*Jessy、ゴールドファイナンス*5月22日、SuiエコシステムのDEX Cetusが2.23億ドルの資金を盗まれました。このうち6000万ドルはクロスチェーンブリッジを通じてETHに交換され、ハッカーの手に入りましたが、残りの1.62億ドルはSui財団によってノードが凍結されました。5月27日、コミュニティ投票が開始され、「ハッカーによって制御されたアカウントに凍結された資金を回収するためにプロトコルのアップグレードを実施するかどうかを決定する」ことになりました。最終的にプロトコルのアップグレードが実現し、1.62億の資金が無事に回収されました。Sui財団の今回の盗難事件に対する迅速な対応とすぐに導入された解決策は、コミュニティ内で大きな議論を呼び起こしました。一方では、彼らは盗まれたユーザーの利益を保障するために大部分の資金を回収しましたが、他方では、回収の方法はノードの合意を通じて資産の帰属を強制的に変更することでした。これは公チェーンレベルでの「秘密鍵なしの資産移転」が初めて実現されるものです。ユーザーの利益の前に、このように「大胆」に「分散型精神」に反する行為が無視されてしまった。**プライベートキーなしで資産を移転する方法は?**5月22日、SuiエコシステムのDEX Cetusは、自身のコードの初歩的なミスによりハッカーに攻撃され、2.23億ドルの損失を被りました。事件発生後、盗まれた資金のうち1.62億ドルがSui財団によって調整されたバリデータノードに凍結されました。5月27日、Sui財団はコミュニティ投票を推進しました。この投票の目的は、ハッカーが管理するアカウントに凍結された資金を回収するために、プロトコルのアップグレードを実施するかどうかを決定することです。最終的に48時間以内に、114のノードが103名投票に参加し、99票が賛成、2票が反対、2票が棄権となり、90.9%の高支持率で提案が通過しました。提案を通じて、Suiプロトコルのアップグレードが示されます。これにより、特定のアドレスがハッカーのアドレスを代表して二回の取引を行うことができ、資金の回収を促進します。これらの取引は設計され、回収アドレスが最終的に決定された後に発表されます。回収された資産は、Cetus、Sui財団、Suiコミュニティ内の信頼できる監査人OtterSecが管理するマルチシグウォレットに保管されます。プロトコルのアップグレードの面では、アドレスエイリアシング(address aliasing)機能を導入し、具体的にはプロトコル層で特定のガバナンス操作を「ハッカーアカウントの合法的な署名」として偽装するルールを事前に定義します。そして、アップグレード後に検証ノードがその偽造署名を認めることで、凍結された資金の移転を合法化します。これにより、秘密鍵に触れることなく、ノードのコンセンサスを通じて資産の帰属を強制的に変更することが可能になります(これは中央銀行が銀行口座を凍結した後に資金を移動することに似ています)。では、最初の凍結資産はどのように実現されたのでしょうか?Sui自体はDeny list(凍結リスト)とRegulated tokens(規制トークン)機能をサポートしており、今回は直接凍結インターフェースを呼び出してハッカーのアドレスをロックしました。**残された強権介入の技術的リスク**この措置により凍結された資産の大部分が回収されましたが、資産の帰属がノードの合意によって強制的に変更されたため、Sui公式が任意のアドレスで署名を行い、その資産を移動させることができることを示唆しているため、懸念が残ります。Sui公式がこれを行うことができるかどうかは、スマートコントラクトのコードではなく、ノードの投票権によって制約されています。そして、ノードの投票結果は誰が握っているのでしょうか?それは結局、基金が資本をコントロールする大きなノードに他なりません!つまり、Sui公式の利害関係者が最大の発言権を握っており、投票であっても、ただの形式的なものでしかありません。ユーザーのプライベートキーは、もはや資産の絶対的な制御証明ではなく、ノードの合意があれば、プロトコル層がプライベートキーの権限を直接上書きできます。しかし一方で、これは資産回収の効率性を実現し、Suiに内蔵された規制機能のおかげで資産を迅速に凍結し、迅速な損失回避が可能になります。48時間以内に投票が完了し、プロトコルのアップグレードが実施されました。しかし、筆者の見解では、アドレスエイリアシング機能は危険な前例を作り出しました——プロトコル層であらゆるアドレスの「合法的な操作」を偽造できるため、権力の介入の技術的な伏線が敷かれています。今回のSuiによる資金回収の一連の操作は、ユーザーの利益と非中央集権の原則が対立した際に、パブリックブロックチェーン側がユーザーの利益の観点から決定を下したに過ぎません。そして、非中央集権の原則に違反しているかどうかは、ユーザーやSuiにとっては重要ではないようです。結局、疑問を持たれたときには「投票」によって決定されたと答えることができますから。
Cetusの盗まれた資金が回収される "分散化" がユーザーの利益を妥協する
Jessy、ゴールドファイナンス
5月22日、SuiエコシステムのDEX Cetusが2.23億ドルの資金を盗まれました。このうち6000万ドルはクロスチェーンブリッジを通じてETHに交換され、ハッカーの手に入りましたが、残りの1.62億ドルはSui財団によってノードが凍結されました。
5月27日、コミュニティ投票が開始され、「ハッカーによって制御されたアカウントに凍結された資金を回収するためにプロトコルのアップグレードを実施するかどうかを決定する」ことになりました。最終的にプロトコルのアップグレードが実現し、1.62億の資金が無事に回収されました。
Sui財団の今回の盗難事件に対する迅速な対応とすぐに導入された解決策は、コミュニティ内で大きな議論を呼び起こしました。一方では、彼らは盗まれたユーザーの利益を保障するために大部分の資金を回収しましたが、他方では、回収の方法はノードの合意を通じて資産の帰属を強制的に変更することでした。これは公チェーンレベルでの「秘密鍵なしの資産移転」が初めて実現されるものです。
ユーザーの利益の前に、このように「大胆」に「分散型精神」に反する行為が無視されてしまった。
プライベートキーなしで資産を移転する方法は?
5月22日、SuiエコシステムのDEX Cetusは、自身のコードの初歩的なミスによりハッカーに攻撃され、2.23億ドルの損失を被りました。事件発生後、盗まれた資金のうち1.62億ドルがSui財団によって調整されたバリデータノードに凍結されました。
5月27日、Sui財団はコミュニティ投票を推進しました。この投票の目的は、ハッカーが管理するアカウントに凍結された資金を回収するために、プロトコルのアップグレードを実施するかどうかを決定することです。最終的に48時間以内に、114のノードが103名投票に参加し、99票が賛成、2票が反対、2票が棄権となり、90.9%の高支持率で提案が通過しました。
提案を通じて、Suiプロトコルのアップグレードが示されます。これにより、特定のアドレスがハッカーのアドレスを代表して二回の取引を行うことができ、資金の回収を促進します。これらの取引は設計され、回収アドレスが最終的に決定された後に発表されます。回収された資産は、Cetus、Sui財団、Suiコミュニティ内の信頼できる監査人OtterSecが管理するマルチシグウォレットに保管されます。
プロトコルのアップグレードの面では、アドレスエイリアシング(address aliasing)機能を導入し、具体的にはプロトコル層で特定のガバナンス操作を「ハッカーアカウントの合法的な署名」として偽装するルールを事前に定義します。そして、アップグレード後に検証ノードがその偽造署名を認めることで、凍結された資金の移転を合法化します。これにより、秘密鍵に触れることなく、ノードのコンセンサスを通じて資産の帰属を強制的に変更することが可能になります(これは中央銀行が銀行口座を凍結した後に資金を移動することに似ています)。
では、最初の凍結資産はどのように実現されたのでしょうか?Sui自体はDeny list(凍結リスト)とRegulated tokens(規制トークン)機能をサポートしており、今回は直接凍結インターフェースを呼び出してハッカーのアドレスをロックしました。
残された強権介入の技術的リスク
この措置により凍結された資産の大部分が回収されましたが、資産の帰属がノードの合意によって強制的に変更されたため、Sui公式が任意のアドレスで署名を行い、その資産を移動させることができることを示唆しているため、懸念が残ります。
Sui公式がこれを行うことができるかどうかは、スマートコントラクトのコードではなく、ノードの投票権によって制約されています。そして、ノードの投票結果は誰が握っているのでしょうか?それは結局、基金が資本をコントロールする大きなノードに他なりません!つまり、Sui公式の利害関係者が最大の発言権を握っており、投票であっても、ただの形式的なものでしかありません。
ユーザーのプライベートキーは、もはや資産の絶対的な制御証明ではなく、ノードの合意があれば、プロトコル層がプライベートキーの権限を直接上書きできます。
しかし一方で、これは資産回収の効率性を実現し、Suiに内蔵された規制機能のおかげで資産を迅速に凍結し、迅速な損失回避が可能になります。48時間以内に投票が完了し、プロトコルのアップグレードが実施されました。
しかし、筆者の見解では、アドレスエイリアシング機能は危険な前例を作り出しました——プロトコル層であらゆるアドレスの「合法的な操作」を偽造できるため、権力の介入の技術的な伏線が敷かれています。
今回のSuiによる資金回収の一連の操作は、ユーザーの利益と非中央集権の原則が対立した際に、パブリックブロックチェーン側がユーザーの利益の観点から決定を下したに過ぎません。そして、非中央集権の原則に違反しているかどうかは、ユーザーやSuiにとっては重要ではないようです。結局、疑問を持たれたときには「投票」によって決定されたと答えることができますから。