数百万文字資産の行方が不明、Multichainは資金管理の不備を疑われている

2022.10.27

共有先

TechFlow厳選深潮セレクト

数百万文字資産の行方が不明、Multichainは資金管理の不備を疑われている

ブリッジプラットフォームが管理口座の資金をどのように使用しているかについて調査が行われている。

2022.10.27 - 09:18:25

Multichain

Web3業界の深掘り報道に専念し潮流を洞察

ブリッジプラットフォームが管理口座の資金をどのように使用しているかについて調査が行われている。

数百万字资产去向不明，Multichain 被质疑资金管理不当

著者：アレクサンドル・ギルバート

分析Layer2ブロックチェーン領域の調査プロジェクトL2 Beatによると、総額10億ドル相当の資産をロックしているクロスチェーンブリッジプラットフォーム「Multichain」が、約8000万ドル相当のステーブルコインと300ビットコインを移動させており、これらの異常な動きが注目を集めている。

L2 Beatは、Multichainがユーザー資金を預託口座から数百万ドル分移動し、自らのネットワーク内で流動性を提供していたと指摘しており、この行為に対してその目的について疑問が呈されている。これらの動きおよびL2による検証については、これまでメディアで報じられていなかった。

社会的契約

L2 BeatのリサーチャーであるBartek Kiepuszewski氏はThe Defiantに対し、「これはユーザーの資金である以上、Multichainが資金を移動したという行為は、もしそのチェーン上のユーザーとの合意がなければ、ユーザーとの社会的契約に違反していることになる」と述べた。

今年、暗号資産の損失事件の大半はハッキングによるものであり、その多くがクロスチェーンブリッジで発生している。クロスチェーンブリッジ技術は、ユーザーが異なるブロックチェーン間でデジタル資産を転送することを可能にするものである。

理由は明確だ。クロスチェーンブリッジは技術的に複雑であり、攻撃者が悪用できる余地が多く存在する。さらに、これらは単一障害点（single point of failure）を形成する。つまり、スマートコントラクトによってユーザーの資金が預託され、対象チェーンでは本物の資産ではなく、いわば借用証書のような形で「転送された」資産が利用されるのだ。

謎の連鎖

そのため、L2 Beatの研究者たちがMultichainを深く調査し、内部からの明らかなリスクを発見したとき、彼らは驚きを隠せなかった。

Bartek Kiepuszewski氏は改めて、「これはユーザーの資金である以上、Multichainが資金を移動したという行為は、もしそのチェーン上のユーザーとの合意がなければ、ユーザーとの社会的契約に違反している」と述べた。

Kiepuszewski氏によれば、確かにチェーン上では資産が預託口座から移動していることが確認できるが、それらの資産が最終的にどこへ行ったのかは依然として不明である。

L2 Beatは、Multichainがこれらの資産を自らのネットワーク内の他の場所で流動性を提供するために使用したと主張しているが、それが事実かどうかを確認するのは極めて困難だと指摘している。

セキュリティ企業Open Zeppelinのソリューション担当責任者Michael Lewellen氏も、こうしたやり方には問題があると述べている。

Lewellen氏はThe Defiantに対し、「ブリッジが保有していると主張する資産が、公開検証可能な方法で実際にどこかに存在するか確認できないのであれば、我々はそのブリッジに対して特に注意を払うべきだと考える」と語った。

L2の指摘は、10億ドル以上のユーザー資金を預かる組織の行動とセキュリティ慣行に対する疑問を突きつけている。Multichainは数十のブロックチェーンを接続し、数千種類の資産のクロスチェーン転送をサポートしている。Multichainが依然として当該暗号資産を保有しており、DeFiプロトコルで盗まれたり、ギャンブルに使われたりしていないことを確認するのは、非常に困難な作業となるだろう。

新たな懸念

さらに、こうした非難は、今年すでに多数の被害が出ているクロスチェーンブリッジ技術に対する信頼をさらに損なう可能性がある。

Rektのハッキングランキングによると、今年発生したハッキング事件のうち、暗号資産史上で最大の損失額を記録したトップ5のうち3件がクロスチェーンブリッジ関連だった。Ronin Networkからは6億ドル以上が盗まれ、Binance Bridgeからはほぼ6億ドル、Wormholeブリッジからは3億ドル以上が盗まれている。

Multichainは、公式ウェブサイトに掲載されているメールアドレスを通じて送られた複数のコメント要請に対して、回答していない。

セキュリティ前提

本セクションでは、L2がブロックチェーン拡張領域の監視において果たす役割を強調している。レンディングプロトコルのMakerDAOがOptimismやArbitrumなどのLayer2ブロックチェーンへの展開を検討する際、これらのチェーンの運営方法についてより深い理解が必要となった。

その後、この調査プロジェクトは独立し、複数のLayer2ブロックチェーン、それらが保持する資金量、およびそれぞれが採用するセキュリティ前提をリスト化するウェブサイト「L2 Beat」として生まれ変わった。

今月、同プロジェクトはブリッジプロトコルのパネルを追加して拡張した。世界第2位のクロスチェーンブリッジプロトコルであるMultichainの横には、L2 Beatチームが感嘆符付きの黄色い小さな盾マークを追加し、ユーザーにMultichainが不適切な行為を疑われていることを警告している。

Kiepuszewski氏は説明する。「すべてのクロスチェーンブリッジは基本的に同じような仕組みで動作しています。ユーザーが資産を特定のアドレスに送信すると、対象チェーン上のバリデーターがその分の「新しい」資産を発行します。ユーザーが元のチェーンに戻したい場合は逆の手順を取り、対象チェーン上で資産を焼却し、バリデーターが当初ユーザーが資産を送った預託アドレスから同等の資産を解放すべきです。」

流動性ネットワーク

対象チェーン上で新規資産を発行できないクロスチェーンブリッジプロトコルは、「流動性ネットワーク」と呼ばれる方式を採用している。流動性プロバイダーが対象チェーンの流動性プールに資産を預け入れる。こうして預けられた資産は、そのブロックチェーンに橋渡しされたユーザーが利用でき、ユーザーが元のチェーンの資産を引き出す際に、再び流動性プールに戻される。

L2 Beatによれば、Multichainは数十のブロックチェーンを接続しており、上記の2つのクロスチェーン方式の両方を使用している。状況に応じて、資産の発行または流動性プールの構築を選択しているという。

Kiepuszewski氏は自身がMultichain側に問い合わせたところ、関係者が暗号資産はクロスチェーンの流動性プールの提供に使用されたと説明したと述べている。

Kiepuszewski氏は、「彼らは、資金は依然としてMultichainエコシステム内にあるため問題ないと言っている。ユーザーは必要な金額をいつでも引き出せるはずだと考えているようだ。しかし、現在、これを監査するのは非常に複雑になる。なぜなら、Multichain全体のエコシステムを分析しなければならないからだ」と語った。

Open ZeppelinのLewellen氏もこれに同意する。「流動性ネットワークであっても、少なくとも各流動性プール（流動性プロバイダーが参加して構成したもの）とさまざまなチェーンを確認し、ブリッジが発行した資産総額が他の場所の流動性プールと一致しているかをチェックする方法はあるはずです。」

Lewellen氏とKiepuszewski氏の両者は、ユーザー資金の流れを可視化するダッシュボードを提供すれば、暗号資産の流動に関する懸念を和らげられるだろうと述べている。

ソフトウェア脆弱性

Kiepuszewski氏は、Multichainが安全な資金保管先であるかを評価する際にも新たな課題が浮上していると指摘する。従来であれば、ソフトウェアの脆弱性が存在しないかが監査の焦点だったが、現在では、ユーザー自身が「Multichain自体を資金預け入れ先として信頼できるか」という疑問を持つようになっている。

仮に資金が適切に保管されていても、迅速な引き出しが難しい場合がある。Lewellen氏は、これによりMultichain自身の問題も露呈していると指摘する。例えば、MultichainのFantomブリッジにおけるDaiの保有量は、Fantom上でMultichainが発行したDaiの量よりも少ないように見えるという。