KelpDAOの2.93億ドルハックが突きつける「DeFiの複雑性リスク」という警告

私は2019年からDeFiの世界を追いかけてきましたが、そこで学んだ唯一にして最大の教訓は、「イノベーション」という言葉は、往々にして「誰も完全には理解していないリスクをもう一層積み上げました」という言い訳に過ぎないということです。今回のKelpDAOによる2.93億ドルのハックは、単なる数多くのエクスプロイトの一つではありません。これはまさに「DeFiの複雑性リスク」の教科書のような事例であり、数学的な構造が複雑に絡み合いすぎて、安全な管理が不可能な限界点に業界が到達したことを示しています。以前、DeFiウォレットのリスクについて書いた記事がありますが、背景としてあわせて読んでみてください。

KelpDAOで実際に何が起きたのか

リキッド・リステーキングという、かなりマニアックな領域に詳しくない方のために説明すると、KelpDAOはユーザーがステーキング資産の報酬を得ながら、同時にその流動性を維持できるように設計されたプロトコルです。ただ、リキッド・リステーキングは単純な仕組みではありません。スマートコントラクトの層が重なり、サードパーティのプロトコルが入り込み、担保が再帰的にループする構造になっています。

今回のケースで、攻撃者は単一のコードにある単純なバグを見つけたわけではありません。彼らが突いたのは、プロトコルの異なるコンポーネント同士がどう相互作用するかという点でした。システムのステート（状態）を操作することで、約3億ドルを抜き取ることに成功したのです。これは伝統的な意味での「フラッシュローン攻撃」ではなく、特定の複雑なイベントシーケンスをシステムが処理できなかったことによる失敗です。

DeFiの複雑性リスクとは何か、なぜ重要なのか

私が言う「複雑性リスク」とは、いわば「レゴブロック問題」のことです。初期のプロトコルは、やることは単純でした。Uniswapはトークンを交換し、Aaveは貸し付けを行う。それだけです。でも今は、あるプロトコルの上に別のプロトコルが乗り、それがさらに別のトークンでラップされ、最終的にイールドオプティマイザーに預けられるという構造になっています。

層が増えるたびに、そこには新しい故障点（シングルポイントオブフェイラー）が生まれます。個々のコードが「監査済み」で「安全」だったとしても、それらが組み合わさった時に、予想もしなかった脆弱性が現れることがあります。例えるなら、使われているネジ一本一本は非常に強力なのに、全体の設計図があまりに不安定で、ちょっとした風が吹いただけでビルごと倒壊するようなものです。

このパターンは以前にも見ました。以前、Drift Protocolのハックについて触れましたが、あちらはコードだけでなく、人間という要素や管理キーのリスクが問題でした。KelpDAOが厄介なのは、リスクが製品のロジックそのものに組み込まれていた点です。

業界が陥っている勘違い

最大の問題は、多くのユーザー（そして一部の開発者までもが）監査を「合格証書」のように扱っていることです。有名なセキュリティ会社からPDFのレポートが届けば、資金は安全だと思い込んでしまいます。でも、監査はあくまで「ある一時点」の切り取りに過ぎません。ボラティリティの激しい相場で、5つの異なるライブプロトコルと相互作用した時にどう動くかまでは、監査ではカバーしきれないのです。

正直、誰かの人生を左右するような貯蓄を相手にしているのに、「素早く動いて、壊しながら進め（move fast and break things）」というメンタリティにはもう疲れました。現在の市場データを見ると、恐怖・強欲指数は43で「中立（Neutral）」、ビットコインドミナンスは60.25%となっています。人々がBTCに逃げているのは、DeFiの「高利回り」には、極端なシステムリスクという隠れたコストが伴うことに気づき始めたからでしょう。

システム崩壊から身を守る方法

数ブロックの間に3億ドルが消えていくのを眺めるのに飽きたなら、資産の持ち方を変えるしかありません。複雑なシステムにおいて「安全なプロトコル」なんてものは幻想ですから、具体的にどれが安全だとは断言できません。ただ、根本的に理解できないプロトコルにメインの資産を預けないことだけは言い切れます。

長期的に保有する予定の資産は、チェーンから切り離してハードウェアウォレットに入れてください。私は個人的にLedger Flexを愛用しています。E Inkのタッチスクリーンのおかげで、悪意のあるトランザクションに誤って署名するリスクをかなり減らせます。249ドルかかりますが、複雑性リスクで全てを失うことに比べれば、安い投資だと思います。

私の結論

DeFiは、ようやく「大人にならざるを得ない」時期に来ました。20%のAPYを追い求めて10個のプロトコルを積み上げる時代は終わります。リスクがあまりに明白になりすぎたからです。今後は「退屈なDeFi」へのシフトが起きると私は考えています。派手で複雑なものではなく、シンプルで透明性が高く、十分に戦い抜いてきた（battle-tested）プロトコルが勝ち残るはずです。

それまでは、「最適化」や「レイヤー化」された利回りを謳うプロトコルは、あなたの金を使った巨大な実験場だと思っておいたほうがいいでしょう。もし、その資金の流れを30秒でナプキンに書き出せないなら、それは安全であるには複雑すぎるということです。

厳選した取引所でニュースをトレード：MEXC