image

「DeFiは死んだ」:今年最大のハッキングで伝染リスクが露呈、仮想通貨コミュニティは混乱

Tatsuya Yamamoto

Kelp DAOの2億9,200万ドルのエクスプロイトは仮想通貨業界全体に波紋を呼び、開発者やトレーダーらはこの事件が分散型金融(DeFi)の構築方法におけるより深い欠陥を暴露したと警告した。

市場参加者によって共有されたデータは、ハッキングされたプロトコルをはるかに超えて直接的な影響が広がることを示しています。

「rsETHハッキングは、ソラナや影響を受けていないプロトコルであっても、すべての融資プロトコルで引き出しにつながっている」と0xngmi氏は日曜の投稿で述べ、「Aave:純流入額-6,200百万円(-23%)」を含む急激な流出と、モルフォ、スカイ、ジュプランド全体での小規模ではあるが顕著な減少を指摘した。 rsETH は、リキッド リステーキング プロトコル Kelp DAO のリステーキング イーサであり、ユーザーがステーキングにロックされている場合でも資産を流動的に保ちながら、イーサ ステーキングとリステーキング報酬を獲得できるリキッド リステーキング トークン (LRT) です。

そのプレッシャーはすぐにさらに厳しいものに変わりました。広く流通したジョス・サン・マルティン氏の投稿では、融資市場内の連鎖的な流動性ストレスについて次のように説明されています。$ETH 預金者は引き出すことができない $ETH したがって、彼らは資金を「引き出す」ために厩舎を借りています…これは完全に実行されています $AAVE

Aaveの創設者であるスタニ・クレチョフ氏は、エクスプロイトは外部からのものであり、プロトコルの契約は侵害されていないと述べたが、預金者たちはパニックに陥った。 DefiLlama によると、ロックされた総額(または預金)は、4 月 18 日の 264 億ドルから、日曜日の米国午前中には 200 億ドル近くまで減少しました。の $AAVE 預金者が週末にかけて資金を引き出そうと先を争ったため、トークンも18%以上下落した。

「ケーススタディ」

このエクスプロイト自体がエンジニアや開発者にとって注目の的となっています。

数人の開発者は、問題がコアインフラストラクチャに起因するという初期の仮定を主張しませんでした。 「KelpDAO エクスプロイト (約 2 億 9,000 万ドル) は、LayerZero プロトコルのバグではありません。これは構成の問題であり、クロスチェーン トークンを使用するすべてのプロジェクトが今日検討する必要があるケーススタディです」と、cryptooblin による技術的な内訳の 1 つには書かれています。

このスレッドでは、単一の検証ポイントがどのようにして攻撃を可能にしたのかが詳しく説明されています。 「1つの署名と116,500 rsETHがイーサリアム上で何もないところから実現した」と投稿は述べ、「(スマート)コントラクトは破られていなかった。検証層は破られた」システムについて説明した。

他の人は、問題は単一の設定の選択よりも根深いと主張しました。

X の Fishy Catfish という評論家の 1 人は、これを設計上の欠陥と位置づけ、次のように主張しました。「セキュリティフロアはありません…構成は 1/1 DVN にすることができ、選択した DVN は単一のエンティティによって実行される単一のノードになる可能性があります。」 DeFi、特に LayerZero V2 内の DVN (分散型検証ネットワーク) は、さまざまなブロックチェーン ネットワーク間で送信されるメッセージの信頼性を検証および証明する責任を負う独立したエンティティです。基本的に、DVN はソース チェーンと宛先チェーンの間のメッセージ ハッシュを検証します。

この点を明確にするために、著者は現実世界の比較を描きました。「ジェット コースターのメーカーが、遊園地に最低限の安全仕様を個別に決定させることを許可した場合を想像してください。」本質的に、著者はガードレールのない柔軟性が隠れたリスクを生み出す可能性があると言っているだけです。

この投稿では、設定が設計内の問題であるとまで主張しました。 「個人的には、これは欠陥のある設計だと思います。モジュラーセキュリティは価値のある設計スペースですが、セキュリティの範囲には非常に強力なネイティブセキュリティフロアがあり、さらに価値の高いユースケースでは、その上にセキュリティを*追加*階層化できるようにする必要があります。」

「DeFiは終わった」

パニックに陥った厳しい批判を引き起こしたのは、悪用の量と複雑さだけではありません。エクスプロイトの規模が大きいため、懸念が高まっています。

供給量の約18%に相当する約11万6500rsETHが影響を受けた。攻撃者は、LayerZero のクロスチェーン メッセージング層をだまして、有効な命令が別のネットワークから到着したと信じ込ませ、これにより Kelp のブリッジが攻撃者が制御するアドレスに 116,500 rsETH を解放しました。

プロトコルは市場を凍結し、機能を一時停止することで対応しました。 Aave は rsETH アクティビティを停止しました。リドは資産に関連付けられた預金を一時停止した。他のプロジェクトでも、状況の展開に応じて暴露を制限するために同様の措置を講じました。

技術的な議論を超えて、暗号通貨全体のセンチメントは急激に否定的になりました。ある投稿はおそらく、ムードの変化を率直な言葉で捉えたものだろう:「DeFiは死んだ…『ただaaveを使うだけ』は死んだ」としながらも、「仮想通貨の時代は終わった」と付け加え、「これを読んでいるなら、なぜまだ仮想通貨を利用しているのか?」と尋ねた。

この反応は過剰反​​応のように聞こえるかもしれないが、大規模な悪用の後にこの種の「ひざまずく」反応は珍しいことではないが、このイベントの範囲の広さは際立っている。

この攻撃はクロスチェーンインフラストラクチャに影響を与え、モデルと融資市場を同時に再ステーキングしました。これは最近の一連の事件にも続きます。このハッキングは、特に今月、DeFiにとって異常に敵対的な状況に陥った。ソラナベースの永久プロトコル「ドリフト」は、後に北朝鮮関連の攻撃者に関連した攻撃で、4月1日に約2億8,500万ドルを流出させたが、それ以来数週間で、CoW Swap、Zerion、Rhea Finance、Silo Financeなど、少なくとも12の小規模なプロトコルが悪用された。

「設定を確認してください」

すべての説明にもかかわらず、答えよりも疑問の方がまだ多くあります。

LayerZero でさえ、依然としてエクスプロイトの詳細を解明しようとしています。 「我々はrsETHエクスプロイトを十分に認識しており、インシデント以来@KelpDAOチームと積極的に修復を行っており、監視を続けている。他のアプリケーションはすべて安全なままだ」とXへの投稿で述べた。「我々はまだ@_SEAL_Orgなどと協力して根本原因を特定しているところだ。すべての情報が得られ次第、@KelpDAOとの完全な事後分析を公開する予定だ。」

KelpDAO もこの意見に同調しました。 「本日の初めに、rsETHに関係する不審なクロスチェーンアクティビティを特定しました。調査中、メインネットといくつかのL2全体でrsETHコントラクトを一時停止しました。私たちは@LayerZero_Core、@unichain、監査人、およびRCAのトップセキュリティ専門家と協力しています。この状況についてさらに詳しく知り次第、お知らせします。」

それでも、一部の開発者は混乱の中でより明確な教訓を得たと考えています。

このエクスプロイトは、暗号化の解読やスマート コントラクトのバイパスには依存していませんでした。その代わりに、システムが重層的な前提に依存する場合にいかに脆弱になるかを明らかにしました。

簡単に言えば、ツールは設計どおりに機能しました。構成方法はそうではありませんでした。

その違いが次に来るものを形作るかもしれない。ビルダーは現在、プロジェクト、特にクロスチェーンメッセージングに依存しているプロジェクトの設定を見直すよう促している。

クリプトゴブリンは率直にこう言いました:「設定を確認してください。外では安全を確保してください。」

Tatsuya Yamamoto
Tatsuya Yamamoto

東京を拠点に活動するCoinhackの編集長として、仮想通貨とブロックチェーンに情熱を注いでいます。これらの複雑なテーマを、正確でわかりやすい分析を通じて読者に届けることを目指しています。経験と革新への関心を活かし、ビットコインの世界における信頼できる情報を日々提供するよう努めています。