今週、ポルカドット(Polkadot)ブロックチェーンを基盤としたプラットフォーム「Acala」で作られた新しいタイプのステーブルコイン「aUSD」が、Acalaの流動性プールへの攻撃を受けて、1ドルのペッグを失い、0.009ドル(私に言わせれば、これはゼロに等しい)まで値下がりした。
Acalaが直接攻撃、ハッキング、妨害を受けたのではない。Acalaを基盤としたiBTC/aUSD流動性プールが、直接攻撃、ハッキング、妨害を受けたのだ。攻撃は成功し、犯人たちは何十億ものaUSDを自分たち向けに発行した。このように新しいaUSDが大量に流入したことで、供給過多によってaUSDの価格が暴落したのだ。
aUSD価格はその後回復したが、それはAcalaコミュニティが、不適切に発行された何十億ものaUSDを破壊すると投票で決定したからである。
発行されたaUSDは本当に不適切に発行された訳ではないこと、中央集権的な力がこの問題を解決するために介入する必要があったことは脇に置いておいて、暗号資産プロトコルの安全性は、それを基盤としてその上に築かれたものの安全性に左右されることについて考えていこう。
素早く行動しすべてを破壊する
aUSDは、破壊されたりハッキングされた初めての暗号資産ではない。例えば、6億2500万ドルの被害を出した人気NFTゲーム「アクシー・インフィニティ(Axie Infinity)」専用のレイヤー2ソリューション「Ronin Network」や、3億2600万ドルの被害を出したブリッジツール「ワームホール(Wormhole)」への攻撃があった。
しかし、1つだけはっきりさせておくべきなのは、aUSDは機能しなくなった訳ではない、という点。攻撃者たちはメインフレームか何かに侵入するために建物に忍び込んだ訳でもないのだ。
aUSDは設計された通りに動いていた。バグを抱えたコードが流動性プールを動かしており、そのコードによって、攻撃者たちは何十億ものaUSDを発行することができたのだ。
これは、前述の2つの例と同じだ。CoinDeskでは、これらの攻撃を説明するのに、「エクスプロイト(脆弱性につけ込んだ攻撃)」という用語を正確に利用してきた。aUSDの件でも、ハッキングではなく、エクスプロイトという言葉を使うべきだろう。お粗末なコードにつけ込んだ攻撃の特徴を、より正確に捉えることができるからだ。
もちろんエクスプロイトというのは、聞いたこともないようなプロトコルだけを対象としたものではない。例えば、Acalaはポルカドットを基盤としている。ポルカドットのネイティブトークンDOTは、時価総額トップ11だが、ポルカドットはイーサリアムとは違う。
しかしイーサリアムも2016年、エクスプロイトの被害に遭っている。The DAO攻撃と呼ばれるこの出来事は、チェーンの分裂(イーサリアムクラシック)と信頼の喪失につながった。
この事実は、プロトコルが壊れることを恐れて、ビットコインに一切の変更を加えることを拒むビットコイン開発者たちにとっては、良い根拠となるだろう。私は何も、ビットコインやその他の暗号資産プロトコルでの新しい発展を止めようと訴えている訳ではないが、シリコンバレーのテック企業と暗号資産の間に類似性を見るのがあまりに簡単であることを受けて、警告を発したいと思っている。
シリコンバレーのテック企業の精神は、「素早く行動し破壊せよ(Move fast and break things)」であったが、暗号資産の場合には、リスクが一段と高いのだ。
顧客管理ソリューションを提供するセールスフォース(Salesforce)の開発者が、顧客体験にダメージを与えるようなバグを作ってしまったとしても、そのバグを直すコストは、解決にかかる時間だけだ。評判がダメージを受けるかもしれないが、企業は1年にいくつかの間違いであれば、問題なく切り抜けられる。
暗号資産の場合は、そうはいかない。新しいプロダクトやレイヤー、スマートコントラクトなどを通じて暗号資産プロトコルにバグが組み込まれ、エクスプロイトの被害に遭えば、そのダメージは広範に広がり、元には戻せないかもしれない。暗号資産プロトコルを基盤に開発を行うのは結構だし、プロトコルそのものもアップグレードされるべきだが、慎重にやらなければならない。
結局のところ私の結論というのは、素早く動いてすべてを破壊するのも結構だが、すべてを壊したくないなら話は別だ、ということになるだろう。
|翻訳・編集:山口晶子、佐藤茂
|画像:Shutterstock
|原文:In Crypto, Base Layer Security Isn’t Enough
