザクションがブラックリストによってブロックされると、システムは署名者を走査し、protocol_config.is_tx_allowed_via_aliasing(sender, signer, tx_digest) が true かどうかを確認します。
エイリアス ルールを満たす署名者が存在する限り、つまりトランザクションが通過を許可されているとマークされている限り、以前のインターセプト エラーは無視され、通常のパッケージ化と実行が続行されます。
4. 視点
1億6000万、業界の根底にある信念を破壊
Cetus 事件に関して、私の個人的な観点からすると、この嵐はすぐに過ぎ去るかもしれませんが、このモデルは業界の基盤を覆し、ブロックチェーンは同じ台帳の下では改ざんできないという従来のコンセンサスを破壊したため、忘れ去られることはないでしょう。
ブロックチェーンの設計では、契約が法律であり、コードが審判です。
しかし、この事件では、コードが失敗し、ガバナンスが介入して権力が無効化され、投票行動がコードの結果を決定するというパターンが形成されました。
これは、トランザクションを直接不正使用するというSuiのアプローチが、ハッカー問題に対処する主流のブロックチェーンのアプローチとは大きく異なるためです。
合意が改ざんされたのは今回が初めてではないが、最も静かに改ざんされた例である。
歴史的には:
- イーサリアムは、2016年のThe DAOインシデント発生時の損失を補填するため、ハードフォークによる転送のロールバックを実施しましたが、この決定によりイーサリアムとイーサリアムクラシックのチェーンが分裂しました。このプロセスは物議を醸しましたが、最終的には様々なグループがそれぞれ異なるコンセンサスを形成しました。
- ビットコインコミュニティも同様の技術的課題を経験しています。2010 年の値オーバーフローの脆弱性は開発者によって緊急に修復され、コンセンサスルールがアップグレードされ、違法に生成された約 184 億ビットコインが完全に消去されました。
これは同じハードフォークモデルであり、問題が発生する前の状態に元帳をロールバックし、その後、ユーザーは引き続きどの元帳システムを使用するかを自分で決定できます。
DAOハードフォークと比較すると、Suiはチェーンを分割するのではなく、プロトコルをアップグレードし、エイリアスを設定することで、まさにこのインシデントをターゲットにしました。これにより、Suiはチェーンの連続性とコンセンサスルールの大部分を変更せずに維持しながら、基盤となるプロトコルを用いて標的を絞った「レスキューオペレーション」を実行できることを示しました。
問題は、歴史的な「フォークのロールバック」はユーザーの信念の選択であるのに対し、Sui の「プロトコルの修正」はチェーンがユーザーに代わって決定を下すものであることです。
鍵もコインも失くした?残念ながら、もうそんなことはない。
長期的には、これは「鍵がなければコインもない」という概念が Sui チェーン上で破綻していることを意味します。ユーザーの秘密鍵が損なわれていなくても、ネットワークは依然として資産の流れをブロックし、団体交渉協定の変更を通じて資産の方向を変えることができます。
これが、将来、ブロックチェーンが大規模なセキュリティインシデントに対応する際の前例となり、あるいは再び採用できる実践方法とみなされるようになるとしたら。
「チェーン店が正義のためにルールを破れるなら、どんなルールでも破れる前例もある。」
一度「慈善金の搾取」が成功すると、次回は「道徳的にグレーゾーン」での活動になるかもしれない。
すると何が起こるのでしょうか?
ハッカーはユーザーのお金を盗んだので、グループ投票でそのお金を奪うことができるのでしょうか?
投票は、誰がより多くのお金(ポジティブ)を持っているか、それともより多くの人を持っているかに基づいているのでしょうか?もしより多くのお金を持っている方が勝てば、劉慈欣が描いた最後のプロデューサーが間もなく登場するでしょう。より多くの人を持っている方が勝てば、暴徒たちも蜂起するでしょう。
従来のシステムでは、違法な収入が保護されないのはごく普通のことであり、凍結や送金は従来の銀行の日常的な業務です。
投票は、誰がより多くのお金(ポジティブ)を持っているか、それともより多くの人を持っているかに基づいているのでしょうか?もしより多くのお金を持っている方が勝てば、劉慈欣が描いた最後のプロデューサーが間もなく登場するでしょう。より多くの人を持っている方が勝てば、暴徒たちも蜂起するでしょう。
従来のシステムでは、違法な収入が保護されないのはごく普通のことであり、凍結や送金は従来の銀行の日常的な業務です。
しかし、技術的な観点からこれを実現できないという事実が、ブロックチェーン業界の発展の根本的な原因です。
業界のコンプライアンスという鉄条網は今なお発酵を続けている。今日はハッカーのために口座残高を凍結・変更できるが、明日は地理的要因や紛争要因を理由に恣意的な変更を加えることができる。もしチェーンが地域限定のツールとなれば。
業界の価値は大幅に圧縮され、せいぜい、あまり役に立たない金融システムの 1 つに過ぎなくなるでしょう。
これは、私がこの業界に留まる決心をした理由でもあります。「ブロックチェーンは凍結できないから価値があるのではなく、たとえ嫌いになったとしても、それがあなたにとって変わることがないから価値があるのです。」
規制が一般的な傾向にある中、チェーンは自らの魂を守ることができるだろうか?
かつて、アライアンスチェーンは当時の規制ニーズを満たしていたため、パブリックチェーンよりも人気がありました。しかし、今日のアライアンスの衰退は、実際のユーザーのニーズではなく、単にこの需要に応えているだけであることを意味しています。規制対象ユーザーは失われてしまったので、規制ツールの必要性はどうなるのでしょうか?
産業発展の観点から
効率的な中央集権化はブロックチェーンの発展において必要な段階なのでしょうか?分散化の究極の目標がユーザーの利益を守ることであるならば、過渡期の措置として中央集権化を容認できるのでしょうか?
オンチェーンガバナンスの文脈における「民主主義」という言葉は、実際にはトークンの重み付けに基づいています。つまり、ハッカーが大量のSUIを保有している場合(あるいはDAOがハッキングされ、ハッカーが投票権を掌握している場合)、ハッカーは「合法的に自らを正当化するために投票する」ことができるのでしょうか?
結局のところ、ブロックチェーンの価値は、それが凍結できるかどうかではなく、たとえグループがそれを凍結する能力を持っていても、そうしないことを選択するかどうかにあります。
チェーンの将来は、その技術的なアーキテクチャによって決まるのではなく、チェーンが保護することを選択した一連の信念によって決まります。
全てのコメント