KelpDAO、分散型金融プロトコルは2億9300万ドルのハッキング被害に遭い、デファイ史上最大級の損失を記録した。この攻撃は、業界の最大のセキュリティ脅威がもはや不具合のあるコードだけではなく、プラットフォームを支える相互接続されたシステムの複雑なネットワークにあることを示唆している。
被害の規模
盗まれた資金は2億9300万ドルに上り、ドル換算でのデファイハッキング被害として上位にランクインする。攻撃者はKelpDAOエコシステム内の複数のプールから資金を引き出したが、盗難資産の詳細な内訳は公表されていない。プロトコルは調査のため運用を一時停止している。
コードのバグからシステムリスクへ
過去数年、デファイの不正アクセスは主に個々のスマートコントラクトの脆弱性に起因していた——不具合のあるコードや権限チェックの欠如などだ。しかしKelpDAOのハッキングは異なる種類の脆弱性を示している:プロトコル同士、オラクル、外部流動性ソースとの相互作用から生じる複雑性である。現時点で判明している情報によれば、この攻撃は単一のコーディングエラーではなく、これらの依存関係を悪用したものだった。
このシフトは進行中だ。デファイシステムがますます統合されるにつれ、1つのコンポーネントの不具合が複数のシステムに波及する可能性が高まる。KelpDAOの侵害は、このような複雑性が完全に把握・保護されていない場合に発生するリスクを如実に示している。
問題の所在
公開された事後分析はまだ行われていない。初期の分析では、攻撃者が価格フィードを改ざんしたり、クロスプロトコルローンのメカニクスを悪用したりした可能性が示唆されている——これはシステムの各要素がストレス下でどのように振る舞うかを理解する技術に依存する攻撃手法だ。KelpDAOチームは攻撃ベクトルを確認しておらず、リリース前のセキュリティ監査では単純なコードバグではないため、このような攻撃を検出できなかった可能性がある。
影響と今後
KelpDAOユーザーは現状を待たされている。引き出しは凍結され、法執行機関およびセキュリティ企業と協力して対応中だ。回収の可能性については未定である。過去の類似事件では交渉により一部の資金が返還されたケースもあるが、現時点ではその見通しがない。
デファイコミュニティ全体が注視している。もしシステムの複雑性が新たな攻撃の常态となるのであれば、個別コントラクトに焦点を当てる従来のコード監査だけでは不十分だ。業界は複数プロトコル間の相互作用をモデル化するストレステストやシミュレーションツールの導入を検討する必要があるだろう。
KelpDAOはインシデントレポートの公表時期を明言していない。この報告書は攻撃の経緯を正確に理解し、今後の被害を防ぐために不可欠となる。
