だから私はこの4月にDeFiで何が起きているか追跡してきましたが、正直、かなり厳しい状況です。今月だけで$600m 以上の報告された損失があり、そのパターンはかなり明確です - これは単なる一つのキー侵害や一つの脆弱性だけではありません。エコシステムの複数の層に広がるシステム的な問題です。

何が起きたのかを詳しく説明します。損害の大部分を引き起こした二つの大きな事件は、Kelp DAOのrsETHの状況とDrift Protocolです。Kelp DAOは、誰かがブリッジの脆弱性を悪用して裏付けのない資産をミントしたことで約$292m の損失を被りました。これは従来の資金流出ではありませんでしたが、統合されたプラットフォーム全体に波及効果をもたらし、特に資産を保有するレンディングプロトコルにとって深刻なシステムリスクを生み出しました。その後、Drift Protocolは担保操作とアクセス問題を通じて攻撃を受けました - 報告によると数億ドル規模の被害もあったとされています。

しかし、面白いのはここからです。これらのヘッドラインケースの他に、中規模のエクスプロイトが次々と浮上しています。Rhea Financeは詐欺的なトークンコントラクトとオラクル操作によって760万ドルを失いました。Grinex Exchangeは複数のアドレスにわたる1370万ドルのウォレット流出を報告しています。GiddyDefiは署名リプレイに関連した認証検証の欠陥を通じて130万ドルの被害を受けました - これは異なる種類のキー侵害であり、技術的というより運用的な問題です。

次に、CoW Swapの120万ドルのドメインハイジャック事件のようなケースもあります。これは特に興味深いもので、攻撃の範囲がスマートコントラクトをはるかに超えてインフラ、キー管理、ドメインコントロールなど全スタックに及んでいることを示しています。

小規模なケースも何かを教えてくれます。Silo Finance、Aethir、Dango、Scallop、Volo Protocol - それぞれに問題がありました。オラクルの設定ミス、アクセス制御のギャップ、コントラクトのロジックの欠陥、さらには一部のケースではプライベートキーの漏洩も。Dangoはホワイトハットの介入によって資金を回収しましたが、少なくとも何かしらの救済策はありました。

私にとって特に目立つのは、このリスクの風景がいかに断片化しているかです。スマートコントラクトのロジック、キー管理システム、ドメインインフラ、クロスチェーンブリッジ、プロトコルのパラメータなど、多くの攻撃ベクトルが同時に襲ってきています。これは単一の故障点ではなく、複数のベクトルが同時に存在している状態です。

最近の追加事例はAftermathのパーマネントプロトコルです。彼らは、負のビルダーフィーを設定できるキー侵害を開示しました。これにより約114万ドルの損失が発生しました。プロトコルは一時停止されましたが、他の製品は稼働を続けました。

この話の要点は、4月の損失は単なるコードのバグ以上のものを示しているということです。DeFiのリスクは、技術的な脆弱性だけでなく、運用のセキュリティやシステムアーキテクチャにまで及んでいます。エコシステムがこれら三つの層すべてに同時に対処し始めるまでは、このパターンが繰り返され続ける可能性が高いです。