Suiはなぜハッカーが盗んだ1.6億ドルを凍結できたのか?
TechFlow厳選深潮セレクト
Suiはなぜハッカーが盗んだ1.6億ドルを凍結できたのか?
非中央集権は白か黒かの問題ではなく、Suiはユーザー保護と非中央集権の間での特定のバランスを採用している。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Haotian
多くの人が疑問に思っている。Sui 公式が、@CetusProtocol がハッキングされた後、検証者ネットワークが協調してハッカーのアドレスを「凍結」し、1.6億ドルを回復したと発表したが、一体どのように実現できたのか?分散化は「嘘」なのか?以下、技術的視点から分析してみる。
クロスチェーンブリッジ経由での送金部分:ハッキング成功後、ハッカーは直ちにクロスチェーンブリッジを通じてUSDCなどの資産をイーサリアムなど他のチェーンへ移転した。この部分の資金はもはや回収不可能である。一度Suiエコシステムを離れれば、検証者は手出しができない。
Suiチェーン上に残っている部分:依然として相当量の盗難資金が、ハッカーが支配するSuiアドレス内に保管されている。この部分の資金が「凍結」の対象となった。
公式アナウンスによると、「多数の検証者が盗難資金のアドレスを特定し、これらのアドレスからの取引を無視している」。
――具体的にはどう実現しているのか?
1. 検証者レベルのトランザクションフィルタリング――要するに検証者が集団で「目をつぶる」:
-
検証者はトランザクションプール(mempool)段階で、ハッカーのアドレスからの取引を直接無視する;
-
これらの取引は技術的には完全に有効だが、ブロックに含めてくれない;
-
こうしてハッカーの資金はアドレス内で「軟禁」状態となる;
2. Moveオブジェクトモデルのキーメカニズム――Move言語のオブジェクトモデルにより、このような「凍結」が可能になる:
-
移転にはオンチェーン取引が必要:ハッカーはSuiアドレス内の大量の資産を支配しているが、これらのUSDCやSUIなどのオブジェクトを移動させるには、取引を発行し、検証者によって承認・パッケージングされる必要がある;
-
検証者が生殺与奪の権限を持つ:検証者がパッケージングを拒否すれば、オブジェクトは永久に動けなくなる;
-
結果として、ハッカーは名目的にはこれらの資産を「所有」しているが、実際には何の手段もない。
口座カードを持っているが、すべてのATMがサービスを拒否している状況に似ている。お金はカードにあるが、引き出せない。SUI検証ノードによる継続的な監視と介入(ATM)により、ハッカーのアドレス内のSUIなどのトークンは流通不能となり、これらの盗難資金は事実上「焼却」と同じ状態になっている。客観的に見れば「縮小(通貨供給減少)」効果があるかもしれない?
もちろん、一時的な検証者間の調整だけでなく、Suiはシステムレベルで拒否リスト機能をあらかじめ備えている可能性もある。もしそうであれば、プロセスとしては、関連権限保有者(例:Sui財団またはガバナンス経由)がハッカーのアドレスをシステムのdeny_listに追加し、検証者はこのシステムルールに基づいてブラックリストアドレスの取引を拒否する、という流れになるだろう。
一時的な調整であれ、システムルールによる実行であれ、大部分の検証者が統一行動できる必要がある。明らかに、Suiの検証者ネットワークにおける権力分布は依然として集中しており、少数のノードが全ネットワークの重要な意思決定を支配できる状態にある。
また、Suiの検証者の過度な集中はPoSチェーンにおいて孤立した例ではない――イーサリアムからBSCまで、ほとんどのPoSネットワークは同様の検証者集中リスクに直面している。ただ、Suiはこの問題を特に顕著に露呈しただけだ。
――分散化を謳うネットワークが、これほど強力な中央集権的「凍結」能力を持てるのか?
さらに重大なのは、Sui公式が凍結された資金をプールに返還すると表明していることだ。しかし、本当に検証者が「取引のパッケージングを拒否」しているのであれば、理論上これらの資金は永遠に動かせないはずだ。ではSuiはいかにして返還を実現するのか?これはさらにSuiチェーンの分散化特性に疑問を投げかける!
もしかしたら、少数の集中した検証者が取引を拒否する以外に、公式側がシステムレベルで資産の帰属を直接変更できるようなスーパーユーザー権限を持っているのか?(Suiには「凍結」の詳細を開示する必要がある)
具体的な詳細が明らかになる前に、分散化に関するトレードオフについて議論しておく必要がある。
緊急時の応急措置として、少し分散化を犠牲にすることは必ずしも悪いことなのか?もしハッキングが発生した場合、チェーン全体が何もしないことがユーザーの望むところなのか?
言いたいのは、誰もが当然ながらお金をハッカーに取られたくはないが、この措置により市場がより懸念するのは、「凍結」の基準が完全に「主観的」になってしまうことだ。何を「盗難資金」と見なすのか?誰が定義するのか?境界線はどこか?今日ハッカーを凍結できれば、明日は誰を凍結するのか?このような先例ができれば、パブリックチェーンの最も重要な価値である検閲耐性が完全に崩壊し、ユーザーの信頼低下を避けられない。
分散化は白か黒かの二者択一ではなく、Suiはユーザー保護と分散化の間に特定のバランスポイントを選んでいる。根本的な問題は、透明なガバナンスメカニズムと明確な境界基準が欠如していることにある。
現時点のブロックチェーンプロジェクトの多くがこのようなトレードオフを行っているが、ユーザーには真実を知る権利があり、「完全に分散化」というラベルに誤解させられてはならない。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
Haotian | CryptoInsight
