分散型金融(DeFi)プロトコルのStakeDAOにおいて、大量のvsdCRVトークンが不正に生成される事態が発生しました。セキュリティ企業PeckShieldの報告によると、攻撃者は約5.4兆ものvsdCRVをミント(新たに発行)したとされています。しかし、その後の分析により、攻撃者が実際に得た利益はわずか9.1万ドル(約1,400万円)程度に留まったことが判明しています。これは、不正に生成されたトークンの大半に売却できるほどの流動性(市場での売買のしやすさ)がなかったためです。ブロックチェーン分析企業EmberCNも、残りのトークンは換金が困難であったと指摘しています。今回の事態は、DeFiプロトコルの脆弱性と、市場の流動性が持つ重要性を改めて浮き彫りにしました。攻撃者は、不正に得た43.7 ETHをイーサリアム(最も広く利用されているブロックチェーンプラットフォームの一つ)にブリッジ(異なるブロックチェーン間で資産を移動させる技術)したと報じられています。本記事では、このStakeDAOの事象について、詳細と背景を解説します。
StakeDAOとは
StakeDAOは、分散型金融(DeFi)プロトコルの一つです。ユーザーは暗号資産を預け入れ、利回りを得るなどのサービスを利用できます。vsdCRVは、CRVトークンをステーキング(預け入れ)することで得られる報酬トークンの一種です。このトークンは、プロトコル内でのガバナンス(意思決定)や追加の報酬獲得に利用されます。
DeFiプロトコルは、ブロックチェーン上で動作する一連のルールやプログラムです。中央集権的な管理者を介さず、金融サービスを提供することを目指しています。しかし、その特性上、スマートコントラクト(ブロックチェーン上で自動実行される契約)の脆弱性が狙われるリスクも存在します。
今回の不正生成の概要
今回の事象は、StakeDAOのプロトコル内で発生しました。攻撃者は、何らかの脆弱性を利用し、大量のvsdCRVトークンを不正にミントしたとされています。その量は約5.4兆vsdCRVに上ると報じられています。
ブロックチェーンセキュリティ企業のPeckShieldは、攻撃者が不正にミントしたトークンの一部を換金したと報告しています。具体的には、43.7 ETH(イーサリアムのネイティブトークン)をイーサリアムネットワークにブリッジしたとされています。これは、不正に得た資産を別のブロックチェーンへ移動させ、追跡を困難にする目的があったと考えられます。
流動性不足がもたらした結果
数兆ものvsdCRVが不正に生成されたにもかかわらず、攻撃者が得た実質的な利益はわずか9.1万ドルに留まりました。この背景には、市場の流動性不足が大きく影響しています。
ブロックチェーン分析企業のEmberCNは、不正にミントされたvsdCRVのほとんどは、売却できるほどの流動性がなかったと指摘しています。市場に存在する買い手の需要に対し、供給量が極端に多すぎたため、換金が困難だったのです。したがって、攻撃者は大量のトークンを保有していたものの、そのほとんどを現金化できませんでした。
この事象は、たとえ大量のトークンを不正に取得したとしても、市場の流動性がなければ価値を持たないという現実を示しています。暗号資産市場における流動性の重要性を再認識させる事例と言えるでしょう。
ブリッジとは何か
今回のケースで攻撃者が利用した「ブリッジ」とは、異なるブロックチェーン間で資産を移動させる技術です。例えば、イーサリアムネットワーク上のトークンを、別のブロックチェーンであるBNB Chainなどに移す際に利用されます。
ブリッジは、ブロックチェーン間の相互運用性を高めるために開発されました。しかし、その一方で、ブリッジプロトコル自体が攻撃の標的となるケースも少なくありません。今回は、不正に取得した資産を別のネットワークへ移動させる目的で利用されたと見られています。
ブロックチェーンセキュリティの重要性
今回のStakeDAOの事象は、DeFiプロトコルにおけるセキュリティの重要性を改めて浮き彫りにしました。プロトコルのスマートコントラクトに潜む脆弱性は、常に悪意ある攻撃者によって狙われています。
DeFiプロジェクトは、ローンチ前に厳格なセキュリティ監査(外部専門家によるコードの脆弱性チェック)を実施することが一般的です。しかし、それでもなお、未知の脆弱性や複合的な要因による問題が発生する可能性があります。したがって、継続的な監視とセキュリティ対策の強化が不可欠です。
ユーザーが取るべき対策
DeFiプロトコルを利用する日本の社会人読者の皆様は、今回の事象から学ぶべき点があります。まず、DeFiの利用には常にリスクが伴うことを理解することが重要です。
利用を検討するプロトコルについては、その透明性やセキュリティ監査の実施状況を十分に確認してください。また、過度な期待を抱かず、自己責任の原則に基づいた慎重な判断が求められます。暗号資産の世界では、新しい技術の恩恵と同時に、常に潜在的なリスクが存在することを忘れてはなりません。
※ 当社は RedotPay の日本正式代理店です