THORChainで1,000万ドルのエクスプロイト発生。クロスチェーンブリッジは今も「悪夢」である理由

またしてもDeFiの悲劇が起きました。THORChainがクロスチェーンエクスプロイトで1,000万ドルを奪われました。いわゆる「機関投資家」たちがETFや規制の話に夢中になっている一方で、クリプト世界の実際の配管からは相変わらず水が漏れ続けています。もしあなたがBTCをETHに交換する最も安全な方法を探しているなら、こうした「魔法」のようなワンクリックブリッジや、あらゆることを約束するトラストレスプロトコルを恐れるべき理由はここにあります。背景として、以前に書いたDrift Protocolのハックの記事も参考にしてください。

実際になにが起きたのか

今回のエクスプロイトは、中央の仲介者なしにネイティブ資産をスワップさせるTHORChainのクロスチェーンメカニズムを狙ったものでした。攻撃者はプロトコルを操作する方法を見つけ出し、1,000万ドルの流動性を抜き取ったわけです。これは単なるランダムなバグではありません。資産が本当にあるチェーンから別のチェーンへ移動したかを検証する、プロトコルのロジックそのものの欠陥です。

状況を整理すると、現在の市場全体はニュートラルな状態にあります。恐怖・強欲指数（Fear & Greed Index）は45、ビットコインドミナンスは60.16%と高水準です。多くの資金はBTCに留まって、何らかのシグナルを待っている状態でしょう。ですが、価格変動が退屈な一方で、技術的なリスクはピークに達しています。DeFiの「最も革新的な」部分こそが、同時に「最も脆弱」であるというパターンが繰り返されています。

これが重大なレッドフラグである理由

私は2019年からこの市場を見てきましたが、語られる物語はいつも同じです。クロスチェーン流動性の「新解決策」が登場し、TVL（預入資産総額）が数十億ドルまで膨れ上がり、そしてバグが見つかって資産の一部が消え去る。もう何度も見た映画のような展開です。以前、リキッドステーキングのリスクについて、ブリッジやプロトコルを重ねすぎるとETHが危険にさらされることを書きましたが、まさにそれです。

問題は、クロスチェーンブリッジが本質的に「ハニーポット」であることです。膨大な量の資金が少数のスマートコントラクトに集中しています。ハッカーがたった一つの穴を見つければ、数枚のコインではなく、金庫の中身を丸ごと空っぽにできてしまいます。THORChainは分散化することでこれを解決しようとしていますが、今回見た通り、分散化されていてもコードのロジックエラーからは守られません。

BTCをETHに交換する最も安全な方法

多くの人は、最も「安全」な交換方法は、最も「速い」ブリッジを見つけることだと思っています。それは間違いです。私の経験上、スピードはたいていセキュリティの敵になります。チェーン間で資産を移動させたいなら、現実的な選択肢は2つしかありません。「取引所を信頼する」か、「完全に自分でコントロールする」かです。

KYC（本人確認）が気にならず、大手を信頼できるなら、中央集権型取引所（CEX）が最も抵抗の少ないルートでしょう。でも、ブリッジのような「ハニーポット」リスクを避けたいなら、私はノンカストディアルサービスを好みます。私はスワップにStealthEXを使っています。ここはノンカストディアルなので、1,000万ドル単位でハックされるような巨大な中央金庫に資金を預ける必要がなく、アカウント作成も不要です。0.4%程度のサービス手数料はかかりますが、ブリッジのスマートコントラクトにバグがないことに全財産を賭けるよりはずっとマシです。

DeFiセキュリティについての結論

「イノベーションの過程だ」という言い訳にはもう飽きました。THORChainのようなプロトコルが数百万ドルを失うたびに、開発者は「学び、改善している」と言います。でも、その授業料を払わされているのはユーザー側です。

現在、S&P 500が1.19%下落し、NASDAQも1.50%下落するなど、市場は押し戻されています。マクロ環境が不安定になり流動性が枯渇すると、こうしたエクスプロイトのダメージはより深刻に感じられます。穴を埋めてくれる「何も考えずに資金を投じる層」が少なくなっているからです。

私からのアドバイス。最も複雑なプロトコルで最高の利回りを追いかけるのはやめにしましょう。裏側でどうやってスワップが行われているのかを正確に説明できないなら、あなた自身が「出口流動性（Exit Liquidity）」になります。長期保有分はハードウェアウォレットに保管し、クロスチェーンの実験に投じるのは、失ってもいい amount だけにしてください。

厳選した取引所でニュースをトレード：Bybit