中央集権の問題を解決することがDeFiの進化の方向である。
KelpDAOの単一署名の脆弱性がAAVEのセキュリティ事件を引き起こし、中央集権的リスクを暴露しました。分散型の構成はDeFiの安全の基盤であり、中央集権的な問題を継続的に解決することが進化の方向性です。最近、AAVEのセキュリティ事件についての議論がネット上で盛り上がっています。
事件の主な経緯は以下の通りです:
攻撃者はKelpDAOの検証メカニズムを攻撃し、偽のクロスチェーンメッセージを通じて、LayerZeroのクロスチェーンブリッジがメインネットで11万枚以上のrsETHを無から生成しました。そして、これらの無から発行されたrsETHをAaveに担保として預け入れ、約2.36億ドルのWETH/ETHを借り出しました。
この操作は直接的にAave上のWETH/ETHの膨大な流動性を引き抜く結果を招きました。このセキュリティ事件の影響が広がるにつれ、Aaveに大量に保管されていた様々な資産が次々と引き出されました。これにより、流動性の枯渇がAave上のほぼすべての主流資産に急速に広がりました。
さらに深刻なのは、この騒動がソラナエコシステムにも波及し、ソラナ上の様々な貸出プロトコルの流動性もかなり厳しい状況に陥ったことです。
この事件全体の説明については、文末のリンクを参照してください。
この事故がDeFiエコシステム全体に与えた打撃は計り知れないため、ネット上ではこの件に関する様々なコメント記事が溢れています。
しかし、これらの記事の大半は単に感情を吐露するだけで、この事件の重要な点を理解しておらず、さらにこの事件の影響を客観的に見ることもできていません。多くの記事は、すべての問題を分析することなくDeFiに帰結させ、さらには「分散化は死んだ」という誤った主張を無根拠に叫んでいます。
実際、このセキュリティ事故の核心的な原因は、KelpDAOの検証メカニズムに設計上の重大なセキュリティホールが存在したことです。
LayerZeroは、各プロトコルがクロスチェーン時にメッセージを確認するためのDVN(分散検証ネットワーク)のメカニズムを提供しています。DVNが分散型の検証者である以上、この検証者を呼び出すプロトコルは分散型の方法でこのメカニズムを構成すべきです---複数の署名を使用してメッセージを確認する必要があります。
しかし、KelpDAOは単一の署名だけでメッセージを確認できるようにしていました。
これにより攻撃者に脆弱性が残されました---攻撃者はこの一つの署名を攻撃するだけで、任意のメッセージを確認できるのです。
別のより典型的なシナリオを考えると、この問題をよりよく理解できます:
通常、大規模な機関(例えばCEX取引所など)は大量のビットコイン資産を保有しています。これらの大額ビットコインを保管するウォレットには、これらの機関は単一署名のウォレットではなく、多署名のウォレットを使用します。
単一署名のウォレットを使用する場合、その単一署名が攻撃されれば、ウォレット内のビットコインは全て失われてしまいます。しかし、多署名のウォレットを使用すれば、1つまたは複数の署名が攻撃されても、多署名のハードルが残っていれば、ウォレット内のビットコインは依然として安全です。
これは、暗号エコシステムにおいて多少のセキュリティ意識を持つオペレーターや設計者が持つべき基本的な認識と常識です。
しかし、KelpDAOチームはこの基本的な認識すら欠如していました---彼らはまさに単一署名という高度に中央集権的な設計を採用したため、この巨大な災害事故を引き起こしました。
これもまた、DeFiの世界において、分散化の構成が各重要なプロセスの標準装備となる必要があることを証明しています。そうすることで、全体のメカニズムの安全性が保証されます。
したがって、「分散化は死んだ」という主張は実に馬鹿げています。
もちろん、Aaveもこの事故において無実ではありません。彼らの問題は、担保資産がもたらす可能性のあるリスクに対して、適時に警戒を促さなかったことです。
2025年1月、AaveのガバナンスフォーラムにはKelpDAOの資産にリスクが存在する可能性があるという投稿がありました。しかし、Aaveはこれに対して無反応でした。
一方、同様のプロトコルであるSpark(MakerDAOから派生)は、rsETHの担保を迅速に停止しました。
これら二つのプロトコルのセキュリティホールに対する対応の違いは、彼らのセキュリティリスク管理における大きな差を示しています。
Sparkのこの操作は、MakerDAOの過去のセキュリティ事故を思い起こさせます。
それは2023年3月、シリコンバレー銀行の倒産によりDAIの最大担保資産であるUSDCが深刻にペッグを外れ、DAIの価格が短期間で1ドルを下回った事件です。
これもまた、中央集権の問題が引き起こしたDeFiの災害でした。これは当時のMakerDAOの中央集権問題に対する防御が不十分であることを暴露しました。
しかし、それ以降、MakerDAOは再生の道を歩み始め、「エンドゲームプラン」を直接推進し、分散化と資産の多様化のプロセスを加速させ、類似の中央集権リスクがプロトコルに与える影響を防ぐための取り組みを行いました。
これが今日私たちが見るSparkの姿であり、この事件におけるSparkの安定したパフォーマンスを示しています。
MakerDAOの再生は、こうした問題に直面した際、エコシステム内の各プロジェクトが各プロセスの中央集権リスクに倍増して警戒し、倍増して防止する必要があることを示しています。
これこそが、長期的な視点からより強力で、より生命力のあるDeFiシステムを構築するための道です。
MakerDAOはこのように歩んできましたが、Aaveや他のすべてのDeFiシステムもこの道を進まなければなりません。
DeFiメカニズムはセキュリティ事故の原因ではなく、実際のオペレーターが潜在的に慣れ親しんでいる中央集権的な思考と中央集権的な操作こそが根本的な問題です。
中央集権リスクに対抗し続け、中央集権問題を解決し続けることがDeFiの進化の正しい方向であり、DeFiが類似の問題を解決するための正しい方法です。
参考リンク: https://x.com/lanhubiji/status/2045779703051460715
リスク警告
