アクシーのRoninへの攻撃と、クロスチェーンのリスク

今月、暗号資産(仮想通貨)のニュースが、メインストリームメディアの見出しを飾った。人気NFTゲーム「アクシー・インフィニティ」の専用レイヤー2ソリューション「Ronin Network」から、6億2400万ドルが盗まれたと発表されたのだ。

攻撃にあったのはRonin Bridgeという、ユーザーがRoninとイーサリアム間で資産を動かすための機能だ。今回の攻撃は、暗号資産関係者の一部にとって、暗号資産の未来が「マルチチェーン」になったとしても、「クロスチェーン」となる可能性は低いことの証であった。

より高速で安価だが一段と中央集権化が進んでいる各種ブロックチェーンへと、イーサリアムからの流出が続く中、今回の攻撃は分散化の大切さを思い起こさせてくれるものでもあった。

Roninはイーサリアムと並行するサイドチェーンだ。超人気プレイトゥアーン(P2E=Play-to-Earn)ゲーム「アクシー・インフィニティ」を手がけるスカイ・メイビス(Sky Mavis)は2020年、イーサリアムのベースレイヤーは、この人気ゲームを支えるのに必要なすべての取引をこなすには遅く、高価すぎると判断し、Roninを開発した。

Roninなどのブリッジは通常、1つのチェーン上のスマートコントラクトに暗号資産をロックアップし、目的地となるチェーン上で「ラップド」トークンを発行することで機能する。

例えば、Ronin Bridgeを使って、イーサ(ETH)をイーサリアムからRoninに動かしたい場合には、イーサリアム上でETHがロックアップされて、Roninで発行されるラップドイーサ(WETH)を1対1で裏づけるために使われる。

一カ所にあまりに多くの資産がロックアップされているため、ブリッジは格好の攻撃ターゲットとなっている。Roninを攻撃した犯人は、Ronin Networkのセキュリティ確保を任されている9のバリデーター鍵のうち、5を確保して攻撃を行った。

鍵の過半数を保有することによって、Ronin Bridgeからイーサリアムウォレットへと、直接大量の暗号資産を移動させることができたのだ。

Roninへの攻撃は、その全容が明らかになるとすぐさま、2020年以降、DeFiプロトコルへの攻撃を被害額順にランク付けしているRektのランキングトップに躍り出ることとなった。

暗号資産ブリッジから大量の暗号資産が盗まれたのは、Roninが初めてではなく、これが最後となることもないだろう。RektランキングでRoninに次いで2位、3位につけているのも暗号資産ブリッジに対する攻撃だ。

第3位は、2月に発生したワームホール(Wormhole)ブリッジに対する攻撃で、被害額は3億1100万ドル。ハッカーが6億1100万ドルを盗んだのに結局は返却した2021年8月のポリ・ネットワーク(Poly Network)への攻撃が、第2位につけている。

チェーンをまたぐリスク

暗号資産ブリッジから再び数億ドルが盗まれたことで、暗号資産コミュニティの中では、Roninへの攻撃は、「クロスチェーン」が失敗に終わる定めにあることのさらなる証だと主張する声も聞かれる。

イーサリアムコミュニティでは、1月にクロスチェーンブリッジの限界について自らの思いを語ったイーサリアムの生みの親ヴィタリック・ブテリン氏の言葉も引き合いに出されている。

「ブリッジの根本的なセキュリティ上の限界こそが、私がマルチチェーンブロックチェーンエコシステムについては楽観的であるが、(中略)クロスチェーンアプリケーションについては悲観的な理由だ」と、ブテリン氏は語っていた。

クロスチェーンブリッジを介して資産を送ることは、個々のブロックチェーンエコシステム内で取引を行う場合と同じような安全性の保証を伴うことは決してないと、900ワードにも及ぶ長文でブテリン氏は説明した。

クロスチェーンブリッジに対するブテリン氏の批判は主に、Roninに対するものと同じような51%攻撃に特に脆弱であるという事実に起因する。1つのブロックチェーン上でブリッジが攻撃され、資金が盗まれると、ブリッジの反対側となる別のブロックチェーン上にいるユーザーも影響を受ける。裏づけを持たないトークンだけが手元に残されることになるからだ。

「100のチェーンがあるとすると、そのチェーン間で多くの相互依存関係にあるDapp(分散型アプリ)があり、1つのチェーンに51%攻撃が仕掛けられると、エコシステム全体のエコノミーを脅かすような、システム全体に及ぶ波及的影響が生まれる」と、ブテリン氏は説明した。

スカイ・メイビスは、サイドチェーンのRoninを開発することで、イーサリアム上で運営する能力を拡大しようとした。しかし、サイドチェーンを通じてレイヤー1ブロックチェーンをスケーリングすることは、常にブリッジを必要とするもので、レイヤー1チェーンから安全性の保証を引き継ぐロールアップのようなソリューションを通じたスケーリングほどには安全にならない。

分散化の価値

クロスチェーンブリッジの短所を浮き彫りにする以外にも、Roninへの攻撃は、イーサリアム支持者たちの間で中核的となっている主張を裏づけた。これは、ビットコイナーや暗号資産理想主義者たちも共有している思いであり、どんな暗号資産エコシステムの成功にも、真の分散化が必要不可欠だ、というものだ。

分散化は、暗号資産ファンたちの政治的主張やイデオロギーと一緒くたにまとめられ、支配者組織や仲介業者から、一般市民へと権力を取り戻すという約束として表現されてきた。

このような、分散化の哲学的美徳にまつわる主張は一、部の人にとっては魅力的だが、ブロックチェーンが他のどんなテクノロジーとも同じように腐敗しやすいと考える人たちにとっては、うんざりなものだ。

さらに、現在のユーザーたちは、安価で高速に取引できさえすれば、分散化なんて気にかけないと信じ、分散化を軽視する暗号資産プロジェクトが、ますます多く登場してきている。

Roninへの攻撃は、ユーザーがどう考えるかに関わらず、巨額の資金が絡むアプリケーションにとっては、分散化がセキュリティ面で実用的な意義を持つということを、思い起こさせてくれる。

スカイ・メイビスは、取引を高速化させ、コストを削減するために、イーサリアムを離れてRoninを作った。その目的は果たした(Roninはピーク時には、イーサリアムよりも500%多くの取引を処理した)が、わずか9人のバリデーターがネットワーク全体のセキュリティを担う中央集権化したProof-of-Authorityモデルによって、攻撃に対して脆弱なものとなってしまっていたのだ。

イーサリアムはスケーラビリティの点で大きな弱点を抱えており、イーサリアム2.0への移行の遅さによって、Roninなどのより中央集権化したチェーンが、必要に迫られて登場する余地を生んだ。

それでも、イーサリアム2.0に向けた大型アップデート「マージ(Merge)」が近づく中、Roninへの攻撃は、大規模な分散化という困難な取り組みが、今でも大切なままである理由を示している。

|翻訳・編集:山口晶子、佐藤茂
|画像:Shutterstock
|原文:Ronin Attack Shows Cross-Chain Crypto Is a ‘Bridge’ Too Far