image

DeFiの自動収益プロトコルは小売業向けに構築されたが、今は新たなリスク層を追加しているだけだ

Tatsuya Yamamoto

自動化された収益プロトコルは、ユーザーが行う必要があるのは金庫への入金だけで、その他はすべてプロトコルが処理するという、DeFi の最も説得力のある小売売り文句を構築しました。

手動で管理せずに Curve の増加した利回りを利用したいユーザー向け $CRV ロック、投票権、ラッパー、ゲージ、インセンティブなど、Stake DAO はシンプルなインターフェースの背後にフルスタックをパッケージ化し、その際に壊れる可能性のあるものもパッケージ化した製品を提供しました。

Blockaid によると、攻撃者はデプロイヤキーの侵害の疑いにより Arbitrum 上で 5 兆 4,000 億 vsdCRV を超える vsdCRV を鋳造し、トークンの交換を開始しました。 $ETH

攻撃者は、5,446,744,073,709 vsdCRV を鋳造する前に、LayerZero 関連のピア構成を変更してクロスチェーン メッセージを偽造し、一部を約 43.78 に変換しました。 $ETH、流動性の制約により、名目造幣局をはるかに下回る抽出が実現されました。

ステークDAOは、状況がアクティブな間はvsdCRVと対話しないようにユーザーに指示しました。この事件はCurveに広がり、影響を受けたArbitrum LlamaLend市場のユーザーに警告を発し、Beefy FinanceはCurveとConvexへのエクスポージャーを伴う接続されたボールトを一時停止した。

Stake DAO の Liquid Lockers を使用すると、ユーザーは次のようなガバナンス トークンを預けることができます。 $CRV、流動的な sdToken を受け取り、カーブロックスタックを直接管理することなく、増加した利回りとガバナンスエクスポージャーにアクセスします。

Vault インターフェースはこれらすべてを隠し、その際、エクスプロイトが通過したデプロイヤ キー、クロスチェーン メッセージングの信頼、ラッパー トークン アカウンティング、および Oracle の依存関係も隠します。

ユーザーが自動利回り保管庫で目にする 4 つのステップと、その下に継承される 7 つの隠れたリスク層を対比したインフォグラフィック。

自動化されたイールドは、DeFi の複雑さを見えなくします。これは、隠れたレイヤーの何かが壊れた場合にのみ可視になる再配置です。

Blockaid の共同創設者兼 CEO である Ido Ben-Natan は、メモの中でセキュリティの切断について次のように述べています。

もっと広い意味で考えると

2026年4月はDeFiのエクスプロイトで最悪の月となり、ソーシャルエンジニアリング、ブリッジスプーフィング、AIを活用した偵察によって28件のインシデントで約6億3,500万ドルが搾取された。

OpenZeppelinの共同設立者であり、2019年までCTOを務めたManuel Aráoz氏は、AIコーディングエージェントが脆弱性を発見する点で「超人的」になっている一方、防御側はすべてのバグを修正する必要があり、攻撃側はバグを1つだけ必要としているため、現在ではDeFiの「すべて」が安全ではないと考えていると書いている。

2026年4月がDeFi最悪のエクスプロイト月であり、28件のインシデントと5兆4000億vsdCRVの偽造幣で6億3,500万ドルが失われたことを示すデータグラフィック。

OpenZeppelinは、Aráoz氏の投稿は同社の立場を反映していないと述べ、この主張を公に拒否した。しかし、彼が説明する非対称性は、帰属に関する論争を超えて深刻な注目を集めています。

Ben-Natan は、リアルタイム ツールと適応型脅威検出に防御上の利点を置きます。

そのリアルタイム機能により、トランザクション検証は、エッジ攻撃者が得ている速度に対する有効な対抗手段となり、自動化されたイールド プロトコルの場合、ガバナンス制御、および監視が、ボールト インターフェイスが依存する実際のセキュリティ層になりました。

次の金庫

弱気のケースでは、より多くの重要な侵害、ブリッジインシデント、オラクルの伝染、およびボールトの一時停止により、自動利回り商品の抽象化割引が推進されます。

ユーザーは隠れたスタックリスクを補うためにより高いリターンを要求するため、明示的なリスク開示がなければワンクリック利回りピッチを維持することが難しくなり、統合がリスクゲート化されるにつれて小規模なボールトでは TVL が失われます。

4 月に発生したインシデントのパターンは、今年の残りの期間も続き、新たなインシデントが発生するたびに、歩留まりの自動化にはユーザーが独自に評価できないリスクが組み込まれているという認識が強化されます。

強気の場合、プロトコルはベンナタン氏が説明するアーキテクチャを採用しており、簡単な障害点を排除するガバナンス制御、リアルタイムのトランザクション検証、継続的な脅威パターンの監視で構成され、自動化されたイールドはより標準化された形で存続します。

正式な検証、マルチシグ制御、ランタイム監視がデフォルトのインフラストラクチャとなり、依存関係スタックを開示および管理する製品が小売の信頼を維持します。

セキュリティ ベンダーとリスク ダッシュボードはボールト インターフェイス自体に組み込まれており、競争力は複雑さを隠すことから、そのどの部分が制御下にあるかを証明することに移ります。

小売業者が自動化された歩留まりを約束するのは常に複雑さを再配置することであり、何年もの間、このプロトコルはその負担を目に見えない形で吸収していました。 Stake DAO のエクスプロイトは、目に見えない層が壊れたときに何が起こるかを示しており、エイプリルの記録は、それがますます頻繁に壊れていることを示しています。

次に小売店の信頼を獲得する自動歩留まり製品は、スタックのどの部分が監視、制御、分離されているか、また、いずれかの部分に障害が発生した場合にプロトコルが何を行うかをユーザーに示すことで信頼を獲得することになります。

Tatsuya Yamamoto
Tatsuya Yamamoto

東京を拠点に活動するCoinhackの編集長として、仮想通貨とブロックチェーンに情熱を注いでいます。これらの複雑なテーマを、正確でわかりやすい分析を通じて読者に届けることを目指しています。経験と革新への関心を活かし、ビットコインの世界における信頼できる情報を日々提供するよう努めています。