image

2億9,300万ドルのKelpDAOハッキングは、DeFiが最終的に成長を余儀なくされた理由を示しています

Tatsuya Yamamoto

長年にわたり、分散型金融は「コードは法律である」という単純な約束に基づいて販売されてきました。不変かつ透明なスマートコントラクトは、従来の金融を悩ませていた人間の弱点を取り除くでしょう。

しかし、先月発生した 2 億 9,300 万ドルの KelpDAO エクスプロイトは、仮想通貨のインフラ構築者にとって不快な現実を暴露しました。業界最大の脆弱性は、ますますスマート コントラクト自体とはほとんど関係がありません。

むしろ、危険は現在、コードの周りに存在するブリッジ、ガバナンスシステム、運用上のセキュリティ、サードパーティの依存関係、つまり現代の DeFi を支える乱雑な人的層とインフラストラクチャ層の広大な網の中に横たわっています。

「これらのケースのほとんどの契約は、作成者の指示どおりに行われました」と、Lido Labs Foundationの首席技術マスター、ユージン・マミン氏はCoinDeskに語った。 「あの事件では、著者たちは正当な人物ではありませんでした。」

LayerZero のブリッジ インフラストラクチャに関連する脆弱性に関連する KelpDAO エクスプロイトは、自らの成熟度と格闘する DeFi 業界にとって決定的な瞬間となりつつあります。

プロトコル創設者やセキュリティ研究者にとって、この事件は、暗号通貨全体で進行中の広範な変化を強化するものでした。DeFi は、もはや主にコーディングのバグと戦っていません。それ自体の複雑さと戦っています。

DeFi の初期段階では、エクスプロイトは通常、スマート コントラクト コードの欠陥、再入バグ、オラクル操作、またはロジックの欠陥に起因していました。今日、業界最大の失敗の多くは、まったく別の場所で発生しています。

「スマートコントラクトのリスクは、ほぼ解決された問題です」と、分散型金融プラットフォーム Spark の開発者である Phoenix Labs の CEO、サム・マクファーソン氏は述べています。 「最近のハッキングはすべて、運用セキュリティの悪さによるものです。」

だからといって、スマートコントラクトが完璧であるというわけではありません。しかし両幹部によれば、監査ツール、正式な検証、バグ報奨金プログラム、AI支援によるコードレビューにより、基盤となる契約はDeFiの爆発的な成長サイクル時よりも大幅に堅牢になったという。

問題は、DeFi自体が高度に相互接続された金融マシンに進化していることです。プロトコルはブリッジに依存します。ブリッジはバリデーターとメッセージング システムに依存します。ガバナンス システムは、マルチシグ、クラウド インフラストラクチャ、SaaS プロバイダー、および管轄区域をまたがるチームに依存しています。

追加されたレイヤーごとに、新たな障害点が作成されます。 「他人のインフラストラクチャを再利用すると、その脅威モデルを継承することになります」と Lido の Mamin 氏は言います。

KelpDAO エクスプロイトは、これらの継承されたリスクがどれほど危険になるかを正確に示しました。共有ブリッジ インフラストラクチャの脆弱性は孤立したままではなく、その上に構築されたプロトコルへと外側に連鎖していきました。

フェニックス研究所のマクファーソン氏は、「集中は静かにシステミックリスクになる可能性がある」と述べた。 「市場の大部分が同じインフラストラクチャに依存しすぎると、障害が孤立しなくなり、連鎖し始めます。」

DeFiの魅力としての「退屈」

また、この悪用は、仮想通貨投資家がリスクの高い実験に寛容でなくなりつつあるときにも着地すると考えている、とマミン氏は述べた。

マミン氏は、「人々が真剣な資金で実際に信頼しているプロトコルは、予想通り、同じことを同じ方法で何年も続けているものだ」と述べた。 「退屈は特徴だ。」

DeFiプロトコルは通常、最大化された成長、レバレッジ、収益をもたらします。複雑さはイノベーションとみなされることがよくありました。何年にもわたるエクスプロイト、清算、連鎖的な失敗を経て、現在、ユーザーはそれほど刺激的ではないもの、つまり予測可能性へと引き寄せられているようです。

マクファーソン氏は、市場は最大の利益よりも回復力を重視して設計されたシステムに報酬を与え始めていると述べた。

「長い間、DeFiはどんな犠牲を払っても成長に報いてきました」と彼は言いました。 「しかし、状況が厳しくなると、隠れたトレードオフが明らかになるのです。」

マクファーソン氏によると、ユーザーがより保守的な融資市場とよりシンプルな担保構造に移行していることも一因で、スパークの預金は最近増加しているという。

KelpDAO 事件から得られたもう 1 つの結果的な教訓は、DeFi の最も危険な攻撃ベクトルの多くが通常のサイバーセキュリティ問題に似ているということです。

マミン氏は、業界最大の未解決リスクの一部として、個人用ラップトップ、SaaSプラットフォーム、主要管理システム、ソフトウェアサプライチェーンの脆弱性を挙げた。

「攻撃対象領域は縮小するどころか、むしろ web2 のルーツに戻ってきました」と彼は言いました。

それは暗号通貨の中心に奇妙な矛盾を生み出します。オンチェーン層は根本的に透明である可能性がありますが、それをサポートするインフラストラクチャの多くは依然として不透明であり、外部から監査するのは困難です。

この影響は、ユーザーにとって無視することが難しくなってきています。DeFi のセキュリティは、プロトコルが監査されているかどうかよりも、それを運用する人々が規律を正しているかどうかに依存することが増えています。これは、地理的に分散されたマルチシグ、タイムロック、リハーサルされたインシデント対応計画、厳格な運用上のセキュリティ慣行、および単一の主体への依存を減らすガバナンス システムを意味します。

一連のエクスプロイトにもかかわらず、マミン氏もマクファーソン氏も、この事件によってDeFiが完全に無効になるとは考えていない。ある意味で、業界はついにより持続可能な段階に入りつつあると彼らは主張している。マクファーソン氏は、DeFiの長期的な利点はリスクを排除することではなく、リスクを可視化することにあると考えている。

同氏は「担保、流動性、エクスポージャーはオンチェーン上でリアルタイムに確認できる」と述べた。 「課題は、その透明性と成熟したリスク管理を組み合わせることです。」

それは、最終的には今後数年間でこのセクターを決定づける課題となる可能性がある。つまり、仮想通貨を高速実験層からストレスに耐えられる金融インフラに変えることだ。

Tatsuya Yamamoto
Tatsuya Yamamoto

東京を拠点に活動するCoinhackの編集長として、仮想通貨とブロックチェーンに情熱を注いでいます。これらの複雑なテーマを、正確でわかりやすい分析を通じて読者に届けることを目指しています。経験と革新への関心を活かし、ビットコインの世界における信頼できる情報を日々提供するよう努めています。