image

DeFiに何が起こっているのでしょうか? 2 億 3,100 万ドルが流出したが、1,900 万ドルが戻ってきた

Tatsuya Yamamoto

今週、2 つの見出しが互いに数時間以内にインターネットを賑わせ、それらを合わせて DeFi のセキュリティ領域の現状を地図に表しています。

StakeWise DAO は、複数のチェーンにわたって 1 億 1,000 万ドルから 1 億 2,800 万ドルの間で流出したバランサー V2 エクスプロイトから、osETH で約 1,930 万ドルと、さらに osGNO で 170 万ドルを回収する契約を実行しました。

まさにその瞬間、ストリーム・ファイナンスは、外部のファンドマネージャーが9,300万ドルの損失を明らかにしたことを受けて入出金を凍結し、ステークしているステーブルコインxUSDを1ドル=30セントから50セントの間で底値となるデペグに送った。

ある記事では、DeFi の防御ツールキットがついに高速に機能していることが示されています。もう1つは、プロトコルが不透明な取引相手にリスクを委託した場合に残る脆弱性を暴露します。

コントラストは表面的なものではありません。 StakeWiseによるバランサー損失総額の約15%の一部回収は、緊急マルチシグ、契約レベルのクローバック、数時間以内に資本を移動できるDAOガバナンス構造など、DeFiが何年もかけて構築してきた手段によってもたらされた。

ストリームの崩壊は、リアルタイムのリスクダッシュボードや透明な担保モニタリングなしで、外部マネージャーを通じて収益を得るというハイブリッドCeDeFiへの構造的賭けに遡ることができる。

9,300万ドルは、スマートコントラクトやバリデーターの調整が及ばないオフチェーンで消失しました。何がうまくいき、何が壊れたのかは両方とも重要です。なぜなら、それらは次の 9 桁のエクスプロイトが発生したときに利用できるツールのメニューを定義するからです。

Balancer は 11 月 3 日に、V2 コンポーザブル ステーブル プールを対象としたインシデントを確認しました。

捜査員が保管過程の排水路を追跡するにつれて、損失の集計が進展した。このプロトコルでは、攻撃者を給料をもらってバグハンターに変えることを期待して、ホワイトハットに最大 20% の報奨金を提供していました。

ネイティブ DEX 上でバランサー スタイルのプールを実行する Berachain は、より迅速に動作しました。バリデーターは調整されたネットワーク停止を実行し、緊急ハード フォークを実行して脆弱なコントラクトを隔離し、エクスプロイトを含んだ状態で運用を再開しました。

この操作は一時停止とロールバックで構成されており、これはチェーンが若く、ガバナンスがデッドロックすることなくバリデーターのアクションを調整できるほど集中化されている場合にのみ機能します。

StakeWiseのプレイブックは、DeFiの緊急アーキテクチャが激しい圧力に耐えることができるという最も説得力のある証拠を提供します。

DAO のマルチシグは、5,041 osETH と 13,495 osGNO をプロトコル制御に返したコントラクト コールをトリガーしました。

チームは、エクスプロイト前の残高に基づいて比例配分することを約束し、壊滅的な損失を部分的なヘアカットに変えました。

これは理論的なものではありません。資金はオンチェーンで移動し、DAO は計画を公的に公表し、複数の報道機関がその数字を裏付けました。結果と同じくらいスピードも重要です。

従来の資金回収には数か月の訴訟が必要であり、多くの場合、1 ドルあたりわずか 2 セントの利益しか得られません。 StakeWise は、プロトコルにネイティブなツールを使用して数日で実行されました。

ツールボックスとその限界

StakeWise の回復を可能にしたのは 3 つのメカニズムです。1 つは限定された事前定義された権限を持つ緊急マルチシグ、ガバナンスが特定のトランザクションを取り消すことを可能にする契約レベルのクローバック機能、そして 1 つのブロック サイクル内で投票と実行が可能な DAO 構造です。

Berachain は、バリデーターのコンセンサスによるチェーンレベルの介入という 4 番目のオプションを追加しました。これらのツールを組み合わせることで、部分的かつ迅速なリカバリが可能になりました。

これらはエクスプロイトを防ぐことはできませんが、攻撃者の時間枠を狭め、利益を減らす信頼できる事後対応​​を作成します。

限界は数字を見れば一目瞭然です。 StakeWise は、1 億 2,800 万ドルの流出から約 15% に相当する 1,930 万ドルを回収しました。バランサーのホワイトハットの報奨金は、本稿執筆時点ではまだ請求されていない。

Berachain のロールバックは独自のエコシステムを保護しましたが、イーサリアムのメインネットや他の影響を受けるチェーン上のトランザクションを元に戻すことはできませんでした。

DeFiが引いたすべての手段が機能し、ユーザーは依然として1億ドルの損失を吸収しました。ツールボックスは空ではありませんが、監査人よりもプロトコルを理解している、決意が強く洗練された攻撃者を阻止するには十分ではありません。

Stream Finance は、オンチェーン ツールをいくら使っても修正できないアーキテクチャ上の欠陥を明らかにします。この議定書では、外部のファンドマネージャーが約9,300万ドルの損失を被ったことが明らかになり、入出金の即時凍結が指示された。

ストリームは調査のためにパーキンス・コイエを雇​​ったが、被害はすでに広がっていた。価格トラッカーやニュースルームが額面の50%から70%の間の日中の安値を報告したため、プロトコルに賭けられたステーブルコインxUSDは急激にペッグ解除されました。

メカニズムはスマート コントラクトのエクスプロイトとは異なります。攻撃者がプールを排出せず、バリデーターの調整が損失を逆転できず、DAO の投票によってサードパーティのマネージャーがオフチェーンに保持している資金を取り戻すことができないためです。

これは、最も生々しい形の CeDeFi 侵害です。プロトコルは、まったく異なるリスクフレームワークの下で運用される従来のファンドマネージャーを通じて収益を確保しながら、DeFiの構成可能性とオンチェーンの透明性を約束します。

詐欺、運用ミス、市場損失などの理由で外部マネージャーが失敗すると、その資本に裏付けられたステーブルコインはペッグを失い、プロトコルには緊急時に引く手段がありません。

ユーザーは、自分たちの「分散型」ステーブルコインが、見たこともない組織への信頼に依存しており、到達できない管轄区域で、一度も確認したことのない条件で運営されていたことに、手遅れになって気づきました。

二次数学

緊急マルチシグとクローバック機能の存在により、値が回復されないことがデフォルトではなくなるため、エクスプロイト被害者の最低水準が引き上げられます。しかし、それはモラルハザードも生み出します。

プロトコルは、ガバナンスによって事後的に損失を防ぐことができるという理由から、セキュリティ監査への投資が不足している可能性があります。規制当局は、DAO が取引を取り消して資金を凍結できる場合、受託者責任に似た方法でネットワークを効果的に制御することに注目するでしょう。

これは、準備金の証明ダッシュボード、リスク開示の義務化、「分散型」と名付けられたものに対するライセンスの厳格化などの政策圧力を招くことになる。

投資家にとって、デューデリジェンスのプレミアムは増加したばかりです。不透明な外部マネージャーやハイブリッド CeDeFi 構造に基づいて構築された利回り商品には、ステーブルコインのペッグを崩す壊滅的で回収不能な損失という新たなリスクが伴います。

リアルタイムのリスクダッシュボード、透明性のある担保モニタリング、オンチェーンのプルーフ・オブ・リザーブは、あれば便利なものではなくなり、重要なものになります。これらの指標を公開できない、または公開しないプロトコルは割引価格で取引されることになりますが、それは当然のことです。

マクロな背景がリスクをさらに高めます。チェイナリシスは、2025年半ばまでに21億7000万ドル以上の仮想通貨盗難を集計しており、すでに2024年通年の合計を上回っており、現在の傾向が続けば40億ドルになるとの予測もある。

DeFiが唯一の標的ではないが、その中で最も流動性が高く、最も脆弱であることに変わりはない。すべてのエクスプロイトは、エコシステムが攻撃対象領域よりも速く拡張する防御を構築しているかどうかをテストします。

誰が結果を決めるのですか?

Balancer-StakeWise-Stream シーケンスは 1 回限りのものではありません。これは、DeFiの将来に関する2つの競合するビジョンのストレステストです。

一方は、緊急時のガバナンス、契約レベルの管理、バリデーターの調整によって、攻撃者の隙を狭め、損失を制限する信頼できる防御を構築できると賭けています。

もう一方の側は、オンチェーンの透明性をオフチェーンの収益と引き換えに、競争力のある利益の代償としてカウンターパーティのリスクを受け入れるハイブリッド構造を採用しています。

現在、両方のビジョンが共存しており、ユーザーはプロトコルを選択するたびにそれらの間で資本を割り当てます。

問題となっているのは、エクスプロイトが発生するかどうかではなく、DeFi が従来の金融に対する信頼できる代替手段であり続けるために十分に防御できるかどうかです。 StakeWise の回復により、ツールが存在することが証明されました。 Stream の崩壊は、Stream が攻撃対象領域全体をカバーしていないことを証明しています。

次の 1 億ドルのエクスプロイトは、これら 2 つのバケツのいずれかに分類され、その結果は、攻撃者が到着する数か月または数年前にプロトコルがどのアーキテクチャを選択したかによって異なります。市場はどちらが無傷で生き残るかに注目するだろう。

Tatsuya Yamamoto
Tatsuya Yamamoto

東京を拠点に活動するCoinhackの編集長として、仮想通貨とブロックチェーンに情熱を注いでいます。これらの複雑なテーマを、正確でわかりやすい分析を通じて読者に届けることを目指しています。経験と革新への関心を活かし、ビットコインの世界における信頼できる情報を日々提供するよう努めています。