image

アンドレ・クロンジェ氏、建設業者らがサーキットブレーカーについて議論する中、DeFiは「もはやDeFiではない」と語る

Tatsuya Yamamoto

アンドレ・クロンジェ氏は、構築者らがユーザーをエクスプロイトから守るためにサーキットブレーカーやその他の緊急制御が今必要かどうかを議論している中、分散型金融の多くは厳密な意味で「もはやDeFiではない」と述べている。

フライング・チューリップの創設者はコインテレグラフのインタビューで、多くのプロトコルはもはや不変の公共財ではなく、アップグレード可能な契約、オフチェーン・インフラストラクチャー、運用管理を備えた「営利ビジネスを運営するチーム」であると語った。

この変化によりセキュリティモデルが変化すると同氏は述べた。クロンジェ氏によると、初期のDeFiプロトコルは主に不変のスマートコントラクトによって定義されていたが、新しいシステムはプロキシのアップグレード、マルチシグ、インフラプロバイダー、管理プロセス、人間の対応チームに依存することが多いという。

「フライング・チューリップを含め、私たちが今日持っているものは、もはやDeFiではないと思います。分散型金融ではありません。不変のコードではありません」とクロンジェ氏は語った。 「営利目的のビジネスを運営するチームです。」

このコメントは、4月のDeFiエクスプロイトにより、セキュリティの話がスマートコントラクトの監査を超えて、運用リスクの問題にまで押し広げられた中で出された。 4月23日、フライングチューリップは、異常な流出時に引き出しを遅らせたり、待機させたりするように設計された引き出しサーキットブレーカーを追加した。この動きは、分散型取引所のドリフト・プロトコルとプラットフォームのケルプの再ステークに関わる大規模な事件を受けてのもので、それぞれ約2億8,000万ドルと2億9,300万ドルの損失が推定されている。

DeFiリスクはスマートコントラクトを超えて広がる

クロンジェ氏は、多くのシステムが開発者によって変更されたり、管理プロセスを通じて制御されたりする可能性がある場合、業界は監査に重点を置くと述べた。

クロンジェ氏はコインテレグラフに対し、「業界全体の注目は依然として契約面にあり、TradFi面にはあまり重点が置かれていない」と述べ、最近のエクスプロイトの多くにはインフラストラクチャへのアクセス、侵害、ソーシャルエンジニアリングなどの「従来のWeb2関連のもの」が含まれていると付け加えた。

同氏は、アップグレード可能な契約を持つプロトコルには、誰がコードをアップグレードできるか、誰が変更を承認するか、適切なタイムロックやマルチシグ制御があるかどうかといった従来のチェックアンドバランスが必要だと述べた。

Curve Finance と Yield Basis の創設者 Michael Egorov 氏は、最近の事件は、リスクがスマート コントラクトのバグだけではなく、集中化とオフチェーンの依存関係にますます結びついていることを示しているとの見解を共有しました。

「最近のDeFiエクスプロイトの大部分は、コードのエラーが原因ではありませんでした」とエゴロフ氏はコインテレグラフに語った。 「それらは集中化のリスク、つまりオフチェーンに存在する単一障害点のせいで起こりました。」

エゴロフ氏は、最近のrsETH事件ではAave、Kelp、LayerZeroのスマートコントラクトはハッキングされていなかったと述べ、侵害はオフチェーンインフラから来たものだと主張した。同氏は、DeFiプロトコルは「リスクのツリー全体」にさらされる可能性があり、最大のリスクはコードではなく人間に関係していることが多いと述べた。

サーキットブレーカーがDeFiビルダーを分断

クロンジェ氏は、フライングチューリップのサーキットブレーカーは永久に出金を阻止するように設計されているわけではなく、流出が通常のパラメータを超えた場合に対応枠を設けるように設計されていると述べた。 「私たちのサーキットブレーカーは実際には、何かが起こるのを止めたり防いだりできるように設計されていません」と彼は言いました。 「それは私たちに反応する時間を与えるためです。」

フライング チューリップのシステムはチームに約 6 時間を与えますが、クロンジェ氏は、小規模または地理的に分散していないチームの場合は 12 ~ 24 時間、あるいはそれ以上かかる可能性があると述べました。同氏は、このツールはユーザーの資金を保持する契約には意味があるが、監査、分散型マルチシグ、タイムロック、その他の管理の中の1つのレイヤーとして見るべきだと述べた。

「セキュリティは常に多層的なアプローチです」とクロンジェ氏は言います。 「『これだけであなたは無敵になれる』ということは決してありません。」

エゴロフはより慎重だった。同氏は、サーキットブレーカーは理論的には意味をなすが、それは新たな特権攻撃対象領域を生み出さない方法で実装された場合に限られると述べた。 「サーキットブレーカーは人間によって制御されている。つまり、サーキットブレーカー自体が潜在的な脆弱性になる可能性がある」とエゴロフ氏はコインテレグラフに語った。

同氏は、緊急制御により署名者が契約コードを変更したり、引き出しをブロックしたりできる場合、侵害された署名者が安全策をドレインや集中凍結メカニズムに変える可能性があると警告した。彼の考えでは、より良い長期的な答えは、手動介入なしで安全に実行し続けることができるシステムを設計することです。

「DeFi設計の目標は、人間中心の障害点を増やすことではなく、最小限に抑えることであるべきです」とエゴロフ氏は述べた。 「DeFiは安全である必要があり、安全性は分散化から生まれます。」

スタンダードチャータードは、ケルプのエピソードはDeFiの回復力を示していると主張

スタンダードチャータードは、ケルプのエピソードを致命的な失敗ではなく、DeFiの成長痛の兆候として組み立てた。

コインテレグラフが入手した水曜日のリサーチノートの中で同銀行は、4月18日の盗難事件で影響がAaveに広がったことでシステミックリスクが露呈したと述べたが、DeFiユナイテッド連合によって調達された3億ドル以上と、Aave V4やイーサリアム経済圏などの構造変化は同セクターがより強力な防御を開発していることを示唆していると述べた。

同銀行は、これらのアップグレードにより、最近の暗号通貨ハッキングにおける主要な攻撃ベクトルであるブリッジへの依存を軽減できる可能性があると述べた。

Tatsuya Yamamoto
Tatsuya Yamamoto

東京を拠点に活動するCoinhackの編集長として、仮想通貨とブロックチェーンに情熱を注いでいます。これらの複雑なテーマを、正確でわかりやすい分析を通じて読者に届けることを目指しています。経験と革新への関心を活かし、ビットコインの世界における信頼できる情報を日々提供するよう努めています。