出典:DeepSafe Research
2025年4月23日、Brainという名のネットユーザーが友人を通じてTwitterで助けを求め、ビットコインのLayer2チェーンで裁定取引を行っていたところ、10万ドル以上のunibtc資産がBedrockの職員によって閉じ込められ、引き出せなくなったと述べた。
W氏の開示によると、4月17日、あるビットコインL2チェーン上でBedrockが発行したunibtcの価格が異常で、BTCから切り離されていることを発見した。 W氏は、デカップリングは一時的なもので、すぐにアンカーに戻り、ここで良い裁定取引の機会があると信じていたため、BTCの一部をビットコインL2に移し、それをunibtcに交換し、アンカーに戻った後に売却しました。
分離後わずか 24 時間以内に、unibtc はアンカーに戻りました。しかし、Wがunibtcを売却しようとしたとき、チェーン上のunibtc-BTC流動性プールがBedrockの役員によって削除されており、このトークンがチェーン上のunibtcの唯一の二次市場出口チャネルであることがわかりました。 Wは手持ちのunibtcを売ることができなかったため、他のチェーンにunibtcを移そうとしました。
チェーン上で unibtc をサポートする唯一のクロスチェーン ブリッジ (Free という名前) を見つけたとき、彼は「トランザクションにはプロジェクト パーティからの署名承認が必要です」というプロンプトを受け取りました。 WはFree Cross-Chain Bridgeのカスタマーサービスを見つけ、次のように説明を受けました。「Unibtcクロスチェーンのマルチ署名鍵はBedrockによってホストされています。許可がなければ、ユーザーはUnibtcを他のチェーンに転送することはできません。」
W は、この件について尋ねるために、Bedrock の従業員を探すしか選択肢がありませんでした。従業員の最初の反応は、「元本の引き出しは可能ですが、裁定取引で得た利益の引き出しが可能かどうかは現在検討中です」というものでした。
この時点で、W はこのチェーン上の unibtc の出口経路が完全に遮断され、手元にある約 200,000 U 相当の unibtc が「一時的に凍結」されていることに気づきました。つまり、このチェーンでそれを販売することはできず、他のチェーンに転送することもできませんでした。この時、彼はとても無力感を感じており、ただ無事に元金を引き出せればと思っただけだった。
しかし、ベッドロック社の担当者の態度は曖昧で、W社がいつ元金を引き出せるのか明確に述べず、書面による確約もせず、「リスク検討」や「技術調査」などの理由で手続きを遅らせた。
その後しばらくして、ベッドロックは、unibtcの分離はLayerBankプラットフォーム上の誰かがunibtcの資産を大規模に借り入れ、市場に売り飛ばしたことが原因だと主張し、その後ベッドロックの関係者はWに「LayerBankに責任を負わせる」よう提案した。 WさんはLayerBankに連絡を取ったが、長い間返答がなかった。
絶望したWさんは、Twitterで友人に助けを求めなければなりませんでした。 2週間以上にわたる交渉の末、彼はついにLayerBankとBedRockの担当者から肯定的な回答を得て、無事に資産を取り戻すことができた。
W さんの経験は孤立したケースではありません。他の関係者からのフィードバックによると、BedRock は昨年も同様の手段を使ってユーザーの unibtc 出口経路を遮断し、これらの unibtc を「実質的に凍結」させたという。もちろん、この記事は上記の事件の原因を推測するものではなく、同様の集中的な悪質な行為を回避および排除する方法を技術的な観点から説明するだけです。
まず、上記の出来事を振り返ると、BedRock は、unibtc の発行者であり、二次市場流動性プールの最初の LP として、当然、unibtc の二次市場から撤退する権限を持っていることがわかります。その権力を制限するのであれば、技術的な手段ではなく統治を通じて行うべきである。
しかし、Free Cross-Chain BridgeとBedRockが共謀して上記のユーザーリクエストを拒否したことで、unibtcの「発行-シングルチェーン流通-マルチチェーン流通」の連携における明らかな技術的欠陥が露呈しました。Free Cross-Chain BridgeはBedRockのパートナーとして、明らかに高度に集中化されています。
真に信頼できないブリッジでは、ブリッジ管理者がユーザーの退出を阻止できないようにする必要があります。しかし、unibtc の凍結の場合、BedRock と Free のクロスチェーン ブリッジはどちらも強力な集中管理権限を持ち、検閲に耐える出口チャネルを提供していません。
もちろん、Unibtc に似たケースは珍しくありません。大手取引所では、ユーザーの退出経路を遮断することが一般的です。クロスチェーンブリッジやその他のタイプのプロジェクト関係者の場合、集中化された権限が使用されるケースも多数あります。 2022年6月、ハーモニーホライズンブリッジはハッカー攻撃により57資産の引き出しを停止した。この行為には「正当な理由」があったにもかかわらず、それでも一部の人々は恐怖を感じました。
2021年のStableMagnet事件では、プロジェクト関係者が事前に確保されていたプログラムの抜け穴を悪用して2,400万ドルを横領した。最終的には香港とイギリスから多数の警官隊が派遣され、地域社会の支援により盗まれた金の91%が回収された。これらの事例は、資産保管プラットフォームが信頼できないサービスを提供できない場合、必然的に悲惨な結果につながることを十分に示しています。
ただし、Trustless はすぐには利用できません。支払いチャネルやDLCからBitVMやZK Rollupまで、さまざまな実装方法が試されてきました。これらはユーザーの自主性をかなり保証し、信頼できる資産引き出し方法を提供することができますが、その背後には避けられない欠陥がまだ存在します。
たとえば、支払いチャネルでは、当事者が相手方の潜在的な悪意のある行動を監視する必要があり、DLC はオラクルに依存する必要があります。 BitVM の使用にはコストがかかり、実際には他の信頼の仮定もあります。 ZK ロールアップのエスケープ ハッチは、長いウィンドウ期間が経過した後にのみ起動でき、最初にロールアップをシャットダウンする必要があり、そのコストは莫大です。
現在の主要な技術的ソリューションの実装状況から判断すると、完璧な資産保管および出口ソリューションは存在せず、市場には依然として革新が必要です。以降、DeepSafe Research は、DeepSafe が正式にリリースした資産保管ソリューションを例に、TEE、ZK、MPC を組み合わせたトラストレスなメッセージ検証ソリューションを皆様に説明します。このソリューションは、コスト、セキュリティ、ユーザー エクスペリエンスなどの相容れない指標のバランスを取り、取引プラットフォーム、クロスチェーン ブリッジ、またはあらゆる資産保管シナリオに信頼性の高い基盤サービスを提供できます。
CRVA: 暗号ランダム検証ネットワーク
現在、市場で最も広く使用されている資産管理ソリューションは、主にマルチ署名または MPC/TSS 方式を使用して、資産移転要求が有効かどうかを判断します。このソリューションの利点は、実装が簡単で、コストが低く、メッセージの検証が速いことです。欠点は明らかです。安全性が十分ではなく、集中化される傾向があります。 2023年のマルチチェーン事件では、MPC計算に参加している21個のノードすべてが1人の人物によって制御されており、これは典型的なシビル攻撃でした。これは、表面上のわずか数十のノードでは、高度な分散化保護を提供できないことを証明するのに十分です。
従来の MPC/TSS 資産管理ソリューションの欠点に対応して、DeepSafe の CRVA ソリューションは多くの改善を加えました。まず、CRVA ネットワーク ノードは、資産質入れのアクセス形式を採用します。メインネットワークは、約 500 ノードに達した後に正式に開始されます。推定によれば、これらのノードによって担保された資産は長期にわたって数千万ドル以上に維持されることになります。
次に、MPC/TSS 計算の効率を向上させるために、CRVA は抽選アルゴリズムを使用してノードをランダムに選択します。たとえば、30 分ごとに 10 個のノードが選択されます。これらは、ユーザー要求を承認する必要があるかどうかを確認するバリデーターとして機能し、リリース用の対応するしきい値署名を生成します。内部の共謀や外部のハッカー攻撃を防ぐために、CRVA の抽選アルゴリズムは独自のリング VRF を使用し、ZK と組み合わせて当選者の身元を隠し、外部の世界が当選者を直接観察できないようにしています。
もちろん、これだけでは十分ではありません。外部からは誰が選ばれたか分からないが、抽選に当たった本人は現時点では知っているため、共謀の道はまだ残っている。さらに共謀を防ぐために、すべての CRVA ノードはコア コードを TEE ハードウェア環境で実行する必要があります。これは、コア作業をブラック ボックスで実行するのと同じです。この方法では、TEE の信頼できるハードウェアをクラックしない限り、自分が選ばれたかどうかを知ることはできません。もちろん、現在の技術的状況ではこれを実行するのは非常に困難です。
上記がDeepSafeのCRVAソリューションの基本的な考え方です。実際のワークフローでは、CRVA ネットワーク内のノード間で大量のブロードキャスト通信と情報交換が必要になります。具体的なプロセスは以下のとおりです。
1. CRVA ネットワークに入る前に、すべてのノードはまずチェーン上に資産を担保し、登録情報として公開鍵を残す必要があります。この公開鍵は「永久公開鍵」とも呼ばれます。
2. CRVA ネットワークは 1 時間ごとにランダムに複数のノードを選択します。しかしその前に、すべての候補者は、ローカルで 1 回限りの「一時公開鍵」を生成し、「一時公開鍵」がチェーンに記録された「永続公開鍵」に関連付けられていることを証明する ZKP を生成する必要があります。言い換えれば、誰もが ZK を使用して自分が候補リストに存在することを証明する必要がありますが、自分がどの候補であるかは明らかにしてはなりません。
3. 「一時公開鍵」の目的はプライバシー保護です。 「永久公開鍵」のセットから直接くじを引くと、結果が発表されたときに、誰が選出されたかが誰でも直接知ることができます。全員が一度だけ「一時公開鍵」を公開し、その「一時公開鍵」セットから数人を選択した場合、せいぜい自分が宝くじに当たったということしかわかりませんが、宝くじに当たった他の一時公開鍵が誰に対応しているかはわかりません。
4. 個人情報の漏洩をさらに防ぐために、CRVA ではユーザーが「一時公開鍵」が何であるかさえ知らないようにする予定です。一時公開鍵の生成プロセスは、ノードの TEE 環境で完了します。 TEE を運営するあなたには、内部で何が起こっているかは分かりません。
5. 次に、TEE で一時公開鍵を「文字化けしたコード」に暗号化し、外部に送信します。特定のリレーラーノードのみが復元できます。もちろん、復元プロセスもリレーラーノードの TEE 環境で完了し、リレーラーはこれらの一時公開鍵がどの候補に対応するかは知りません。
6. リレーラーはすべての「一時公開鍵」を復元した後、それらをまとめて収集し、チェーン上の VRF 機能に送信して、勝者を選択します。これらの人々は、ユーザーのフロントエンドから送信されたトランザクション要求を検証し、検証結果に基づいてしきい値署名を生成し、最終的にチェーンに送信します。 (ここでも中継者は非表示になっており、定期的に選択されることに注意してください)
各ノードは選択されたかどうかわからないので、どのように作業を実行できるのかと疑問に思う人もいるかもしれません。実際、前述のように、誰もがローカル TEE 環境で「一時公開鍵」を生成します。抽選結果が出たらすぐにリストを放送します。誰もがリストを TEE に渡して、選択されているかどうかを確認するだけです。
DeepSafe ソリューションの中核は、ほぼすべての重要なアクティビティが TEE ハードウェア内で実行され、TEE の外部からは何が起こっているかを観察できないことです。各ノードは選択されたバリデーターが誰であるかを知らないため、共謀が防止され、外部攻撃のコストが大幅に増加します。 DeepSafe に基づく CRVA 委員会を攻撃するには、理論的には CRVA ネットワーク全体を攻撃する必要があります。さらに、各ノードは TEE によって保護されているため、攻撃の難易度が大幅に高まります。
CRVAの資産自己管理ソリューションと組み合わせる
上記では、CRVA の一般原則を紹介し、CRVA が分散化と信頼性のなさをどのように実現するかについて説明しました。以下では、HelloBTU と呼ばれるビットコイン アルゴリズム ステーブルコインを例として、CRVA が資産保管ソリューションにどのように適用されるかをさらに詳しく説明します。
周知のとおり、ビットコインチェーンにはチューリング完全な環境がないため、Defiのような複雑なスマートコントラクトロジックを直接実装することは不可能であり、そのため、BTCFiはビットコインを他のチェーンにブリッジして、スマートコントラクトとやりとりするのが主流となっています。 HelloBTU のスマート コントラクト部分は Ethereum にデプロイされています。ユーザーは HelloBTU が指定した支払いアドレスに BTC を入金することができ、その後 HelloBTU の公式ブリッジが BTC を Ethereum チェーンに転送し、HelloBTU の安定したスマート コントラクトと対話します。
ユーザーが HelloBTU プラットフォームに 10 BTC を寄付したいとします。具体的な操作は、まず 10 BTC をビットコイン チェーン上の Taproot アドレスに転送することです。対応するロック解除には 2/2 マルチ署名が必要です。そのうちの 1 つはユーザーが生成し、もう 1 つは CRVA によって生成されます。
ここではいくつかの状況が関係しています:
上記の Taproot アドレスに 10 BTC が転送された後、ユーザーはこれらの 10 BTC を使用してステーブルコインを発行し、BTC を積極的に引き換えるつもりであるとします。この時点で、ユーザーと CRVA はそれぞれ署名を生成し、10 BTC のロックを解除してユーザーのアドレスに転送します。 CRVA が長期間にわたってユーザーと協力しない場合、タイムロックウィンドウの有効期限が切れた後、ユーザーは一方的に 10 BTC を取り戻すことができます。この機能は「ユーザー主導の引き換え」と呼ばれます。
もう 1 つの状況は、担保として使用されていたユーザーの BTC が清算され、CRVA と協力してこれらの BTC を転送し、制御のために CRVA の一方通行チャネルに引き渡す必要がある場合です。ただし、ユーザーが協力を拒否した場合、これらの BTC は一時的に停止され、誰もそれを取り去ることはできません。タイムロック期間が終了すると、これらの資金は CRVA によって CRVA が管理する Taproot アドレスに転送されます (CRVA 一方向チャネル)。
ここで詳細があります。つまり、BTC が CRVA 一方向チャネルに入るためのタイムロックは比較的短いですが、ユーザー主導の償還のタイムロックは長くなります。つまり、CRVA とユーザーが協力できない場合、これらの BTC は最終的に最初に CRVA の一方通行チャネルに入ります。こうすることで、ユーザーによる支払い不履行や悪質な行為を効果的に抑制することができます。
CRVA の悪意ある行為については、CRVA は自動で動作するノード ネットワーク システムであるため、初期起動時のコードに悪意あるロジックが含まれていない限り、CRVA はユーザーとの協力を積極的に拒否することはなく、基本的に無視できます。
停電や洪水などの不可抗力により CRVA ノードが大量にシャットダウンした場合でも、ユーザーは上記のソリューションに記載されているプロセスに従って安全に資産を引き出すことができます。ここでの信頼の仮定は、CRVA が十分に分散化されており、積極的に悪事を働かないと信頼することです (理由は上記で十分に説明されています)。
BTC が CRVA 一方向チャネルに転送された場合、チェーン上の対応する安定したポジションが清算されたことを意味し、BTC の実際の所有権は清算人に帰属します。清算人は引き出しリクエストを開始することができ、それは CRVA によって審査されます。承認された場合、CRVA は署名を生成し、対応する金額の BTC を清算人に送金します。
このとき、CRVA が長時間応答しない場合は、タイムロックの期限が切れた後、これらの BTC は DAO によって管理されているアドレスに転送されます。この操作はマルチ署名によってトリガーされ、その後の処理は DAO ガバナンスによって解決されます。このDAOは、著名なプロジェクト関係者、セキュリティ企業、投資機関などから構成されており、単一の団体の悪行を抑制する目的で設立されました。
まとめると、DeepSafeのビットコイン資産自己管理ソリューションについて大まかに説明しました。 ERC-20 資産の場合も原則は同様であるため、ここでは詳しく説明しません。前述のunibtc凍結事件に関して、unibtcクロスチェーンブリッジがCRVAの自己保管ソリューションを採用した場合、資産発行者が全体的な状況を一方的に制御することは困難になります。
