分散型取引所カーブがハッキング被害、DeFiの進む先は?

分散型金融(DeFi)は、7月30日に複数の主要プラットフォームが相次いで攻撃を受け、動揺している。

相次いだハッキング被害

最もよく利用され、影響力のある分散型取引所(DEX)のひとつであるカーブ・ファイナンス(Curve Finance)を含め、先週末だけで合計7000万ドル(約98億円、1ドル140円換算)ほどが盗まれたとメタマスク(MetaMask)の開発者テイラー・モナハン(Taylor Monahan)氏は推定している。

レンディングプロトコルのAlchemix、イールドプラットフォームのPendle、合成資産ツールのMetronome、分散型NFTプロトコルのJPEGも攻撃を受けた。

相次ぐ攻撃を受けて、DeFiの貸し手はアーベ(Aave)を含む、さまざまなDeFiプラットフォームから資金を引き揚げ始め、DeFiセクター全体で借り入れ手数料が急上昇したとDeFiトレーディングに特化したメディア「The Defiant」は報じた。

ホワイトハッカーの活躍

事態は間違いなく、もっと悪くなっていた可能性もある。意外な展開とも言えるが、ホワイトハットハッカーたちがカーブ上の複数のレンディングプールから資産を移動させ、盗難を防ぐことに成功した。さらに合計5つの悪質な攻撃のうち3つにおいては、MEV(Maximal Extractable Value:最大抽出可能価値)の専門家による「フロントランニング」によって被害が回避されたようだ。

MEVとは、パブリック・ブロックチェーンの仕組みの中で、物議を呼んでいるが止めることのできない行為であり、第三者や自動化されたプログラムが利益を得るために、メモリープールで待機している未決済の取引を探し出し、並べ替えることをいう。

ボットオペレーターのCoffeebabe.ethは、複数の無関係なハッカーによって行われた可能性のあるトランザクションをフロントランニングすることによって、悪意のある攻撃の少なくとも2つを覆した。オンチェーン・データプロバイダー(別名「オラクル」システム)のチェーンリンク(Chainlink)もまた、攻撃によるセクター全体の巻き添え被害を間接的に防いだとして称賛されている。

「アーベのようなプラットフォームや、他のDeFiレンディング・プロトコルが(今は枯渇してしまっている)CRV/ETHのカーブ・プールをオンチェーンオラクルとして使っていたら、不良債権で完全にやられていただろう」と、チェーンリンクのコミュニティアンバサダーLINK Marine ChainlinkGodはツイートした。

どこが狙われた?

この攻撃は、イーサリアム上でスマートコントラクトを起動するために特別に使用されるVyperと呼ばれるプログラミング言語の脆弱性に起因しているようだ。カーブの支援を受けたこのプログラミング言語の中核チームは、Vyperの旧バージョンが「リエントランシー」攻撃に対して脆弱だと発表した。Vyperの担当者は、バージョン0.2.15、0.2.16、0.3.0を使用しているプロジェクトに対してチームに連絡を取るよう呼びかけているが、何が問題だったのかを本当に理解するには数日、数週間、数カ月かかるかもしれない。

暗号資産(仮想通貨)の世界でのハッキングは、他の分野のハッキングとはまったく異なる。攻撃者が盗んだ資金を返還することがますます一般的になっている。盗んだコインはその性質上、ブロックチェーン上で常に追跡可能であるため、世界中に知られることなく盗んだ資金を使ったり、どこかで換金することはきわめて難しい。

こうなると、暗号資産への攻撃は少なくなっていくと思うかもしれないが、どうやらそうではないようだ。セキュリティ監査会社CertiKは7月31日、2023年7月だけで暗号資産ユーザーが攻撃によって少なくとも3億300万ドル(約424億円)を失ったと報告した。

DeFiの新しい方向性

一連の攻撃の技術的な側面はまだ解明されておらず、全体的な影響もまだわかっていないが、少なくとも1つの明確なポイントがあるだろう。最も人気の分散型取引所(DEX)ユニスワップ(Uniswap)を運営するチームによる新プロダクトで、オフチェーン・メカニズムを使用して取引を実行することで、ユニスワップ・ユーザーの取引手数料コストを削減する「UniswapX」発表後、DEXの将来は話題となっている。

どうやら世界は、ある方向に動いているようである。Cowswapに0x、そして新しいUniswapXを含む、多くのプロトコルはすべて、暗号資産取引の一部をオフチェーンに持ち出す「最良執行」モデルを使用している。

暗号資産取引のこの新しい世界は、ある程度理にかなっている。競合各社がユーザーを惹きつけるためにイノベーションを起こさなければならない市場では、コストは常にゼロに向かう傾向にある。暗号資産トレーダーもまた、より良い価格、より迅速な取引、あるいは単なる利益など、トレーダーに有利に働くとされる独自の取引アルゴリズムのベールに包まれたオーダーブックのプロセスの一部を取り払った時に得られるもののためなら、完全なオンチェーンの暗号資産という確実さの一部を諦めることも厭わないとの姿勢を示してきた。

しかし、今回DeFiが受けた一連の被害を鑑みると、そしてオンチェーンでの取引執行でさえ、明らかに上手くいかない可能性があることを考えると、ブロックチェーンが商取引にもたらす唯一の利点である変更不可能性と透明性を奪うことは過大なリスクと思えないだろうか。

ブロックチェーンの未来がどうなるかはわからないが、AMM(自動マーケットメーカー)のような馴染みのある世界ではなく、もっとプログラム的で自動化されたものになると言われることが増えている。そうなるかもしれないが、その前にまず、暗号資産の問題点を解決したいと願うのが普通だろう。

|翻訳・編集:山口晶子、増田隆幸
|画像:Shutterstock
|原文:After the Curve Attack: What’s Next for DeFi?