何が起きたか:2億9,300万ドル規模のKelp DAOエクスプロイト
2024年4月初旬、分散型自律組織(DAO)であるKelp DAOは高度な攻撃の被害に遭い、約2億9,300万ドル相当の暗号資産が流出しました。ハッカーはフラッシュローンを利用したベクトルにコントラクトレベルの欠陥を組み合わせ、数分でプラットフォームの流動性プールを枯渇させました。Kelpのコア開発者は4月12日にこの侵害を確認し、攻撃者が取った手順を詳細に記したフォレンジックレポートを公開しました。この事件はブロックチェーンコミュニティ全体で瞬く間に見出しを飾る出来事となりました。
波及効果:Aaveから150億ドルが流出
Kelp DAOへの直接的な損失は大きいものの、真の衝撃波はより広範なDeFiエコシステム、特にAave貸付プロトコルに及びました。エクスプロイトが判明した数時間以内に、Aaveから約150億ドル規模の流動性が急速に流出し、ユーザーは感染拡大への恐怖から資金引き出しを急ぎました。DeFi Llamaのデータによると、Aaveの総ロック価値(TVL)は1取引日で234億ドルから84億ドルへと36%減少しました。
Aaveが脆弱だった理由
この大規模な引き出しは、Aaveの設計にいくつかの構造的弱点があることを露呈しました。第一に、担保評価に価格オラクルに依存しているため、オラクルの短時間の遅延が清算カスケードを引き起こす狭い攻撃面が存在します。第二に、流動性マイニングインセンティブは資本を呼び込む一方で、急速な参入・退出を促し、パニック的な引き出しを増幅させました。最後に、堅牢な緊急停止メカニズムが欠如していたため、プラットフォームは流出を食い止めるべく迅速に操作を一時停止できませんでした。
DeFi貸付プロトコルへの広範な影響
Aaveに留まらず、この事件は分散型金融のレジリエンスについて根本的な疑問を投げかけます。ConsenSysの最新調査によると、DeFi貸付プラットフォームの70%以上が正式なリスク管理フレームワークを持たないまま運営されています。Kelp DAOのエクスプロイトは、単一の障害点が相互接続されたプロトコル全体に波及し、数十億ドル規模のユーザー資本を危険にさらすことを示しています。また、緊急時にリアルタイムで警告を発するクロスプロトコル通信チャネルの整備が急務であることを浮き彫りにしています。
業界の対応と緩和策
侵害後数日間で、複数の主要プレイヤーが声明を発表し、即時の対策を実施しました。AaveのCTOであるStani Kulechovは、単一データソースへの依存を減らすため新たなオラクル集約レイヤーの導入を発表しました。一方、Kelp DAOコミュニティは、将来の脆弱性開示に対し最大200万ドルのバグバウンティ