6億ドルのハッキングが浮き彫りにする暗号資産の信頼問題

分散型金融サービス(DeFi)プロジェクトのPoly Networkがハッキングされ、約6億ドル(約660億円)相当の暗号資産が流出した時、その被害金額の規模が注目された。2018年に5億ドルの被害を出したコインチェック(Coincheck)のものよりはるかに大きい訳ではないが、被害額では過去最高の暗号資産ハッキングであった。

俯瞰してみると、マウントゴックス(Mt. Gox)を破綻に追いやったとされる2013年の攻撃までさかのぼる、一連のハッキングの当然の帰結のようにも見えた。マウントゴックスは、2014年のビットコイン(BTC)価格で、約4億7300万ドルの価値があった。

言い換えると、その規模にも関わらず、Poly Networkに対するハッキングはそこまで興味深いものではなかったのだ。

一方、事態は奇妙な展開を見せた。

ハッカーは、Poly Network、マイナー、セキュリティ企業のSlowmist、そしてステーブルコイン発行を手がけるテザーとの交渉に入ったと報じられた。交渉がどんなものだったのかはいまだにはっきりとしないが、少なくとも2つのことが分かっている。

まず、Poly Networkはハッカーに対して、盗まれた資産を返却する見返りに50万ドルの「バグ報奨金」の提供を申し出た。そしてSlowmistは、ハッカーのIPアドレスとEメールアドレスを特定したと主張している。(ハッカーはこれを否定している)

そして、ハッカーが6億ドル相当のトークンを清算することは困難であると気づき始めた、という強力な仮説も立てられる。大手暗号資産取引所バイナンスのチャンポン・ジャオ(Changpeng Zhao)CEOは、自社プラットフォームにハッキングされた資産が送られた場合には、すべて「凍結」すると約束した。一方のテザーは実際に、ハッキングで盗まれた約3300万ドル相当のステーブルコイン「USDT」を凍結するための措置を講じた。

他の要因もあったかもしれないが、上記3つのポイントだけでも、次なる展開を呼ぶには十分だったはずだ。ハッカーは盗んだ資産を返却したのだ。8月12日までには、ハッキングした資産のほとんどすべて(凍結されたUSDTを除く)が、Poly Networkとシェアしたマルチシグウォレットへと送られた。

つまり、難しいことを成し遂げておきながら、次にどうすれば良いか分からなくなってしまったのだ。過去最悪の暗号資産ハッキングを成功させてみたはいいが、盗んだ資産をどうすれば良いか、ハッカーには分かっていなかった。

悪者からヒーローへの変身を試みる

Poly Networkの助けを借りて、ハッカーはプロレスの世界で「フェイスターン」と呼ばれる、悪者からヒーローへの突然の変身を成し遂げようとしている。

8月16日の朝、ハッカーは認証済みイーサリアムアドレスを通じて、メッセージを投稿。そこには以下の文言が含まれていた。

「お金は私にとってほとんど意味を持たない。報酬を受けてハッキングする人もいるが、私はハッキングの楽しみのためならお金を払っても構わないほどだ。ハッカーがPoly Networkをハッキングできた場合のボーナスとして、報奨金を受け取ることを検討している。(中略)皆の想定する通り、Polyが報奨金を支払わなかったとしても、このショーを続けるだけの資産を私は十分に持っている」

「Polyのコードの一部は信頼している。プロジェクト全体のデザインも称賛できる。しかし、Polyのチーム全体を信頼することは決してない」

つまり、過去最悪の暗号資産ハッキングを成功させたハッカーは、楽しみのためにやったと言っているのだ。しかし、8月11日の声明によると、ハッカーは資産を盗むのではなく、デザインの欠陥を浮き彫りにすることを目的とした善意のハッカーであると主張している。

資産を返却することを「最初から計画」していたとハッカーは語り、Polyの弱点を見つけて修正するのを手伝うハッカーには、手持ちの資金からさらに「報奨金」を支払うとまで言っているのだ。完璧に善良な人のようなのだ。

Poly Networkは盗まれた資産の返却を目指す過程で、「Mr. White Hat」というとても優しいニックネームまで与えて、この転向を大いに支えている。

「White Hat」とはもちろん、「ホワイトハット」ハッカーから来ている。ホワイトハッカーは原則的に、ソフトウェアの脆弱性につけ込んで稼ぎを得ようとするのではなく、修正のために脆弱性を試すのだ。対照的に「ブラックハット」は、利益追求や悪意からハッキングをする。

先手を打ってハッカーを「ホワイトハット」と呼んだPoly Networkの思惑ははっきりとしている。資産を返却し、面目を保つ道をハッカーに与えるためだ。Polyにとっては資産の返却のみが優先事項であり、この戦略は見事なものだ。結局のところ、お酢よりもハチミツを使った方が、多くのハエを捕まえられる。

しかし、Polyの付けたフレンドリーなニックネームと、ハッカー自らの声明以外には、ハッカーの元々の意図が善良であったことを示す証拠はほとんどない。矛盾した証拠の中でもとりわけ、小規模なハッキングでも脆弱性を示すことができたのに、なぜ6億ドルもの資産を移動させたのか、という点が不透明だ。

誰を信じる?

この一件は、暗号資産エコシステムの成長とともに高まってきている葛藤を浮き彫りにしている。「トラストレス(信頼できる第三者を必要としないこと)」は、技術的にも哲学的にも、暗号資産の中核的な信条だ。大まかに言ってしまえば、当てにならず身勝手な人間ではなく、安定して安全なブロックチェーンに信頼を置くことができるという主張なのだ。

しかし、複雑性、競争、リスクの高まりに伴って、暗号資産を支える人間への信頼の必要性が高まっている。間違った人を信頼してしまうことの結果の重大性も、同様に高まっている。このことは、自らの資産を信頼して預けたPoly Networkのユーザーにもはっきりと当てはまる。クロスチェーン機能の一環としてカストディアンとして働くプロトコルを信頼して、様々なトークンが預けられたのだ。

しかし、今回のハッキングは、ユーザーが信頼していたのはシステムではなく、ネットワークのデザイナーとコード開発者だったという事実を痛感させた。そして、その信頼はコードの欠陥によって揺らいだ。

Polyはこの点で、例外的存在ではない。前述の通り、ハッキングや攻撃は、特に分散型金融(DeFi)システムに対して頻繁になっている。DeFiシステムはその複雑性から、ビットコインのようなよりシンプルなシステムよりも本質的に脆弱なのだ。

ハッキングは、システムをより安全なものにするためのプロセスの一環と見ることもできる。今回のハッカーも、当初の意図はどうであっても、Polyをより力強いものにしたことは確かだ。

それでも、ハッキングは不愉快な真実を浮き彫りにする。DeFiでは、システムを開発している人たちの評判が大切なのだ。特にPolyのハッキングは、これがなぜ問題であるかの理由を示している。

Polyは、2014年に中国で立ち上げられたブロックチェーンNeoを手がけるチームが部分的に支えている。アメリカやヨーロッパにいる人が彼らを信頼するには、暗号資産が解消するはずであった言語、地理、政治の境界を超える必要がある。

しかし、その隔たりはむしろ、Polyの思惑についてまったくの陰謀論的な勘繰りを生んでいる。Polyは17日、ハッカーにセキュリティ最高責任者の職を提示した。これはおそらく、ハッカーに気に入られるための懐柔策の一環だろう。しかし、ハッキング自体がマーケティングのための内部の犯行ではないかという憶測も呼んでいる。

暗号資産のトラストレスな性質の重要な要素の1つは、変更不能なことだ。サトシ・ナカモトは2008年、ビットコインのホワイトペーパーの中で、「完璧に不可逆的な」取引というのは、システムの性質でありバグではないと述べた。「元に戻すことが可能になると、信頼できる第三者の必要性が広がる」のだ。

究極的にそれは、誰が正しいかを決め、取引を停止したり、元に戻す権力を持つ、忌まわしい「第三者」である仲裁者が、可逆性には必要であるからだ。しかし、第三者仲介者を除外することは、暗号資産の核心そのものであり、デジタル決済ツールの中でも(そして少なくとも現状では、通貨全体の中でも)暗号資産を独特のものにする特徴だ。

ここで私が言わんとしているのはもちろん、テザーのことだ。このステーブルコインは時価総額630億ドルで、取引を円滑にするという重要な役割を担っており、暗号資産エコシステム全体の大きな支えとなっている。大半のユーザーは、テザーをビットコインのような「暗号資産」と考えているだろうが、ハッキングに対するその反応が、そうではないことを示した。

ハッキングされた3300万ドルを凍結することで、テザー社は「信頼できる仲介業者」であることを示した。(多くの点で実質的にはそうである)銀行のように、テザーはネットワーク上を動く資産をいつでも凍結できることを示したのだ。

テザーのネットワークを使う場合には、テザーの中枢が自分の資産を凍結しないと信頼することになるのだ。(念のために言っておくと、それはテザーの競合USDCでも同じことだ。しかしUSDCを手がけるサークル社は、今回の件に介入しないことを選んだ)

つまり、暗澹(あんたん)としているように感じられるかもしれないが、暗号資産はこの先、ますますジレンマを抱えることには議論の余地がない。それは、伝統的金融システムと対峙する時に私たちが直面するのと同じ、時代を超えた以下の哲学的難問である。

誰を信用するのか?

デイビッド・Z・モリス(David Z. Morris)はCoinDeskのコラムニスト。

|翻訳・編集:山口晶子、佐藤茂
|画像:Shutterstock.com
|原文:The Poly Hack and Crypto’s Trust Issues