- Babylonのvote extensionバグにより、バリデータがデータを省略でき、エポック境界でピアがクラッシュする事態が発生。
- この欠陥はオフチェーンのコンセンサスロジックに負荷をかけ、暗号技術を破ることなくブロック生成を遅延させた。
- BTCFiの成長に伴いネットワーク信頼性がより重要になる中、Babylonはv4.2.0でこのバグに対応。
BabylonのBitcoinステーキングプロトコルにおけるソフトウェアの脆弱性が公開され、バリデータの振る舞いがコンセンサスを妨害し、ブロック生成を遅らせる可能性が明らかになった。この問題は、2025年12月8日にコントリビューターのGrumpyLaurie55348によるGitHub投稿で明らかになった。バグはBabylonのBLS vote extensionに影響し、投票時にデータが省略されることで、エポック境界でバリデータがクラッシュし得ることが示された。
Babylon Vote Extensionの欠陥の仕組み
この脆弱性はBabylonのブロック署名システム、すなわちBLS vote extension内に存在する。この仕組みは、バリデータがコンセンサス中に提案されたブロックに同意したことを証明するもの。通常、バリデータは自身が支持する正確なブロックを特定するためのブロックハッシュフィールドを含める。
しかしこのバグにより、バリデータはvote extensionを提出する際にそのブロックハッシュフィールドを省略できてしまう。protobufのフィールドはオプションであるため、ネットワークはこの不完全なメッセージも受け入れてしまう。その後Babylonが投票を処理する際、省略されたデータにアクセスしようとしてnilポインタに遭遇する。
このデリファレンスにより、コンセンサスチェック中にランタイムパニックが発生する。特に影響を受けるコードパスにはVerifyVoteExtensionや提案時の投票検証が含まれる。その結果、バリデータは不正な投票を正しく拒否する代わりに、特定のチェックポイントでクラッシュする可能性がある。
クラッシュのタイミングは重要である。エポック境界ではバリデータ間での協調した合意が必要となるため、こうした遷移時のクラッシュはエポック境界ブロックの生成を遅延させ、ブロック生成全体のペース低下につながる。
バリデータの混乱とコンセンサスのストレスポイント
この脆弱性は、暗号技術を破ることなく悪意あるバリデータが他のピアを混乱させる道を開く。彼らはインプットの扱いを悪用することで、ブロックハッシュなしのvote extensionを送信し、単独のアクターが他所で障害を引き起こせる。
GrumpyLaurie55348によれば、エポック境界で断続的なクラッシュが発生するという。これらの瞬間はバリデータの状態遷移の錨となっており、そのチェック時の不安定さはコンセンサス全体の流れに影響を与える。
開発者は現時点で実際の悪用は確認されていないとしつつも、運用者がアップグレードを遅らせれば悪用の可能性は残ると警告している。アドバイザリーは、この問題をコンセンサスへの影響が大きいため高危険度と分類している。
Babylonはバージョン4.2.0でこの脆弱性に対応。パッチはvote extension周りのバリデーションをより厳格にした。ただし、公開時点でBabylonはバリデータのアップグレードスケジュールについて公式発表を行っていない。
この出来事は、ステーキングフレームワークにおいてコンセンサスロジックがBitcoinのベースレイヤーを超えて拡張されていることを示している。Babylonはバリデータ合意の証明のためにオフチェーンの協調を利用しており、その層の欠陥がBitcoin自体に触れずともオンチェーンの結果に影響を与えうる。
関連記事: カンボジアが暗号通貨詐欺でChen Zhiを中国へ引き渡し
Babylonの拡大するBTCFi役割の中での背景
この脆弱性の公開は、BabylonがBTCFi(Bitcoinベースの分散型金融)領域での役割を拡大する中で行われた。BabylonはBitcoinネイティブのステーキングを導入し、資産をBitcoinから移動せずに利回りを得られるようにした。この設計は検証可能なオフチェーンのコンセンサスチェックに依存している。
1月7日、Babylonはa16z Cryptoからの1,500万ドルの投資を公開した。この資金調達はAndreessen Horowitzのデジタル資産部門によるBABYトークンの販売後に行われた。a16z側は、この資本がBitcoinネイティブのDeFiインフラ支援に用いられると述べた。
以前の資金調達ラウンドにより、Babylonの公開調達総額は1億300万ドルに上る。その中には1,800万ドルのシリーズAおよびParadigm主導の7,000万ドルの戦略ラウンドが含まれる。2025年12月にはAave Labsとの提携も発表された。
この提携は、Aave v4上でラッパーやカストディアンを介さずBitcoin担保レンディングを可能にすることを目指している。テストは2026年第1四半期に予定され、4月のローンチを目標としている。統合はBabylonのBitcoin Vault設計に依存している。
一方で、BabylonはBTCFiにおける総ロックバリューの80%超を管理している。そのため、ネットワーク信頼性はエコシステム全体に波及する。2024年にはBitcoin DeFiのTVLは3億700万ドルから65億ドル超へと急増した。
Babylonのバグは、ステーキングフレームワークがBitcoinのベースレイヤーを超えてコンセンサスロジックを拡張していることを示す。普及が進む中で、開発者は敵対的なテスト環境に直面する場面が増えている。今回の事例は、オプションフィールドや境界ケースがコンセンサスに不可欠な経路に影響を与えうることを示した。
Babylonの修正により当面の脆弱性は解消された。しかし、この公開によりオフチェーンコンセンサス拡張がBitcoinのセキュリティモデルとどのように相互作用するかに注目が集まっている。
一方、Babylonの脆弱性は投票拡張処理の欠陥を露呈し、エポック遷移時にバリデータをクラッシュさせる可能性があった。この問題はブロック生成タイミングに影響したが、現時点で悪用は確認されていない。開発者はバージョン4.2.0でバグに対応し、プロトコルはBitcoinベースの分散型金融内で拡大を続けている。
