Kelp DAOへのハッキングを受けて、暗号資産(仮想通貨)コミュニティでは新たにDeFi(分散型金融)のセキュリティや影響の波及について議論が浮上。国家レベルの攻撃に対峙するため、業界全体として体制を構築する必要性も唱えられている。
18日、イーサリアム( ETH )のリキッド・リステーキング(Liquid Restaking)プロトコルKelp DAOのクロスチェーンブリッジに攻撃があった。
攻撃者はレイヤーゼロのDVN(分散型検証ネットワーク)が参照するRPCノードを侵害し、DDoS攻撃と組み合わせて不正なクロスチェーン送信指示を承認させ、2.9億ドル(446億円)以上のrsETHを不正入手。これをアーベ(Aave)などのレンディング市場で担保として使用して資金を引き出している。
クロスチェーン相互運用プロトコルのレイヤーゼロ(LayerZero)は20日、北朝鮮系ハッカー集団のラザルスグループが関与していた可能性を指摘した。
また、複数のプロトコルに渡る担保リスクにも発展。Aaveなどから大口資金の引き揚げが連鎖し、DeFi市場全体から約2兆円規模の資金が流出した。オンチェーン版の取り付け騒ぎのような状況が発生し、相互につながるDeFiシステムの脆弱性を浮き彫りにしている。
米投資銀行ジェフリーズのアナリスト、アンドリュー・モス氏は、今回のような事件は、米国ウォール街の金融機関にブロックチェーンやトークン化への取り組みのペースを見直すよう促す可能性があるとの見解を示した。セキュリティリスクの再評価が行われる可能性に言及した形だ。
また、セーフ・エコシステム財団のルーカス・ショール会長は、AI(人工知能)がソーシャルエンジニアリングなどのリスクを増大させる中、ラザルス関連のハッカーは、攻撃のペースを加速させていると指摘した。
DeFiへの攻撃による損失額は、今回の事件も含めて数週間で6億ドル(960億円)を超えている。ショール氏は、DeFi業界は国家レベルの敵対勢力に直面しているにもかかわらず、防御体制は旧態依然としており、業界として防御体制を整える必要があると呼びかけた。
分散型取引所Curveのマイケル・エゴロフ創設者は、今回の事件は中央集権的な単一障害点に起因すると指摘。こうしたことが業界に損害を与えていると主張した。
レイヤーゼロは、Kelp DAOが単一の検証者のみに依存する「1/1 DVN(分散型検証ネットワーク)」構成を採用していたことが脆弱性になっていたと述べている。一方で、Kelp DAOはこの構成はレイヤーゼロ自体のデフォルト設定だとしており、両者が責任をめぐり対立している。
ブロックチェーン・セキュリティ企業CertiKのアナリスト、ウェンザオ・ドン氏はDeFi自体に根本的な欠陥があるわけではないが、問題は、多くのDeFiチームがセキュリティを依然として「オーバーヘッド(利益を生まないコスト)」と捉えていることにあると指摘した。
また、日本発ブロックチェーンOasysのディレクターを務める満足亮氏は今回の事件を詳しく解説し、DeFiは運用の安全性が問われるフェーズに入っているが、RPC・鍵・バイナリ整合性などのオフチェーン領域に業界標準がない状態だと述べる。
DeFiのTVL(預かり資産総額)当たりのセキュリティ人員比が低下傾向にあるなど、設計の高度化に運用人材が追いついていないことも指摘した。
