Kelp DAOで発生した2億9,200万ドルのエクスプロイト(脆弱性を突いた攻撃)は、仮想通貨業界全体に大きな波紋を広げている。開発者やトレーダーらは、今回の事件が分散型金融(DeFi)の構築方法における深刻な欠陥を露呈させたと警告している。
市場関係者が共有したデータによると、その直接的な影響はハッキングされたプロトコルをはるかに超えて広がっている。
「rsETHのハッキングにより、Solanaや影響を受けていないプロトコルも含め、あらゆるレンディング・プロトコルで出金が相次いでいる」と、0xngmi氏は日曜日の投稿で述べ、Aaveでの「純流入額 -62億ドル(-23%)」を含む急激な資金流出や、Morpho、Sky、JupLendにおける小規模ながら顕著な減少を指摘した。rsETHは、リキッド・リステイキング・プロトコルであるKelp DAOのリステイクされたイーサ(ETH)であり、ユーザーが資産の流動性を維持しながら、ステーキングおよびリステイキングの報酬を得ることを可能にするリキッド・リステイキング・トークン(LRT)である。
その圧力はすぐに、より深刻な事態へと発展した。Josu San Martin氏による広く拡散された投稿は、レンディング市場内での連鎖的な流動性ストレスを次のように描写した。「ETHの預金者がETHを引き出せないため、資金を『引き出す』ためにステーブルコインを借りている……これはAaveに対する全面的な取り付け騒ぎだ」。
Aaveの創設者であるStani Kulechov氏は、今回のエクスプロイトは外部によるものであり、プロトコルのコントラクトは侵害されていないと述べたが、預金者はパニックに陥った。DefiLlamaによると、預かり資産総額(TVL)は4月18日の264億ドルから、日曜日の米国の午前中には200億ドル近くまで減少した。預金者が週末にかけて資金を引き出そうと奔走したため、AAVEトークンも18%以上下落した。
エクスプロイト自体が、エンジニアや開発者の注目の的となっている。
一部の開発者は、問題がコア・インフラに起因するという初期の推測に反論した。「KelpDAOのエクスプロイト(約2億9,000万ドル)は、LayerZeroプロトコルのバグではない。これは設定の問題であり、クロスチェーン・トークンを扱うすべてのプロジェクトが今日確認すべきケーススタディだ」と、cryptogoblin氏による技術的な分析投稿には記されている。
そのスレッドでは、単一の検証ポイントがいかにして攻撃を可能にしたかが詳細に説明されている。「1つの署名によって、116,500 rsETHがイーサリアム上で何もないところから実体化した」とその投稿は述べ、「スマートコントラクトが壊れていたのではない。検証レイヤーが壊れていたのだ」と主張した。
他の専門家は、問題は単一の設定の選択よりも深いところにあると主張している。
X(旧Twitter)でFishy Catfishと名乗る批評家は、これを設計上の欠陥として次のように指摘した。「セキュリティの最低ラインが存在しない……設定を1/1のDVNにすることができ、選択したDVNが単一のエンティティによって運営される単一のノードである可能性がある」。DeFiにおけるDVN(分散型検証ネットワーク)、特にLayerZero V2内でのそれは、異なるブロックチェーンネットワーク間で送信されるメッセージの真正性を検証・証明する責任を負う独立したエンティティである。本質的に、DVNはソースチェーンとデスティネーションチェーンの間のメッセージハッシュを検証する。
この点をより明確にするために、著者は現実世界の例えを用いた。「ジェットコースターのメーカーが、遊園地側に安全基準の最低スペックを個別に決定することを許可した場面を想像してみてほしい」。要するに、ガードレールのない柔軟性は、隠れたリスクを生み出す可能性があるということだ。
その投稿は、このセットアップこそが設計上の問題であるとまで主張した。「個人的には、これは欠陥のある設計だと思う。モジュール式のセキュリティは価値のある設計領域だが、セキュリティの範囲には、十分に強力なネイティブのセキュリティ・フロア(最低基準)が必要であり、その上に高価値なユースケースのための『追加の』セキュリティ・レイヤーを重ねることを許可すべきだ」。
激しくパニックに近い批判を招いたのは、エクスプロイトの金額や複雑さだけではない。その規模が懸念を高めている。
供給量の約18%にあたる約116,500 rsETHが影響を受けた。攻撃者はLayerZeroのクロスチェーン・メッセージング・レイヤーを欺き、別のネットワークから有効な指示が届いたと信じ込ませた。これにより、Kelpのブリッジがトリガーされ、攻撃者が制御するアドレスに116,500 rsETHが放出された。
プロトコル側は、市場の凍結や機能の停止で対応した。AaveはrsETHのアクティビティを停止し、Lidoはこの資産に関連する預金を一時停止した。事態の進展に伴い、他のプロジェクトもリスクを抑えるために同様の措置を講じた。
技術的な議論を超えて、仮想通貨界隈のセンチメントは急激に悪化した。ある投稿は、そのムードの変化を率直に表現している。「DeFiは死んだ……『とりあえずAaveを使え』は終わった」。さらに「仮想通貨の時代は終わった」と付け加え、「これを読んでいる君は、なぜまだ仮想通貨の世界にいるんだ?」と問いかけている。
こうした反応は過剰反応のように聞こえるかもしれないが、大規模