暗号資産プロジェクトの古参、Gnosisが揺れている。決済サービス「Gnosis Pay」で1日、不正侵入が発覚。共同創業者のマーティン・ケッペルマン氏は、システム内の「遅延モジュール」が攻撃を受けていると認め、利用者の損失を全額補償する考えを示した。
発端は、ケッペルマン氏の切迫した呼びかけだった。
「資金を引き出してほしい」
この警告は瞬く間に拡散した。ブロックチェーンセキュリティ企業PeckShieldも、EUReやGNOを含む全資金の引き出しと、被害状況の確認を利用者に強く促した。
ところが、事態はすぐに不可解な展開を見せる。ケッペルマン氏はほどなくしてこの助言を撤回し、最初の投稿も削除したのだ。理由は単純ではない。多くの利用者は、そもそも資金を引き出せない状態にあったという。
同氏はその後、Gnosisチームが「被害の拡大を食い止めるために対応している」と説明。利用者の損失については、プロジェクト側が穴埋めすると強調した。
Gnosisは、イーサリアム関連プロジェクトの中でも歴史が長い。スマートコントラクトウォレットの基盤や、決済・分散型金融(DeFi)に使われるEVM互換ネットワーク「Gnosis Chain」で知られる。
だが今回の騒動で、肝心な点はまだ闇の中だ。いくら盗まれたのか。どの利用者が影響を受けたのか。問題はZodiacの遅延モジュールそのものにあったのか、それともGnosis Pay側の設定ミスなのか。あるいは、設計全体に潜む欠陥なのか。
Gnosis co-founder pledges to make users whole. Source: Koeppelmann
CointelegraphはGnosisとGnosis Payにコメントを求めたが、記事公開時点で回答はなかった。
Near Protocolの元コア開発者Vadim Zacodil氏は、Gnosis Payの仕組みに危うさがあったと見る。利用者の自己管理型資産は、共通の「遅延」レイヤーを経由する。この層では、多数のSafeからの送金処理がまとめて待機列に入る。つまり、個々の秘密鍵が盗まれていなくても、その待機列に悪意ある出金が差し込まれれば、数千人規模の利用者に同時被害が広がりかねないという。
同氏の見立ては辛辣だ。今回、利用者を守っているのは「自己管理型ウォレット」の堅牢性というより、Gnosisがインフラを止め、財務資金で補填できるという運営側の力ではないか、というわけだ。
しかも、これは単発の事件ではない。数日前には、Safeに接続された第三者モジュール「SquidRouterModule」が悪用され、イーサリアムとBase上のおよそ86件のSafeから約320万ドル、約5億1000万円が流出した。Safe LabsとSquidはいずれも、中核プロトコル自体の脆弱性ではないと説明している。
暗号資産業界全体では、5月の不正流出額が前月比で大きく減っていた。CertiKのデータでは、5月の損失額は約6830万ドル、約109億円。4月から約90%減り、1億ドル、約159億円を下回る月は今年3回目だった。
だが、その安堵感に水を差すように、Gnosis Payの“遅延モジュール”を狙った新たな一撃が起きた。自己管理をうたう仕組みの裏側で、共通インフラがどこまで利用者を巻き込むのか。今回の事件は、暗号資産決済の「便利さ」と「脆さ」が紙一重であることを改めて突きつけている。
※円換算は1ドル=約159.5円で計算。320万ドルは約5億1000万円、6830万ドルは約109億円、1億ドルは約159億円。
