Arbitrum セキュリティ委員会メンバーへの独占インタビュー:なぜ我々は北朝鮮のハッカーが窃取した7,200万ドルの資金を「神の権限」で凍結したのか?
TechFlow厳選深潮セレクト
Arbitrum セキュリティ委員会メンバーへの独占インタビュー:なぜ我々は北朝鮮のハッカーが窃取した7,200万ドルの資金を「神の権限」で凍結したのか?
もし朝鮮の資金を凍結させることでサークル(Circle)が利益を得られるなら、彼らは間違いなくそうするでしょう。
Web3業界の深掘り報道に専念し潮流を洞察編集・翻訳:TechFlow
ゲスト:Griff Green(Arbitrumセキュリティ委員会メンバー)
ホスト:Zack Guzman
ポッドキャスト配信元:Coinage
オリジナルタイトル:Why Arbitrum Decided To Take Back $72M North Korea Stole
放送日:2026年4月23日
編集者による解説
ここ数日、イーサリアムおよび暗号資産業界全体が、流動性再ステーキングプロトコル「Kelp DAO」のハッキング事件に注目しており、その影響は分散型貸付プラットフォーム「Aave」にも及んでいます。
Arbitrumセキュリティ委員会は緊急権限を行使し、北朝鮮系ハッカーと疑われるウォレットアドレスから約7,200万ドル相当の資産を凍結・回収しました。これは、現在の暗号資産業界において、L2チェーンがいわば「神の権限(God Mode)」を発動して特定アドレスの資金を凍結した初の事例です。本ポッドキャストの放送前から、コミュニティ内では議論が絶えず、賛否両論が渦巻いていました。すなわち、「Arbitrumが正しい判断を下した」という評価がある一方で、「あるチェーンが特定アドレスの資産を自由に移転できる能力を持つこと」に対して、その権限の範囲や分散化の程度に対する懸念も高まっています。
本回のゲストであるGriff Green氏は、この決定を下す権限を有するArbitrumセキュリティ理事会のメンバーの一人です。さらに彼は、2016年のThe DAOハッキング事件の当事者であり、イーサリアムのハードフォーク推進の中心人物の一人でもあります。インタビューでは、北朝鮮系ハッカー事件におけるCircle(USDC発行元)の「一貫した不作為」を直接批判し、Tetherの積極的な資金凍結行動と対比させ、「Circleの意思決定は単に財務諸表上の見栄えを重視したものに過ぎない」と断じています。
キーワード・ハイライト
ブロックチェーンの「不変性」は誤解である
- 「人々はブロックチェーンは不変であると考えがちですが、実際には、ブロックチェーンの基盤は社会的合意です。全員がプロトコルのアップグレードに同意すれば、ルールを変更できます。イーサリアムもビットコインも同様です。」
- 「だからこそ、現在のビットコインコミュニティでは、サトシ・ナカモトのコインを凍結しようという議論が行われているのです。これは技術的には十分に可能であり、なぜならブロックチェーンは絶対的に不変ではなく、単に一定のルールに従っているだけだからです。」
分散化の真の基盤は市場の行動にある
- 「もし人々が私たちの決定を気に入らなければ、彼らはトークンを売却します。もしビットコインネットワークが協調して人々の資金を盗もうとすれば、保有者は当然、即座に売却するでしょう。分散化の真の基盤は市場の行動にあり、今回の件における市場のダイナミクスの役割は、あまりにも過小評価されています。」
- 「正直に言いますが、私たちが何もしなかったとしても誰も非難しません。何もしないことはリスクがほぼゼロなので、少しの冒険心が必要なのです。」
北朝鮮ハッカーの攻撃手法
- 「北朝鮮は、スマートコントラクトレベルでの攻撃をほとんど行いません。多くの場合、攻撃対象となるのはコードではなく『人』です。彼らはソーシャルエンジニアリングによって、特別な権限を持つ鍵の所有者を特定し、そのパソコンと秘密鍵へのアクセスを奪います。」
- 「なぜ彼らが資金を一つのアドレスに2日間も放置したのかは不明です。おそらく連続3日間作業した後、日曜は休んで、月曜は遅刻したのでしょう。それが私たちの行動のウィンドウでした。」
CircleとTetherの比較
- 「明確に申し上げます。Circleには明らかに『良い人』がいないのです。彼らはずっと『何もしない』という選択を続けているからです。一方、Tetherは北朝鮮の資金を継続的に凍結しており、回収額は7,000万ドルをはるかに上回っています。」
- 「Circleの起源は暗号資産ネイティブではなく、ゴールドマン・サックスです。そのため彼らの意思決定のロジックは単純に『この措置が財務諸表上でどう映るか』という点に集中しています。北朝鮮の資金を凍結すれば利益が出るなら、彼らは間違いなくそうするでしょう。」
セキュリティ問題は暗号資産業界の実用化最大の障壁
- 「現在の技術水準であれば、PayPalや銀行よりも安全なものを構築することは十分可能です。銀行やPayPalのインフラをそのまま借りてきて、第三者機関(カストディアン)を取り除き、ノンカストディアル版を作成する技術はすでに整っています。」
- 「フィッシング被害で銀行口座の資金を失った人に出会ったことは一度もありませんが、フィッシングで暗号資産を失った人はたくさん知っています。」
- 「私は公共の利益のために建設活動を続けており、政府よりも優れたものを創ろうとしてきましたが、何度も同じ課題に阻まれています。すなわち、この技術は現時点では、一般の人々が安全に利用できる状態になっていないという点です。」
「神の権限」の発動
Zack Guzman: 皆が事態の展開を見守っており、議論も尽きません。まず、Arbitrumセキュリティ委員会の組織構造について教えてください。あなたは委員会の一員であり、ご自身の投稿でも、これは極めて重大な判断であったと述べられています。この一連の出来事は、どのように展開したのでしょうか?
Griff Green: Kelp DAOが攻撃を受けました。責任の所在はKelp DAO側か、あるいはクロスチェーンメッセージ伝達プロトコル「LayerZero」側かについてはまだ議論が続いていますが、その影響は確かにAaveにも及びました。これはクロスチェーンブリッジを標的とした攻撃であり、当初L2上に存在していた約3億ドル相当のトークンが、ハッカーによってブリッジから盗まれ、その後イーサリアムメインネットおよびArbitrum上のAaveへ預け入れられ、ETHを担保に借入が行われました。
北朝鮮系ハッカーが得たETHは、彼らのウォレットに数日間放置されたままだったため、我々には救援活動を調整するための時間的余裕が生まれました。Arbitrumは、現在も開発中のStage 1ローリング(一定のセキュリティ保障はあるものの、完全な分散化はまだ達成されていない段階)であり、セキュリティ委員会が設置されています。これは12名の委員のうち9名の署名(9-of-12マルチシグ)が必要な仕組みです。我々は、暗号資産業界のセキュリティ緊急対応組織「Seal 911」と協力し、緊急権限を活用して、北朝鮮が支配するアドレスから資金を移転し、彼らがアクセスできない新しいアドレスへ凍結しました。
ブロックチェーンの基盤
Zack Guzman: 私は9-of-12という承認要件を知りませんでしたが、多くの人も同様に知らないようです。また、北朝鮮のハッカーには、こうした機能の存在を知られたくないでしょう。
Griff Green: 実際には、これは完全に公開されている情報です。人々はブロックチェーン技術についていくつかの誤解を抱いていると思います。ブロックチェーンの基盤は、オープンソースのコード、サーバー上で動作するノード、そして社会的合意です。
私の最初のプロジェクトはThe DAOでした。当時、1.5億ドルを調達しましたが、その後ハッキングされました。詳しく知りたい方は、Laura Shin氏が著した『The Cryptopians』をご覧ください。そこにこの事件について100ページにわたる詳細な記述があります。最終的には、イーサリアムネットワークのハードフォークを通じて、今回Arbitrumで行ったのと非常に類似した措置を講じました。つまり、ハッカーの許可を得ることなくルールを破り、ハッカーのウォレットから資金を移転したのです。
これはイーサリアムでもビットコインでも可能であり、あらゆるチェーンで可能です。なぜなら、ブロックチェーンの本質は社会的合意に基づいており、現在ビットコインコミュニティでは、サトシ・ナカモトのコインを凍結しようという議論がなされていますが、全員が合意すればそれは実現可能だからです。
Arbitrumではやや異なり、全ネットワークのノード運営者を説得する必要はありません。代わりに二つの道筋があります。ひとつはARBトークン保有者が投票により同様の措置を実行すること、もうひとつは、緊急時にセキュリティ委員会の9-of-12マルチシグで実行することです。これまで委員会の権限は、バグ修正やプロトコルのアップグレードにのみ使用されており、資金の凍結は一度も行われていませんでした。私が知る限り、これは大規模なL2チェーンによる初めてのオンチェーン資金凍結事例です。
二つの事件の比較
Zack Guzman: あなたはThe DAOハッキング事件と今回の事件の両方を経験されていますが、両者を比較してどのような感想をお持ちですか?
Griff Green: 今回はずっと楽でした。The DAOは私の自社プロジェクトであり、1.5億ドルが盗まれたため、精神的負担ははるかに大きかったです。今回は個人的な資金損失は一切なく、単にセキュリティ委員会メンバーとして支援に入ったにすぎません。
さらに、現在のインフラは当時より遥かに整備されており、何が起こったのかを迅速に把握できます。The DAOがハッキングされた当時は、ハッカーが誰なのかすら分かりませんでした。しかし今回は、Seal 911がFBIと連携し、攻撃者が北朝鮮系であることをほぼ特定しました。こうした裏側のネットワークを通じて、エコシステム外の情報も入手できました。
主要な論点の検討
Zack Guzman: 決定に至る議論の中で、『何もしない』という選択肢は、北朝鮮がこれらの資金を保持することを意味します。一方で、DeFi全体に「寒蝉効果(Chilling Effect)」を及ぼすのではないかという懸念も出ています。その議論の過程はどのようなものでしたか?
Griff Green: 最初の課題は技術的なものでした。完璧な技術的解決策を見つけるのに多くの時間を費やしましたが、そもそもそのような解決策が存在すること自体が驚くべきことであり、その功績は裏方の技術者たちに帰属します。
技術的実現可能性が確認された後、ようやく本格的な議論が始まりました。「できる」ことは分かったが、「すべきか?」という問いです。
私個人としては、攻撃者の北朝鮮関与はほぼ確実であり、金額は7,200万ドル、DeFiは存亡の危機にさらされています。私の任務はArbitrum憲法を守り、Arbitrumにとって正しいと判断することです。私たちが何もしなかったとしても誰も非難しません。何もしないことはリスクがほぼゼロなので、これには確かに少しの冒険心が必要です。
「たった9人がチェーン上でこんなことができるのか?」と不快に思う人もいるでしょう。しかし、9人の極めてリスク回避志向の強いセキュリティ専門家が、すべての潜在的リスクを精査した上で、一致して何かを行うという難しさは、想像以上です。おそらく、マイナー・プールを動員してサトシ・ナカモトのコインを凍結させるよりも難しいでしょう。
重要な点は、システムが依然として分散化されているということです。これはアーキテクチャの面だけでなく、市場の感情や価格の動きといった面でも同様です。人々が私たちの決定を気に入らなければ、彼らはトークンを売却します。これが分散化の真の基盤であり、今回の件における市場のダイナミクスの役割は、あまりにも過小評価されています。
Zack Guzman: セキュリティ委員会はARBトークン保有者によって選出されます。今回の事件は、イーサリアムエコシステムにおけるハッキング事件への対応姿勢に先例を残すことになるでしょうか?
Griff Green: 一つ過小評価されている点があります。ハッカーが資金を一つのアドレスに2日間も放置することは、極めて稀です。まさにその「放置」があったからこそ、我々には行動のウィンドウが生まれました。Arbitrumでは、これに類するハッキング事件を過去に一度も見たことがありません。なぜ彼らが資金を移動させなかったのかは不明です。おそらく3日間連続で作業した後に日曜は休んで、月曜は遅刻したのでしょう。
したがって、人々はこの件に対してよりオープンになるでしょう。技術的に可能になったというわけではありません(以前から可能でした)。むしろ、実際に運用された事例を目撃したからです。イーサリアム財団が支援するL2セキュリティ評価プロジェクト「L2Beat」には、セキュリティ委員会が緊急アップグレード権限を有していると明記されています。ハッカーはいつでも資金を移動させて我々の努力を無駄にすることが可能でしたが、幸運にもそれを防げました。
セキュリティに関する教訓
Zack Guzman: セキュリティ面での教訓とは?
Griff Green: 第一に、技術的リスク分析をさらに徹底すべきです。Aaveは、時価総額が小さく価格変動が激しいトークンの導入管理については一定の成果を挙げていますが、流動性ステーキングトークン(LST)については規制が甘すぎました。これらのトークンの基盤資産はETHであり、経済的リスクは確かに低いものの、技術的リスクについてはより厳格な審査が必要です。これはAaveに限らず、Morpho、Compound、Skyなど、すべての貸付プロトコルが技術的リスク分析にさらに力を入れるべき課題です。
Kelp DAOの設定には単一障害点(one-of-one、すなわち一つのキーポイントを攻撃されれば全体が崩れる構造)がありました。これが批判の的となっています。しかし、それ以上に大きな問題は運用セキュリティ(OpSec)、すなわち鍵の漏洩です。北朝鮮は、スマートコントラクトレベルの攻撃をほとんど行わず、多くはコードではなく『人』を標的にします。つまり、ソーシャルエンジニアリングによって、特別な権限を持つパソコンと鍵へのアクセスを奪うのです。
対策は二つあります。第一に、セキュリティ基準を強化することです。大規模な資金を管理しているのであれば、あなたのパソコンのセキュリティレベルは、従来の大手テック企業のCEOと同等であるべきです。しかし、暗号資産業界は現時点でそこまで達していません。
7,200万ドルの処理方法
Zack Guzman: 回収された7,200万ドルは今後、どのように処理されるのでしょうか?これも委員会の投票で決めるのですか?
Griff Green: はい、これは非常に興味深いことになります。AaveおよびKelp DAOエコシステムのユーザーの立場は改善されますが、具体的な処理案を定めるのは極めて困難です。DAO内での調整は、政府や大規模組織と同じくらい難しいものです。特に、最終的な意思決定者がない場合にはなおさらです。
当初はAaveとKelp DAOの双方が互いに責任を押し付け合っていましたが、今度はArbitrumが加わって、三つのDAOが協調しなければならない状況になりました。一方で、現実の資金分配という具体性が生じたため、AaveとKelp DAOは互いに責任転嫁するだけでは済まなくなり、公開で処理案を策定する必要があります。この7,200万ドルをユーザーにどのように返還するかについては、最終的にArbitrum DAOのトークン保有者による投票で決定されます。
私の個人的な立場は、ユーザーに100%直接返還されない限り、Arbitrum DAOはこの資金を解放すべきではない、というものです。
補足しますが、セキュリティ委員会は緊急時のみ行動します。我々は意図的に、資金を「0x0000DAO」というアドレスへ送金しました。「DAO」という接尾辞は、あえて選んだものです。つまり、この資金は現在、DAOコミュニティのものであるという意味です。私もまたArbitrum DAOの委任者(デリゲーター)ですが、総投票数が約2億票である中、私が持つ投票権は約1,000万票、つまり全体の約5%にすぎません。他にも、私の権限を上回る多数のデリゲーターが存在します。
現在取り組んでいるプロジェクト
Zack Guzman: 現在取り組んでいるプロジェクトについて、セキュリティテーマと密接に関係しているとお聞きしました。
Griff Green: The DAO事件以降、私はこの業界で一貫して建設活動を続けてきました。私が関わったプラットフォームの一つが、分散型寄付プラットフォーム「Giveth」です。これは、多くの非営利団体がイーサリアム上で資金調達を行うのを支援するものです。私は、こうした非営利団体がいかなる形で資金を失うかを、ありとあらゆるパターンで目の当たりにしてきました。正しいアドレスに送金したが間違ったチェーンを選んでしまったケース、フィッシング被害、スマートコントラクトの脆弱性、取引所のハッキングなど、枚挙にいとまがありません。
現在の技術水準であれば、PayPalや銀行よりも安全なものを構築することは十分可能です。技術はすでに整っています。しかし現実は、フィッシング被害で銀行口座の資金を失った人に出会ったことは一度もありませんが、フィッシングで暗号資産を失った人はたくさん知っています。
そこで我々は「DAO Security Fund(DAOセキュリティ基金)」を立ち上げました。その目標は、イーサリアムを銀行よりも安全なものにすることです。現在、約1.7億ドルのステーキング資産を保有しており、そのステーキング収益をセキュリティ分野の長期的な資金源として活用しています。
第一弾の大規模助成金プログラムは明日から開始されます。qf.giveth.ioで、セキュリティプロジェクトへの寄付が可能です。あなたの寄付の方向性に応じて、100万ドルの助成金プールが各セキュリティプロジェクトに按分されます。
ただし、資金以上に重要なのはプロジェクトの発掘です。市販されている無料のオープンソースセキュリティツールは数百種類ありますが、多くの人はその存在すら知りません。今回のプログラムの核となる目的は、こうしたプロジェクトを一箇所に集め、人々がそれらを発見できるようにすることです。資金はこうしたプロジェクトの存続を支えるものですが、真に影響力を持つのは市場からのシグナルです。すなわち、どのプロジェクトが最も必要とされ、どの分野にさらに多くの人材が投入されるべきか、という点です。
CircleとTetherの比較
Zack Guzman: セキュリティ委員会のような仕組みがない場合、実質的に中央集権的な安定コイン発行者(例えばCircle)が、資金の凍結をどうするかという問題に直面することになります。このような二つのモデルを、あなたはどう見ていますか?
Griff Green: 問題を解決できる能力があるならば、それを解決する責任があります。古い格言に「悪が勝利するのに必要なのは、善良な人々が何もしないことだけだ」というものがあります。
明確に申し上げます。Circleには明らかに『良い人』がいません。彼らは一貫して『何もしない』という選択を続けているからです。一方、Tetherは北朝鮮の資金を継続的に凍結しており、回収額は7,200万ドルをはるかに上回っています。
あなたは逆であるべきだと感じるかもしれませんが、その理由は、Tetherの創業チームがDeFiネイティブ、暗号資産ネイティブであり、旧来の暗号資産の価値観をある程度保持しているからだと考えます。Circleの起源はゴールドマン・サックスであり、彼らの意思決定ロジックは単に「財務諸表上、どう映るか」に集中しています。北朝鮮の資金を凍結することで利益が出るのであれば、彼らは間違いなくそうするでしょう。
私はTetherの過激な支持者ではありません。むしろ、分散化主義者です。しかし、この件に関してCircleの対応は本当に理解に苦しみます。私たちがUSDCを一斉に売却して、市場からの十分なフィードバックを与える必要があるのかどうかさえ疑問です。北朝鮮の攻撃は、私たちの投資ポートフォリオを損なうばかりか、現実世界の安全保障をも脅かしています。誰もが、北朝鮮を阻止しなかったために損害を被っているのです。
Zack Guzman: ブロックチェーンの世界は、多くの人が認識しているよりもはるかに政治的です。
Griff Green: その通りです。金融的であり、高度な技術的側面もあると見られがちですが、そこには大量の政治的な議論が含まれています。自己規制や、新たな基盤の上に社会をどう構築していくかといった議論は、非常に深く掘り下げられています。しかし、こうした考えを現実世界に持ち込もうとするたびに、私はいつもセキュリティという壁にぶち当たります。
大規模プロトコルに対する北朝鮮の攻撃は、その一つの次元です。しかし、それ以外にも、Coinbaseのカスタマーサポートを装った詐欺電話や、ユーザーエクスペリエンスの改善余地など、多くの低レベルの問題があります。これらは国家レベルの攻撃ではなく、単に私たち自身の技術がまだ十分に整っていないというだけの問題です。
私は2013年に暗号資産業界に参入し、2016年に暗号通貨分野で世界初の修士号を取得しました。私は一貫して公共の利益のために建設活動を行い、政府よりも優れたものを創ろうとしてきましたが、繰り返し同じ課題に阻まれています。すなわち、この技術は現時点では、一般の人々が安全に利用できる状態になっていないという点です。しかし今、この課題を変える大きなチャンスが訪れています。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
深潮TechFlow
