4月に複数回DeFi攻撃事件が起きた後、分散型金融(DeFi)業界における安全に関する議論は、明らかな方向転換が見られる。過去には、DeFiプロトコルで最も頻繁に検討されていたのは、スマートコントラクトが監査を受けているかどうか、コードに脆弱性があるかどうかだった。しかしFlying Tulipの創業者Andre Cronjeは、Cointelegraphのインタビューにて、今日の多くのDeFiプロトコルのリスクは、もはやオンチェーンのコードにだけ存在するのではなく、アップグレード権限、多署名のガバナンス、オフチェーンの基盤インフラ、そしてチームの運営プロセスに由来していると述べた。
DeFiはもはや改ざん不能なコードではない
Cronjeは、初期のDeFiが「分散化されている、改ざんできない、信頼を要しない」という厳格な定義に基づくとすれば、現在多くのプロトコルは実際には、もはや純粋なDeFiとは呼べないと明言した。彼はFlying Tulipもこの判断に含め、現状の業界は、完全に改ざん不能な公共の金融インフラというより、チームが運営する営利型の金融サービスにより近いとまで語った。
彼は「私たちが今日持っているもの、Flying Tulipを含めて、それはもうDeFiではない。分散型金融でもなければ、改ざんできないコードでもない。チームが営利事業を運営しているものだ」と述べた。
この見解は、DeFi業界が現在直面している最も居心地の悪い現実を浮き彫りにしている。多くのプロトコルはなおDeFiという物語、評価、そしてブランドの言葉を用いているが、実際の運用では、とっくに大量の人為的なコントロールとオフチェーンのプロセスに依存している。
DeFi最大のリスクは、もはや単なるコントラクトの脆弱性ではない
Cronjeは、初期のDeFiの安全モデルは比較的単純だったと考えている。プロトコルをデプロイした後、スマートコントラクトは不変で、ユーザーが主に負うのはコードのロジックに関するリスクだった。しかし現在のDeFiシステムは、通常それよりはるかに複雑になっている。プロトコルがproxy upgradeでコントラクトをアップグレードし、multisigで重要な権限を管理し、外部の基盤インフラ提供者に依存し、そして問題が起きた際にはコアチームが危機対応を行うこともある。
これは、安全課題が「コードにバグがあるかどうか」から「誰がコントラクトをアップグレードする権限を持つのか」、「誰がmultisigを握っているのか」、「タイムロックは十分か」、「オフチェーンのサーバーや管理インターフェースが攻撃される可能性はあるか」、「チームが異常時に正しく反応できるか」へと広がったことを意味する。
Cronjeは、業界が過去にスマートコントラクトの監査に過度に注意を向けてきた一方で、最近の多くの攻撃は、従来のWeb2、あるいはTradFiのような安全上の問題により近いと指摘している。たとえば、基盤インフラのアクセス権が侵害されたこと、ソーシャルエンジニアリング攻撃、管理プロセスの悪用、または単一の権限ノードが突破される、といったケースである。
言い換えれば、DeFiは監査を不要にするものではないが、監査だけに頼るのはもう不十分だということだ。プロトコルがアップグレードでき、管理でき、人為的に介入できるのであれば、それは自分自身にも、従来の金融機関が直面するような運営上のリスクがあると認めなければならない。
Flying Tulipが出金(引き出し)のサーキットブレーカー機構を導入
こうした背景の中で、Flying Tulipは最近、出金サーキットブレーカー(withdrawal circuit breaker)機構を追加した。これにより、異常な資金流出が検知された場合に、プロトコルが出金を遅延したり、順番待ちにしたりできる。Cronjeは、この仕組みはユーザーの出金を恒久的に阻止するためのものではないし、チームが勝手に資金を凍結できるようにするためのものでもない、と強調した。異常事態の際に、プロトコルが短い反応の猶予を得るためのものだという。
Flying Tulipの例では、この機構によってチームはおよそ6時間の猶予を得られるという。Cronjeは、チーム規模が小さく、メンバーの分布が十分にグローバル化されていない場合には、攻撃が起きたときに、内部確認、署名、そして対応を完了するために12〜24時間、あるいはそれ以上の時間が必要になる可能性があると考えている。
こうした設計のロジックは、従来の金融市場における取引停止やリスク管理のゲートにかなり似ている。システムに異常な流動性や資産流出が発生した場合でも、すべての取引が無効だと即断するのではなく、システムをまず減速させることで、攻撃者が数分のうちに資金をすべて持ち去るのを防ぐ、というわけだ。
ただしCronjeは、サーキットブレーカー機構は多層のセキュリティ構成の一部にすぎず、万能薬だと見なすべきではないとも強調している。真の防御には、監査、多署名の分散、タイムロック、ガバナンス手順、監視メカニズム、そして権限管理がなお必要だ。
サーキットブレーカー機構の代償:ユーザーを守るのか、それとも新しい中央集権的な裏口を作るのか?
とはいえ、この機構は同時にDeFi開発者コミュニティ内で路線の対立も引き起こしている。Curve FinanceとYield Basisの創業者Michael Egorovは、最近の攻撃がオフチェーンにおける集中のリスクを確かに露呈させたことには同意しつつ、「人為的な緊急制御を増やす」という解決策には強い警戒感を示した。
Egorovは、最近の重要なDeFiの出来事の多くは、スマートコントラクトそのものが侵害されたからではなく、オフチェーンの単一障害点に由来する、と指摘している。彼はrsETHに関連する事例を例に挙げ、「Aave、Kelp、そしてLayerZeroのスマートコントラクトはハッキングされていない。実際の問題は、オフチェーンの基盤インフラにあった」と述べた。
そのためEgorovの見方では、最大のリスクがそもそも人とオフチェーンの権限にあるのなら、人がコントロールするサーキットブレーカー機構を追加しても、より多くの権力を少数の署名者や管理者の手に集中させるだけになる可能性がある。
Egorovは、緊急制御権が署名者にコントラクトの変更、出金の停止、または資金の流れへの介入を許すなら、署名者が攻撃された場合に、この本来はユーザーを守るための仕組みが、かえってハッカーによって資金が吸い上げられるための道具になったり、資産を中央集権的に凍結するための裏口になったりする恐れがあると懸念している。彼の結論は、DeFiの設計は、人為的な単一障害点をできるだけ減らすべきであり、人為的な権限を増やして、人為的な権限が生んだ問題を解決するべきではない、というものだ。
DeFiは、自分が何になったのかを認めるべき
CronjeとEgorovの対立は、一見するとサーキットブレーカー機構をめぐる論争だが、実際にはDeFiというアイデンティティの争いである。Cronjeの立場はより現実主義的だ。多くのプロトコルはもはや改ざん不能な契約ではなく、アップグレード権限、管理プロセス、そしてチームの運営を備えた金融商品になっているのだから、その現実を認め、対応するリスク管理を導入すべきだ、ということだ。
一方でEgorovは、よりDeFiの原理主義者に近い。もしDeFiの安全性が分散化に由来するのなら、解決策はより多くの制御権を人に渡すことではなく、人為的な介入への依存がより少ないシステムを設計すべきだ、という考えに立っている。
両者はいずれも、同じことを認めている。つまり現在DeFiの最大の問題は、もはや「契約の出来が良いかどうか」だけではなく、「ユーザーが結局、誰を信頼しているのか」だということだ。プロトコルがアップグレードでき、停止でき、出金を順番待ちにでき、そしてmultisigによって中核のロジックを変えられるなら、ユーザーが負うのは単純なスマートコントラクトのリスクではなく、チームのガバナンスリスク、署名者リスク、基盤インフラリスク、運営リスクになる。
この記事はDeFiをまだ分散型と呼べるのか?Andre Cronje:認めよう、多くのプロトコルは改ざん可能なコードだ。最初に掲載:チェーンニュース ABMedia。
