This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cetusから盗まれた資金が回収される 「分散化」がユーザーの利益を犠牲にする
Jessy、ゴールドファイナンス
5月22日、SuiエコシステムのDEX Cetusが2.23億ドルの資金を盗まれました。このうち6000万ドルはクロスチェーンブリッジを通じてETHに交換され、ハッカーの手に渡りましたが、残りの1.62億ドルはSui財団によってノードが凍結されました。
5月27日にコミュニティ投票が開始され、「ハッカーが管理するアカウントに凍結された資金を回収するために、プロトコルのアップグレードを実施するかどうかを決定する」ことが行われた。最終的にプロトコルのアップグレードが実現し、1.62億の資金が成功裏に回収された。
Sui財団は今回の盗難事件に対する迅速な対応と迅速に導入された解決策により、コミュニティ内で大きな議論を引き起こしました。一方では、彼らは大部分の資金を回収し、盗まれたユーザーの利益を保障しましたが、他方では、回収の方法はノードの合意を通じて資産の帰属を強制的に変更することであり、これは公衆チェーンレイヤーでの「秘密鍵なしの資産移転」が初めて実現されたものです。
ユーザーの利益の前で、こんなにも「大胆」に「分散化の精神」に反する操作が無視されてしまった。
プライベートキーなしで資産を移転する方法は?
5月22日、SuiエコシステムのDEX Cetusが自身のコードの初歩的なミスによりハッキングを受け、2.23億ドルの損失を被りました。この事件の後、盗まれた資金のうち1.62億ドルがSui財団によって調整された検証ノードにより凍結されました。
5月27日、Sui財団はコミュニティ投票を推進し、この投票はハッカーの管理するアカウントに凍結されている資金を回収するためのプロトコルアップグレードの実施を決定することを目的としていました。最終的には48時間以内に、114のノードのうち103が投票に参加し、99票が賛成、2票が反対、2票が棄権し、90.9%の高票で提案が通過しました。
提案を通じて、Suiプロトコルのアップグレードを示唆しており、これにより特定のアドレスがハッカーのアドレスを代表して2回の取引を行い、資金の回収を促進することが可能になります。これらの取引は設計され、回収アドレスが最終的に確定した後に公開されます。回収された資産は、Cetus、Sui財団、およびSuiコミュニティ内の信頼された監査人であるOtterSecが管理するマルチシグウォレットに保管されます。
プロトコルのアップグレードの観点から、アドレスエイリアシング機能を導入します。具体的には、特定のガバナンス操作を「ハッカーアカウントの合法的な署名」に偽装するルールをプロトコル層で事前に定義し、アップグレード後に検証ノードがその偽造署名を承認することで、凍結された資金の移転を合法化します。これにより、秘密鍵に触れずにノードのコンセンサスを通じて資産の所有権を強制的に変更することが可能になります(これは中央銀行が銀行口座を凍結した後に資金を移動するのに似ています)。
では、最初の凍結資産はどのように実現されたのでしょうか?Sui自体はDeny list(凍結リスト)およびRegulated tokens(規制対象トークン)機能をサポートしており、今回は直接凍結インターフェースを呼び出してハッカーのアドレスをロックしました。
残された権力介入の技術的リスク
この措置により凍結された資産の大部分が回収されたものの、懸念も免れません。なぜなら、プロトコルのアップグレードにより、ノードの合意を通じて資産の帰属が強制的に変更され、Suiの公式が任意のアドレスで署名を行い、その資産を移動させることができることを示唆しているからです。
Sui公式がこれを実行できるかどうかは、スマートコントラクトコードではなく、ノードの投票権に依存しています。そして、ノード投票の結果は誰が握っているのでしょうか?それは結局、財団が資本を支配する大きなノードということになります!つまり、Sui公式の利害関係者が最大の発言権を持っており、投票であっても、単なる形だけのものに過ぎないのです。
ユーザーの秘密鍵は、もはや資産の絶対的な制御証明書ではありません。ノードのコンセンサスが同意すれば、プロトコル層は秘密鍵の権限を直接上書きできます。
しかし一方で、これは資産回収の効率を実現し、Suiに内蔵された監視機能のおかげで資産を迅速に凍結し、迅速な損失回避を可能にします。48時間以内に投票が完了し、プロトコルのアップグレードが実施されました。
しかし、筆者の考えでは、アドレスエイリアシング機能は危険な前例を作り出しました——プロトコル層が任意のアドレスの「合法的な操作」を偽造できるため、権力の介入の技術的な伏線を埋め込んでいます。
今回のSuiによる資金回収の一連の操作は、ユーザーの利益と分散化の原則が衝突する際に、パブリックチェーン側がユーザーの利益の観点から意思決定を行ったことに過ぎない。そして、分散化の原則に反しているのかどうかは、ユーザーやSuiにとっては重要ではないようだ。結局、疑問を呈された際には「投票」によって決定されたと答えられるからだ。