超10万ドルがロックされ、unibtcの凍結事件から信頼不要の保管の重要性が浮き彫りになった。
unibtcのようなケースは少なくなく、ユーザーの退出経路を断つ行為は各大取引所で頻繁に見られます。また、クロスチェーンブリッジやその他のタイプのプロジェクトにおいても、中央集権的な権限を行使するケースは少なくありません。著者:DeepSafe Research
2025年4月23日、Brainという名前のネットユーザーが友人の手を借りてTwitterで助けを求めました。彼は、あるビットコインLayer2チェーンでアービトラージ操作を行っている際に、10万ドル以上のunibtc資産がBedrock公式によって拘束され、引き出せなくなったと述べました。
当事者Wの開示によると、4月17日、彼はBedrockが発行したunibtcがあるビットコインL2チェーンで価格異常を示し、BTCと乖離していることに気づきました。Wはこの乖離が一時的なもので、すぐに再びペッグされると考え、良いアービトラージの機会があると判断し、一部のBTCをそのビットコインL2に移し、unibtcに交換してペッグが戻った後に売却することにしました。
乖離が発生してから24時間以内に、unibtcは再びペッグされましたが、Wが手元のunibtcを売却しようとしたところ、そのチェーン上のunibtc-BTC流動性プールがBedrock公式によって撤去されていることに気づきました。このトークンは、そのチェーン上で唯一のunibtc二次市場の退出経路でした。Wは手元のunibtcを売却できず、他のチェーンにunibtcを移そうとしました。
彼がそのチェーン上で唯一unibtcをサポートするクロスチェーンブリッジ(Freeという名前)を見つけたとき、彼は「取引にはプロジェクト側の署名承認が必要です」という通知を受け取りました。WはFreeクロスチェーンブリッジのカスタマーサービスに連絡し、相手は次のように説明しました。「unibtcのクロスチェーンのマルチシグキーはBedrockによって管理されており、彼らの許可がない限り、ユーザーはunibtcを他のチェーンに移すことができません。」
仕方なく、WはBedrockの関係者にこの件を問い合わせました。相手の初期の回答は、「元本を引き出すことは許可できますが、アービトラージによって得られた利益を引き出せるかどうかは、審査を保留する必要があります」というものでした。
これにより、Wはこのチェーン上でunibtcの退出経路が完全に断たれ、自分の手元にある約20万Uのunibtcが「一時的に凍結」されていることに気づきました。つまり、そのチェーン上で売却することも、他のチェーンに移すこともできませんでした。この時、彼は非常に無力感を感じ、元本を無事に引き戻すことだけを願いました。
しかし、Bedrockの関係者の態度は曖昧になり、Wがいつ元本を引き出せるかを明確に示さず、また、リスク審査や技術的調査などの理由で遅延を続け、書面での約束も提供しませんでした。
しばらくの間遅延が続いた後、Bedrockは、unibtcの乖離はLayerBankプラットフォーム上で誰かがunibtc資産を大量に借りて売り崩したことに起因すると主張し、Bedrockの人々はWに「LayerBankに責任を追及するように」と勧めました。しかし、WがLayerBankに連絡した際、長い間返答がありませんでした。
仕方なく、WはTwitterで友人を見つけて助けを求め、2週間以上の交渉の末、ようやくLayerBankとBedrock公式から積極的な反応を得て、資産を取り戻すことに成功しました。
Wの遭遇は決して例外ではありません。他の当事者からのフィードバックによると、昨年Bedrockも同様の手段でユーザーのunibtc退出経路を断ち切り、これらのunibtcが「実質的に凍結」される事態を引き起こしました。もちろん、この記事は上述の事件の背後にある理由を推測するつもりはなく、技術的な観点から、同様の中央集権的な悪行をどのように回避し、排除するかを説明します。
まず、前述の事件を振り返ると、Bedrockはunibtcの発行者であり、二次市場流動性プールの初期LPであるため、unibtc二次市場の退出経路の権限を自然に持っています。その権限を制限するには、技術的手段ではなく、主にガバナンスを通じて行う必要があります。
しかし、前述のFreeクロスチェーンブリッジとBedrockがユーザーのリクエストを拒否する共謀を行ったことは、unibtcの「発行---単一チェーン流通---多チェーン流通」の過程に明らかな技術的欠陥が存在することを暴露しました。BedrockのパートナーであるFreeクロスチェーンブリッジは明らかに高度に中央集権的です。
真のTrustlessなブリッジは、ブリッジの公式がユーザーの退出を妨げることができないことを保証するべきです。しかし、unibtc凍結事件においては、BedrockもFreeクロスチェーンブリッジも強力な中央集権的権限を握っており、検閲に対抗する退出経路を提供していません。
もちろん、unibtcのようなケースは少なくなく、ユーザーの退出経路を断つことは主要な取引所でよく見られる現象です。また、クロスチェーンブリッジや他のタイプのプロジェクトでも、中央集権的権限を行使するケースは少なくありません。2022年6月、Harmony Horizon Bridgeはハッカー攻撃を受け、57種類の資産の引き出しを一時停止しました。この行動には「正当な理由」がありましたが、一部の人々には恐怖感を与えました。
2021年のStableMagnet事件では、プロジェクト側が事前に用意したプログラムの脆弱性を利用して2400万ドルを盗み、最終的に香港と英国が大量の警力を動員し、コミュニティの協力を得て91%の不正資金を回収しました。これらの事例は、資産管理プラットフォームが信頼できないサービスを提供できない場合、最終的には悪い結果を招くことを十分に示しています。
しかし、Trustlessは簡単に得られるものではありません。支払いチャネルやDLCからBitVMやZK Rollupまで、人々はさまざまな実現方法を試みてきました。これらはユーザーの自主権を大いに保障し、信頼できる資産撤回の出口を提供することができますが、その背後には避けられない欠陥が存在します。
たとえば、支払いチャネルは当事者が相手方の潜在的な悪意のある行動を監視する必要があり、DLCはオラクルに依存します。また、BitVMはコストが高く、実践段階で他の信頼仮定が存在します。ZK Rollupのエスケープポッドは長いウィンドウ期間を経てトリガーされる必要があり、Rollupを停止する必要があるため、その背後のコストは非常に大きいです。
現在の各種技術ソリューションの実装状況を見ると、完璧な資産管理と退出のソリューションは存在せず、市場は依然として新しいものを必要としています。以下では、DeepSafe ResearchがDeepSafe公式が提供する資産管理ソリューションを例に挙げ、TEEとZK、MPCを組み合わせた信頼不要のメッセージ検証ソリューションを説明します。このソリューションは、コスト、安全性、ユーザー体験などの相反する指標のバランスを取ることができ、取引プラットフォーム、クロスチェーンブリッジ、または任意の資産管理シーンに信頼できる基盤サービスを提供します。
CRVA:暗号ランダム検証ネットワーク
現在市場で最も広く使用されている資産管理ソリューションの多くは、マルチシグまたはMPC/TSSの方法を用いて資産移転リクエストの有効性を判断しています。このソリューションの利点は、実装が簡単でコストが低く、メッセージ検証の速度が速いことですが、欠点は明らかです------安全性が不十分で、しばしば中央集権的になります。2023年のMultichain事件では、21のMPC計算に参加するノードがすべて一人によって制御されており、典型的なウィッチハント攻撃でした。この事例は、単に表面的に数十のノードが存在しても、高い非中央集権的保障を提供できないことを証明しています。
従来のMPC/TSS資産管理ソリューションの不足に対処するため、DeepSafeのCRVAソリューションは多くの改善を行いました。まず、CRVAネットワークノードは資産のステーキングによる参加形式を採用し、約500のノードが集まった後に正式にメインネットを起動します。推定によれば、これらのノードがステーキングする資産は長期間数千万ドル以上に維持されるでしょう。
次に、MPC/TSS計算の効率を向上させるために、CRVAは抽選アルゴリズムを使用してノードをランダムに選出します。たとえば、30分ごとに10のノードを抽選し、それらを検証者としてユーザーリクエストが通過すべきかどうかを検証し、対応する閾値署名を生成して通過させます。内部の共謀や外部のハッカー攻撃を防ぐために、CRVAの抽選アルゴリズムはオリジナルの環状VRFを採用し、ZKを組み合わせて抽選された者の身元を隠し、外部からは選ばれた者を直接観測できないようにします。
もちろん、これだけでは不十分です。外部が誰が選ばれたかを知らないとしても、選ばれた本人は知っているため、依然として共謀の道があります。共謀をさらに排除するために、CRVAのすべてのノードはコアコードをTEEハードウェア環境内で実行する必要があります。これは、コア作業をブラックボックス内で行うことに相当します。こうすることで、誰も自分が選ばれたかどうかを知ることができず、TEEの信頼できるハードウェアをハッキングできない限り、非常に困難です。
上記はDeepSafeのCRVAソリューションの基本的な考え方です。実際の作業フローでは、CRVAネットワーク内のノード間で大量のブロードキャスト通信と情報交換が行われます。その具体的なプロセスは以下の通りです。
すべてのノードはCRVAネットワークに入る前に、まずチェーン上で資産をステーキングし、登録情報として公開鍵を残します。この公開鍵は「永久公開鍵」とも呼ばれます。
1時間ごとに、CRVAネットワークはランダムにいくつかのノードを選出します。しかし、その前に、すべての候補者はローカルで一時的な「一時公開鍵」を生成し、同時にZKPを生成して「一時公開鍵」とチェーン上の「永久公開鍵」が関連していることを証明します。言い換えれば、誰もがZKを通じて自分が候補者リストに存在することを証明しつつ、自分が誰であるかは明かさない必要があります。
「一時公開鍵」の役割はプライバシー保護です。「永久公開鍵」の集合から直接抽選を行うと、結果を公表する際に、誰が当選したかがすぐにわかってしまいます。もしみんなが一時的な「一時公開鍵」だけを公開し、その中から数人を選出すれば、せいぜい自分が当選したことはわかりますが、他の当選者の一時公開鍵が誰に対応しているかはわかりません。
身元漏洩をさらに防ぐために、CRVAは自分自身が「一時公開鍵」が何であるかを知らないようにします。一時公開鍵の生成プロセスはノードのTEE環境内で完了し、TEEを実行しているあなたは内部で何が起こっているかを見ることができません。
その後、TEE内で一時公開鍵を平文で「ランダムな文字列」に暗号化して外部に送信します。特定のリレーノードだけが復元できます。もちろん、復元プロセスもリレーノードのTEE環境内で完了し、リレーはこれらの一時公開鍵がどの候補者に対応しているかを知りません。
リレーがすべての「一時公開鍵」を復元した後、それらを統一してチェーン上のVRF関数に提出し、当選者を抽選します。これらの人々がユーザーのフロントエンドから送信された取引リクエストを検証し、検証結果に基づいて閾値署名を生成し、最後にチェーン上に提出します。(ここでのリレーは実際には身元を隠し、定期的に抽選されます)
誰かが尋ねるかもしれません。各ノードが自分が選ばれたかどうかわからない場合、作業はどう進むのでしょうか?実際、前述のように、各自がローカルのTEE環境内で「一時公開鍵」を生成し、抽選結果が出た後、リストをブロードキャストします。各自はそのリストをTEEに入力し、自分が選ばれたかどうかを確認するだけです。
DeepSafeのこのソリューションの核心は、ほぼすべての重要な活動がTEEハードウェア内で行われ、TEEの外部からは何が起こっているかを観測できないことです。各ノードは選ばれた検証者が誰であるかを知らず、共謀を防ぎ、外部攻撃のコストを大幅に増加させます。DeepSafeに基づくCRVA委員会を攻撃するには、理論的にはCRVAネットワーク全体を攻撃する必要があり、さらに各ノードにはTEE保護があるため、攻撃の難易度は大幅に上昇します。
CRVAを組み合わせた資産自己管理ソリューションの実現
上記ではCRVAの大まかな原理を紹介し、CRVAがどのように非中央集権的な信頼不要を実現するかを説明しました。次に、HelloBTUというビットコインアルゴリズム安定コインを例に挙げ、CRVAが資産管理ソリューションでどのように適用されるかをさらに明確にします。
ご存知の通り、ビットコインチェーン上にはチューリング完全な環境がないため、Defiなどの複雑なスマートコントラクトロジックを直接実現できません。そのため、主流のBTCFiはビットコインを他のチェーンにブリッジしてからスマートコントラクトと相互作用します。HelloBTUのスマートコントラクト部分はイーサリアム上に配置されており、ユーザーはBTCをHelloBTUが指定する受取アドレスに預け、その後公式ブリッジを介してBTCをイーサリアムチェーンに移し、HelloBTUの安定したスマートコントラクトと相互作用します。
仮にユーザーが10枚のBTCをHelloBTUプラットフォームにステーキングしようとする場合、具体的な操作はまず10枚のBTCをビットコインチェーン上のTaprootアドレスに移転し、対応する解除には2/2のマルチシグが必要です。そのうちの1つの署名はユーザーが生成し、もう1つの署名はCRVAが生成します。
ここで関わるいくつかの状況があります。
仮に10枚のBTCが上記のTaprootアドレスに入った後、ユーザーがこれらの10枚のBTCを使って安定コインを発行し、現在BTCを積極的に引き戻そうとする場合、ユーザーとCRVAはそれぞれ1つの署名を生成し、これらの10枚のBTCを解除してユーザーアドレスに戻すことができます。もしCRVAが長期間ユーザーに協力しない場合、時間ロックのウィンドウ期間が終了した後、ユーザーは一方的にこれらの10枚のBTCを取り戻すことができます。この機能は「ユーザー自主引き戻し」と呼ばれます。
もう一つの状況は、ユーザーが担保として提供したBTCが清算された場合、彼はCRVAと協力してこれらのBTCを移転し、CRVAの一方向チャネルに制御させる必要があります。しかし、ユーザーは協力を拒否することができ、この場合、これらのBTCは一時的に拘束され、誰も取り出せません。時間ロックのウィンドウ期間が過ぎると、これらの資金はCRVAによって移転され、CRVAが制御するTaprootアドレス(CRVAの一方向チャネル)に入ります。
ここでの細かい点は、BTCがCRVAの一方向チャネルに入る際の時間ロックが比較的短いのに対し、ユーザー自主引き戻しの時間ロックが長いことです。言い換えれば、CRVAとユーザーの間でお互いに協力できない場合、これらのBTCは最終的に優先的にCRVAの一方向チャネルに入ります。こうすることで、ユーザー側の債務不履行や悪行を効果的に制限できます。
CRVAが悪行を行う場合については、CRVAは自動化されたノードネットワークシステムであり、初期起動時のコードに悪意のあるロジックが含まれていない限り、CRVAがユーザーに協力を拒否することはありませんので、基本的に無視できます。
もしCRVAが停電や洪水などの不可抗力によって大量のノードが停止した場合、上記のプロセスに従って、ユーザーは依然として資産を安全に引き出す方法があります。ここでの信頼仮定は、私たちがCRVAが十分に非中央集権的であり、悪行を自発的に行わないと信じることです(理由は前述の通りです)。
もしBTCがCRVAの一方向チャネルに移転された場合、通常は対応するチェーン上の安定ポジションが清算されたことを示します。この時、BTCの実際の所有権は清算人に帰属します。清算人は引き出しリクエストを発起し、CRVAが審査を行います。もし通過すれば、CRVAはそのための署名を生成し、対応する数量のBTCを清算人に送ります。
この時、もしCRVAが長期間応答しない場合、時間ロックが期限切れになると、これらのBTCはDAOが制御するアドレスに移転されます。この操作はマルチシグによってトリガーされ、その後の処理はDAOガバナンスによって解決されます。このDAOは著名なプロジェクト、セキュリティ会社、投資機関から構成され、単一の実体の悪行を抑制することを目的として設立されます。
以上のように、DeepSafeのビットコインに対する資産自己管理ソリューションについて大まかな説明を行いましたが、ERC-20資産についてはその原理は類似しており、ここでは詳述しません。前述のunibtc凍結事件について、もしunibtcクロスチェーンブリッジがCRVAの自己管理ソリューションを採用していた場合、資産発行者が一方的に全体を掌握する可能性は非常に低かったでしょう。
