一体誰が15億ドルの責任を負うべきか？Safeの安全問題に潜む業界のリスクを徹底調査

著者：Fairy，ChainCatcher

編集：TB，ChainCatcher

史上最大の盗難事件Bybitが盗まれた15億ドル、最終的な問題は最も信頼されるEthereumのSafeに現れた？Safeは結局、彼の名前のようにSafeではなかった。

EVM上で最大のスマートアカウントエコシステムとして、Safeは800万以上のスマートウォレットをホスティングし、数百億ドルの暗号資産を保管し、200以上のプロジェクトがその基盤の上に構築されている。多くのDAO、財団、大規模NFTプロジェクトは、これを「金庫」型の基盤ホスティングソリューションと見なしている。このようなトップレベルのセキュリティインフラも打撃を受けることがある、 暗号 セキュリティは果たしてどこへ向かうのか？

Safeハッカーは誰の金も盗めるのか？

調査報告によると、Safeのスマートコントラクトやフロントエンドコード自体に脆弱性があったわけではなく、攻撃者はSafe{Wallet}の開発者のデバイスに侵入し、偽装された悪意のある取引を発起した。攻撃者は悪意のあるコードをフロントエンドに注入し、取引パラメータを傍受・改ざんすることで資金を盗み出した。

つまり、理論的にはSafeハッカーは異なるユーザーに対して異なる悪意のあるコードを注入できるため、それに依存するフロントエンド、APIなどのユーザーインタラクションサービスを利用するプロジェクトは類似のリスクに直面する可能性がある。しかし、攻撃者はBybitという「最も太った羊」をターゲットに選んだため、他のユーザーは一時的に免れた。

言い換えれば、外部のハッカーだけでなく、Safeチームの内部メンバーも理論的には今回の手法を利用してSafe内の資金を盗む可能性がある。

Bybit攻撃事件のフローチャート、図源：SlowMist

誰の責任？誰が賠償するのか？

Safeの安全性は業界の大半に直接関係している。もし同様の事件が私たちに起こった場合、私たちはSafeのようなウォレットツールに賠償を期待できるのだろうか？Bybit事件からSafeの態度を見てみよう。

Safe使用前の利用規約を確認すると、第18条に次のように書かれている：

（1）もしSafe{Wallet}アプリケーションまたはサービスがユーザーに無料で提供されている場合、CCは故意または重大な過失またはCCがSafe{Wallet}アプリケーションまたはサービスに存在する可能性のある重大または法的欠陥を欺いて隠蔽した場合にのみ責任を負う。

（2）もしSafe{Wallet}アプリケーションまたはサービスがユーザーに無料で提供されていない場合、CCは第（1）条の条件に加え、基本契約義務違反によって生じた損害賠償責任の場合にのみ責任を負う。CCの責任は予見可能で通常発生する損害賠償に限られる。賠償金額は通常、ユーザーが損害事件発生年度内にSafeに支払った費用の総額を超えない。非基本契約義務違反による損害賠償責任は含まれない。

さらに、第20条には次のように書かれている：

我々の合理的な制御範囲を超える行為（不可抗力の発生を含む）により、我々がサービスを提供できなかったり、本契約の義務を履行できなかったり、サービスの提供が遅れた場合、我々はあなたに対して責任を負わず、契約違反とは見なされない。

"不可抗力事件"には、テロ攻撃、ハッキング攻撃やネットワーク脅威、内戦、暴動または騒乱、戦争、戦争の脅威または戦争準備、武装衝突、制裁の実施、禁輸または断交が含まれるが、これに限られない。

条項から見ると、責任の定義はあいまいである。もしSafeが今回の事件を重大な過失と認めれば、責任を負うことになる。しかし、第20条によれば、ハッキング攻撃が「不可抗力事件」と見なされれば、Safeは契約の義務を履行できなかったことに対して責任を負う必要はない。

コミュニティメンバーも関連する意見を発表した：

• DeFiance Capitalの創設者Arthurは、「賠償する必要はないし、賠償する必要もない。元々無料のサービスであり、機関レベルの資金を管理するには適していない。私は数年前から普通のマルチシグウォレットでは巨額の資金を管理するには不十分だと言ってきた。」と述べた。
• Xプラットフォームのユーザー@jiyang0924は、「Safeは恐らく一銭も賠償しないだろう。以前CEXで働いていた時、すべての供給者、CoboやCopperを含め、サービス契約には免責条項があることを理解していた。当然、実務上、ホスティング側も賠償を約束することは不可能であり、そうでなければリスクとリターンが釣り合わないことを理解している。」と述べた。

Safeは法的責任を回避できるかもしれないが、道義的な観点から見ると、Safeは何らかの賠償を考慮すべきである。

しかし、今までのところ、彼らはこの件について言及していない….

安全 への道は遠い

Safeは全面的な対応策を講じ、すべてのインフラを再構築した。しかし、この事件は暗号業界全体に警鐘を鳴らしており、セキュリティは単なる技術的問題ではなく、エコシステムの問題であるという残酷な現実を明らかにしている。

問題の核心は、多層的な検証と監査プロセスを確立し、自社資産の監視と警告メカニズムを強化する必要があるということだ。数億、さらには数十億規模の財務プロセスを単一のソフトウェアやプラットフォームに依存することは、崖の端で踊るようなものである。大規模資産の安全管理モデルは徹底的なアップグレードを急務としている。

安全は暗号業界が最も深く掘り下げるべき分野である。スマートコントラクトの安全性は絶対的な安全性と同義ではなく、サプライチェーン攻撃、内部の脅威、人為的ミスが致命的な弱点となる可能性がある。私たち個人にとって、今こそ大規模資金の保管方法や、オンチェーンの資産管理とステーキングの安全性を再評価する時である。危機は常に警告である：資産の安全は、決して軽視してはならない。

以前 Safeの共同創設者Lukas Schor はインタビューで、 3年以内に すべてのオンチェーンウォレットをスマートウォレットにすることを目指すと述べた。 さて、この目標は今でも実現可能なのか？