放任套利ロボットがTransit Swapを攻撃、技術的中立は免責されるのか?
「他人の暗号通貨を不正に取得することは、コンピュータ情報システムの安全管理秩序および財産法益を侵害し、コンピュータ情報システムのデータを不正に取得する罪に該当するだけでなく、窃盗罪にも該当する。」2022年10月2日未明、オンチェーンのスワッププロトコルTransit Swapがハッキングされ、多くのユーザーの総価値が2500万ドルを超える暗号通貨が複数のハッカーアドレスによって不正に盗まれ、暗号コミュニティに広範な恐慌を引き起こしました。Bitraceチームはすぐに介入し、公式調査と協力しました。調査の結果、盗まれた原因はTransit Swapのコアコードの脆弱性がハッカーによって利用され、ユーザーアドレスの資産が無限に許可されることになり、その結果、ユーザーの資産が大量に集められ転送されたことが判明しました。
今回のセキュリティ事故は、被害者の規模と損失資金の規模が非常に大きいだけでなく、攻撃に直接関与したアドレスも非常に特異であることが、Slow Mistセキュリティチームによって初めて明らかにされました。違法に利益を得た者の中には、複数のフロントランニングアービトラージャーや攻撃模倣者が存在していました。このような特異な攻撃行為をどのように定義するかは、明らかに真剣な議論に値します。
一、フロントランニングボットとは?
フロントランニング(抢跑)とは、既知の未来の取引が発生する前に、実行キューの中で最初に取引を取得する行為です。
ブロックチェーン上では、フロントランニングは取引手数料を引き上げることによって、ノードが自分が提出した取引を優先的にパッケージ化する行為として理解できます。これは、特定の唯一の利益機会を争うためです。例えば、ある人がDEX資金プール内の特定のトークンに明らかなアービトラージの余地があることを発見した場合、彼がアービトラージ取引をブロックチェーンネットワークに提出すると、アービトラージャーによって監視される可能性があります。後者はより高い手数料で同じ取引を提出することができ、先に実行することができます。その結果、アービトラージャーが利益を得て、最初に取引を提出した人は失敗し、手数料を無駄にすることになります。
現在、オンチェーンのアービトラージャーたちは、ブロックチェーンネットワーク内に多くのスマートコントラクト(アービトラージボット)を構築し、有利な取引を識別し、自動的にフロントランニングを実行しています。
二、オンチェーンのフロントランニングは違法か?
北京盈科(武漢)法律事務所の曹世勇弁護士は次のように考えています:ブロックチェーンネットワークの公開透明性を利用して、自動的にフロントランニング取引を実行するスマートコントラクトは、ある程度、純粋な中立技術と言えるでしょう。多くの技術開発者や提供者にとって、刑法に触れることは不可能です。しかし、技術無罪論の見解は実際には技術側の一方的な願望に過ぎず、技術が無差別に悪用される場合、技術を展開する側にも大きな刑事法的リスクが存在します。
ハッカーがフロントランニングにより失敗した盗難取引
今回の事件では、最も主要な攻撃者が発起し、他人の暗号資産を不正に取得しようとした取引が、アービトラージプログラムによって自動的に識別され、先に実行されました。その結果、大量の無実のユーザーの総価値が100万ドルを超える$BUSDが、アービトラージプログラムを展開したアービトラージャーのウォレットアドレスに転送されました。
アービトラージャーは主観的にアービトラージプログラムが他人の暗号資産に損失をもたらすことを間接的に意図しており、客観的にはロボットの先行実行行為を放任し、最終的に他人の資産が秘密裏に自分のアドレスに移転される結果となりました。その違法性は明らかであり、我が国の刑法に触れる可能性すらあります。
三、盗難はどのような法益を侵害したのか?
曹世勇弁護士は次のように考えています:暗号通貨は本質的にコンピューターデータであり、一定の財産属性も持っています。他人の暗号通貨を不正に取得することは、コンピュータ情報システムの安全管理秩序と財産法益を侵害し、コンピュータ情報システムデータの不正取得罪を構成する可能性があるだけでなく、盗難罪にも該当する可能性があります。
アービトラージャーのフロントランニングによる損害
今回のTransit Swap攻撃事件において:
1)盗まれた暗号通貨のコンピューターデータ属性と財産属性は疑いの余地がありません; 2)アービトラージャー/ハッカー/模倣攻撃者が他人のコンピュータ情報システムに侵入し、システム内に保存されているデータを変更しました; 3)アービトラージャー/ハッカー/模倣攻撃者が不特定の対象から大量に暗号通貨を盗み、事態は深刻です。
明らかに、コンピュータ情報システムデータの不正取得罪と盗難罪の構成要件を基本的に満たしており、ハッカー、模倣攻撃者、アービトラージャーは直接または間接的な主観的故意のもとで、他人の暗号資産を不正に取得し、事後に返還を拒否した場合、我が国の刑法による規制と処罰を受ける可能性が非常に高いです。
最後に
Transit Swapの公式は最新の公告で、今回の事件に関与したすべてのハッカー、攻撃模倣者、フロントランニングアービトラージャーが、脆弱性報酬および返金報酬(関連金額の5%)に基づいて友好的に協議し、10月8日までにユーザー資産を返還するアドレスは攻撃者とは見なされず、法的規制を免れることを希望すると述べました。
現在までに、最大の資金を盗んだハッカーは、盗まれた資金の80%以上に相当する1890万ドル以上を返還しています。これは、総盗難額の約65%に相当します。Bitraceチームも、すべての善意の取得者に対し、service@transit.financeまでメールを送信するか、オンチェーンアドレスを通じてTransit Swapに連絡し、ブロックチェーンの安全と信頼を共同で維持するよう呼びかけています。
