Driftの脆弱性でCarrotが崩壊。あなたのイールドファーミングがまだ危険な理由

ここ数年、多くの人がプロトコルの裏側にある「配管」を無視して、とにかく高い利回りを追いかける姿を見てきました。Driftの脆弱性（エクスプロイト）を受けてCarrotが崩壊した今回の件は、まさにその危うさを物語る教科書のような例です。もしあなたが、リスクの高いイールドファーミングを見極めたいと思っているなら、APY（年換算利回り）という数字を捨てて、「依存関係」に注目する必要があります。

結論から言うと

Carrotが崩壊したのは「伝播（コンタギオン）」が起きたからです。Carrot自身のコードにバグがあったわけではなく、利回りを出すためにDriftに依存していたことが問題でした。Driftが攻撃された瞬間、Carrotを裏付けていた価値が消えたわけです。DeFiの世界では、プロトコルBがプロトコルAを使って稼いでいる場合、プロトコルBの安全性はプロトコルAの安全性に完全に依存します。

実際、どのように連鎖したのか

DeFiプロトコルを、独立した島のようなものだと考えるのはやめてください。実際にはもっと「トランプの塔」に近い構造です。多くのイールド最適化ツールや「ヴォルト（Vault）」は、自前で利回りを生み出しているわけではありません。ユーザーから預かった資金を、より良いレートを求めて別のプロトコルに移動させているだけです。

今回のケースでは、CarrotはDriftに強く依存していました。Driftで脆弱性が突かれたとき、被害を受けたのはDriftに直接資金を置いていた人だけではありませんでした。空白地帯が生まれたのです。Carrotの「利回り」は実質的にDriftのエコシステムから派生していたため、Driftが破綻した瞬間に、Carrotの裏付け資産や報酬トークンの価値が暴落しました。

私は以前にもこのパターンを見たことがあります。規模は違いますが、Terra（ルナ）の暴落と同じロジックです。リスクの層の上に、さらに別のリスクの層を積み上げる。一番下の層が崩れれば、その上のすべてが崩れ落ちます。

みんなが陥る罠

私がよく見る最大のミスは「利回りへの盲信」です。20%や50%というAPYを見た瞬間、疑問を持つのをやめてしまいます。ダッシュボードが豪華だったり、Twitterでフォロワーが多かったりすると、なんとなく安全だと思い込んでしまう。

もう一つ多い勘違いが、「監査済みだから安全」という考え方です。監査はあくまで、ある一時点でのコードのスナップショットに過ぎません。伝播によるリスクからはあなたを守ってくれません。Carrotのコード自体は完璧だったとしても、資金を預けていた先のプロトコルがハックされれば、それでおしまいです。

リスクの高いイールドファーミングを見極める方法

次の「Carrot」を避けたいなら、資金を預ける前に少し探偵のような作業が必要です。私がチェックしているポイントを共有します。

利回りの出所を確認する

自問してください。「このお金は一体どこから来ているのか？」と。もしプロトコルが「高度な戦略」を使っていると言っていたら、それはたいてい、あなたの資金を別のプロトコルにネスト（入れ子）にしているという意味です。資金がどこに保管されているか明確なリストが見当たらないなら、リスクが高すぎます。

「再帰的」なループに注意する

自社トークンを担保にして、さらに同じトークンを借りてファーミングするようなプロトコルには警戒してください。これはフィードバックループを生みます。価格が下がると連鎖的な清算が始まり、数分でシステム全体が消し飛ぶ可能性があります。

依存関係のツリーを把握する

私はいつも「依存関係のツリー」を書き出すようにしています。もし私がプロトコルXに預け、XがYに預け、Yがブリッジを使ってZに移動させているなら、私は3つの異なる故障点にさらされていることになります。私はもっとシンプルな戦略を好みます。

実践的な対策

利回りを追いかける生活に疲れたし、とにかくコア資産を守りたいと思うなら、取引所から資金を出し、コールドストレージに移すのが最善です。私は個人的に Ledger Nano X を使っています。ハードウェアサインのセキュリティを維持したまま、スマホでポートフォリオを管理できるのが便利だからです。秘密鍵をホットウォレットやリスクの高いファームに置いていなければ、伝播イベントで全財産を失うリスクは格段に減ります。

それでもファーミングをしたいなら、本当に失ってもいい金額だけを使ってください。私の経験上、「安全な5%」は、エクスプロイト後に0%になる「かもしれない50%」よりも、常に価値があります。