DeFiは4月、過去1年以上で最悪の月を経験し、ブロックチェーンセキュリティ企業がまとめたデータによると、28件の個別インシデントで攻撃者に合計6億3500万ドルを吸い上げられた。この累積損失は165億ドルに達し、そのうち77億ドルがDeFiに特化した被害である。今月最も被害が大きかった単一のイベントであるrsETHブリッジ攻撃は、Aaveに2億ドルの不良債権を残し、業界がスピードをセキュリティよりも優先する姿勢について議論を再燃させた。
rsETH攻撃:長年にわたり存在した単一検証者構成
KelpDAOのrsETHブリッジへの攻撃は、1-of-1(単一検証者)の分散型検証者ネットワーク(DVN)構成を悪用したもので、この設定ではメッセージ承認に検証者が1人だけ必要だった。攻撃者はRPCインフラを侵害し、DDoS攻撃で汚染されたノードへのフェイルオーバーを強制し、その単一のDVNに偽のデータを注入した。偽造されたメッセージにより約11万6500のrsETHが解放され、それがAaveに担保として預け入れられた。
Aaveのインシレポートでは、イーサリアムチェーンが攻撃からのナンス308を受け入れた一方、Unichainのソースエンドポイントは307を超えなかったことが確認された。これは適切な監視があれば発見できたはずの不一致である。KelpDAOは、1-of-1のDVNはLayerZero自身が出荷したデフォルト設定だと主張している。LayerZeroは、KelpDAOがその設定にダウングレードしたと反論している。いずれにせよ、LayerZeroはその後、プロトコル全体で1-of-1のDVN構成を禁止した。
責任の所在とラザルスグループの関連性
Chainalysisは暫定的にこの攻撃を北朝鮮のラザルスグループと関連付けたが、特定はまだ進行中である。業界にとって、このインシデントは誰がやったかよりも、どのように起こったかが重要である。「DeFiは歴史的に、セキュリティの成熟度よりも成長、統合、流動性、スピードを重視してきた」とImmunefiのCEO、ミッチェル・アマドール氏は述べた。同氏は、マルチシグの衛生管理、サプライチェーンの強化、リアルタイム監視、緊急対応手順など、多くのプロトコルがまだ実施していない見過ごされた慣行を指摘した。
Solstice FinanceのCEO、ベン・ナダレスキ氏は「勝ち組チームは、初日からコンプライアンスとセキュリティに基づいて構築されるだろう」と率直に述べた。また、Euler FinanceのCTO、カスパー・パウロフスキ氏は、DeFiにおけるリスク評価はしばしば一度限りのチェックリストとして扱われるが、「リスクは動的である」と指摘した。
わずか1か月で110億ドルのTVLが消失
rsETH事件以外にも、DeFiは先月、DriftとKelpDAOブリッジでの注目度の高い悪用により、預かり資産総額(TVL)の約110億ドルを失った。この数字は、セキュリティ研究者が警告してきた傾向、すなわちプロトコルが統合と流動性を追い求めるにつれ、防御が追いつくよりも速く攻撃対象領域が拡大することを浮き彫りにしている。4月の被害総額は2024年初頭以来の月間最大である。
今、業界はセキュリティをローンチ時のチェックリストではなく継続的なプロセスとして扱うのか、それともまた2億ドルの穴が現れるのを待つのかが問われている。
