アンドレ・クロニエ(Andre Cronje)氏は、開発者の間で不正流出からユーザーを保護するためのサーキットブレーカー(緊急停止措置)やその他の緊急制御機能の必要性が議論される中、現在の分散型金融の多くは厳密な意味での「DeFiではない」と述べている。
Flying Tulipの創設者であるクロニエ氏は、コインテレグラフ(Cointelegraph)とのインタビューで、多くのプロトコルはもはや不変の公共財ではなく、アップグレード可能なコントラクトやオフチェーン・インフラ、運用管理を備えた「営利事業を運営するチーム」に変貌していると語った。
この変化によりセキュリティモデルも変わると同氏は指摘する。初期のDeFiプロトコルは主に不変のスマートコントラクトによって定義されていたが、新しいシステムはプロキシ・アップグレード、マルチシグ(多重署名)、インフラプロバイダー、管理プロセス、および人的な対応チームに依存することが多いという。
「Flying Tulipを含め、今日の私たちが手にしているものはもはやDeFiではない。それは分散型金融でも、不変のコードでもない。営利事業を運営するチームだ」とクロニエ氏は述べた。
これらのコメントは、4月に発生したDeFiの不正流出事件を受け、セキュリティの議論がスマートコントラクトの監査を超え、運用リスクの領域にまで及んでいる中で出されたものである。木曜日、Flying Tulipは異常な資金流出の際に引き出しを遅延またはキューに投入する「引き出しサーキットブレーカー」を追加した。この動きは、分散型取引所Drift Protocolとリステーキング・プラットフォームKelpが関与した大規模な事案(推定損失額はそれぞれ約2億8,000万ドルと2億9,300万ドル)を受けたものである。
Flying Tulipのアンドレ・クロニエ氏(左)とコインテレグラフのエズラ・レゲラ氏(右)。出所: Cointelegraph
DeFiのリスクはスマートコントラクトの枠を超える
クロニエ氏は、多くのシステムが開発者によって変更可能であったり、管理プロセスを通じて制御できたりするにもかかわらず、業界がいまだに監査にばかり焦点を当てていると指摘した。
「業界全体の焦点はいまだにコントラクト側に偏っており、伝統的金融(TradFi)的な側面には向いていない」とクロニエ氏は述べ、近年の不正流出の多くは、インフラへのアクセス権奪取、侵害、ソーシャルエンジニアリングといった「伝統的なWeb2の要素」が関わっていると付け加えた。
同氏は、アップグレード可能なコントラクトを持つプロトコルには、誰がコードを更新できるのか、誰が変更を承認するのか、適切なタイムロックやマルチシグ制御が行われているかといった、伝統的なチェック・アンド・バランス(抑制と均衡)が必要であると説いた。
Curve FinanceおよびYield Basisの創設者であるマイケル・エゴロフ(Michael Egorov)氏も、近年の事案はリスクがスマートコントラクトのバグだけでなく、中央集権化やオフチェーンへの依存にますます結びついているという見解を共有している。
「直近のDeFi不正流出の大部分は、コードのミスによるものではない。それらは中央集権化のリスク、つまりオフチェーンに存在する単一障害点によって引き起こされた」とエゴロフ氏は語った。
エゴロフ氏は、最近のrsETHの事案においてAave、Kelp、LayerZeroのスマートコントラクトはハッキングされておらず、侵害はオフチェーンのインフラから生じたものであると主張した。DeFiプロトコルは「リスクの木全体」にさらされる可能性があり、最大のリスクはコードではなく人間に結びついていることが多いと述べた。
サーキットブレーカーを巡り分かれる開発者の意見
クロニエ氏によれば、Flying Tulipのサーキットブレーカーは引き出しを恒久的にブロックするためのものではなく、流出が通常の範囲を超えた際に対応時間を確保するためのものである。「当社のサーキットブレーカーは、何かを停止したり阻止したりするために設計されたのではない。私たちが対応するための時間を作るためのものだ」と同氏は述べた。
Flying Tulipのシステムではチームに約6時間の猶予が与えられるが、クロニエ氏は、より小規模なチームや地理的に分散していないチームでは12〜24時間、あるいはそれ以上が必要になる可能性があるとしている。同氏はこのツールについて、ユーザー資金を保持するコントラクトには有効だが、監査や分散型マルチシグ、タイムロックなどと並ぶ多層的な対策の一つとして捉えるべきだと述べた。
一方、エゴロフ氏はより慎重な姿勢を示している。サーキットブレーカーは理論上は理にかなっているが、新たな特権的な攻撃対象領域を作らない方法で実装される場合に限られるという。「サーキットブレーカーは人間によって制御されるため、それ自体が潜在的な脆弱性になる可能性がある」とエゴロフ氏は警告した。
もし緊急制御によって署名者がコントラクトコードを変更したり引き出しをブロックしたりできるようになれば、署名者のアカウントが侵害された際に、その安全策が資産の抜き取り(ドレイナー)や中央集権的な凍結メカニズムに悪用される恐れがある。同氏の考えでは、より優れた長期的な解決策は、手動の介入なしに安全に稼働し続けられるシステムを設計することである。
「DeFi設計の目標は、人間中心の単一障害点を最小限に抑えることであり、追加することではない。DeFiには安全性が必要であり、その安全性は分散化からもたらされる」とエゴロフ氏は述べた。
スタンダードチャータード銀行:Kelpの事案はDeFiの回復力を示している
スタンダードチャータード銀行は、Kelpの一件を致命的な失敗ではなく、DeFiの「成長痛」の兆候であると評価している。
水曜日に発表されたリサーチノートの中で同行は、4月18日の窃取事件がAaveに波及したことでシステムリスクが露呈したとしつつも、連合体「DeFi United」によって3億ドル以上が調達されたことや、Aave V4やイーサリアム経済圏(Ethereum Economic Zone)などの構造的変化は、同セクターがより強力な防御力を備えつつあることを示唆していると述べた。
DeFi Unitedのサイトには、3億2,100万ドル以上の調達または提供の約束が表示されている。出所: DeFi United
同行は、これらのアップグレードによって、近年の仮想通貨ハッキングにおける主要な攻撃ベクトルとなっているブリッジへの依存を減らすことができるだろうと述べている。
