見出し画像

【第5回】DeFiとハッキング、Code is Law?

【公式】WhaleFin by Amber(旧:ディーカレット)

前回、「DeFiにおける開発者やスタートアップの関わり方」ということで、DeFiの世界におけるコミュニティの本質に迫りました。

実は、DeFiには既存の金融サービスとは異なる所にリスクや危険性があります。
そこで、今回はDeFiの世界におけるリスクとしてどんなものが考えられるのか、またそうしたリスクは何に紐付いているのかなどについて見ていきたいと思います。

DeFiにおける主要リスク
DeFiにおいては以下の4つのリスクが主要リスクとして考えられます。
1.プロトコルの設計上の問題により、仕組み自体に持続性がないリスク
2.開発が意図せずまたは、意図的に終了してしまうリスク
3.スマートコントラクトのバグまたは脆弱性により、攻撃を受ける可能性
4.フラッシュローンなどの設計段階で検討をしていないリスクがかかることによる、意図しない動作が生まれるリスク
それぞれ事例と共に掘り下げて、いきましょう。

1. プロトコルの設計上の不備・問題

1つ目はプロトコルの設計における問題です。あまりこの観点をリスクとして紹介している記事やインサイトは多くないように思いますが、DeFiがそもそも持続的なプロダクトとして成立するかどうかは、その多くの部分を設計に寄っています。DeFiにおける設計とはスマートコントラクトの機能やスマートコントラクト自体のアーキテクチャー、及びトークンを用いたメカニズムの設計を指します。後者の領域はトークンエンジニアリングとも呼ばれており、ヨーロッパを中心に研究が進んでいます。
ただ現実には多くのプロダクトが既存のDeFiサービスを元に設計・開発を行い、そこに付加価値となる機能を実装したり、自らのトークンを実装させています。このような場合設計を1から考えた当初のオリジナルプロトコルの開発者が検討をし、あえて排除した設計などを良かれと思い採用してしまうなどのリスクが有りえます。
例えば、レンディング用途のDeFiプロトコルであるCompoundをフォークし、誕生したPercentFinanceでは2020年12月にフォーク元のオリジナルコードと、PercentFinance自らが書き加えたコードとの間に互換性がないことがスマートコントラクトのアップグレード後に発覚するという自体が発生しています。このように安易にDeFiプロトコルをフォークし新しい機能を貼り付ける行為は、とても危険で場合によっては全体のアーキテクチャーそのものを破壊しかねません。

■参考
https://www.coindesk.com/percentfinance-buggy-code-froze-1m-ethereum-tokens

また高年利を表示しながら、実際にはトークンA、トークンAを特定のアクション(ステーキングなど)するともらえるトークンB、トークンAとトークンBで特定のアクションをすると貰えるトークンCなどといった、不用意にトークンの数を増やすようなプロダクトの設計にも注意しなくてはありません。そもそもプロトコルとして設計された際に、サステナビリティをきちんと考えられているのか、一部の流動性を失ったら一切無価値になってしまうようなトークンではないのか、あまりに意図的にトークンの流動性を絞られているのにドルベースで高年利を表示していないかといった、根本的な設計に対しても疑ってかかることが必要です。

2. 開発が意図せずまたは、意図的に終了してしまうリスク

DeFiのリスクとしては、開発が未来永劫行われるか、または機能拡張が期待できない場合でもコミュニティ内にバグの修正などを検討できるメンバーが揃っているかが重要になります。前回の「DeFiにおける開発者やスタートアップの関わり方」の中で”創業者がコミュニティを立ち上げ、その後より積極的に開発をリードするコア開発者が出てくることも珍しくありません”と書きました。あなたが今関心をもっているDeFiプロトコルには、このような開発者がいるでしょうか。そしてそうした開発者が開発を行うだけの動機づけが考えられるでしょうか。

よくVC(ベンチャーキャピタル)はヒトに投資をするといいます。ここでいうヒトとは、チームのことを指しており、どんなバックグラウンドを持つ人物がなぜこの会社を立ち上げて頑張っているのか、何を目指しているのかというところを最初のプロの投資家は考え、納得できた場合にその会社へVCは投資を実行するのです。これと同じ視点をDeFiにおいても考えておくべきだと思います。そもそも十分なバックグラウンドやスキルを持つチームが作っているものなのか、それとも付け焼き刃的に切り貼りをしながら”ぼくのかんがえたさいきょうのDeFI”を作っていないか、きちんと見ていく必要があります。

また規制などによるシャットダウンの可能性についても考えておく必要があります。例えばDeFi Money Market DAO(通称DMM)という米国チームが主体となったプロダクトはCrypto VCなどのプロ投資家からも資金調達を行っていた有望なプロジェクトでした。しかし彼らは2020年12月15日にSECから調査召喚状を受け取る自体となりました。この後プロジェクトはSECと交渉を続けたそうですがやむなく2021年2月にプロジェクトをシャットダウンする決定を行うことでSECと合意し、その旨を公表しました。DeFiにおいては各国の法整備や何を規制対象として考えるかといった概念がはっきりしていない点も多く、未だプロジェクト本体へのこうしたリスクの可能性がつきまといます。

■参考
https://cointelegraph.com/news/defi-money-market-closure-after-sec-probe-could-set-rocky-precedent

3. スマートコントラクトのバグまたは脆弱性により、攻撃を受ける可能性

これが一番わかりやすいDeFi特有のリスクではないでしょうか。スマートコントラクトのバグは1で上げた設計上の問題だけではなく、いくつか追加の可能性を含みます。以下に2020年に発生した主要なDeFiのバグや攻撃での被害についてまとめておきます。

画像1

調査:Fracton Ventures株式会社

A. スマートコントラクトのコードが未監査である場合
スマートコントラクトの監査というプロセス非常に重要な指標です。スマートコントラクトは一度公開すると取り消したり、なかったことにすることのできないコードとしてブロックチェーン上に展開される為、スマートコントラクトのコード監査を専門に行う海外の会社が存在します。このような会社が監査を行ったことがあるのかどうかといった事実はDeFiプロトコルの安全性を客観的に理解する一つの目安としては、大変役に立ちます。

B. スマートコントラクトのコードが監査済であっても監査を行った会社のレベルが高くなくクリティカルなバグを見つけ出せなかった場合
これは昨今指摘されていることです。結論から言うと、スマートコントラクトのコード監査においてバグと思われた実装上の不備を洗い出せずにスマートコントラクトを展開後にその事実が明らかになる場合があります。現実には複数のコード監査を受けているかどうかという指標が一定の目安にはなるものの、コード監査の実績は必ずしも”安全”を保証するものではないことにも注意してください。

4. フラッシュローンなどの設計段階で検討をしていないリスクがかかることによる、意図しない動作が生まれるリスク

この観点はユーザーとしてDeFiを利用する立場になる際には常に頭に入れておくべき観点です。DeFi全体のマーケットで使えてしまうような、破壊的なイノベーション(大きなイノベーション)が起きた際に既存のDeFiプロトコルが影響を受けないか考える必要があります。たとえばFlashloanと呼ばれるローンの仕組みがあげられます、これはあるトークンを借りて返すといった挙動を行うアービトラージ用の作業が、一挙動で行えるものですがそのある種のストレステストを想定して作っていないDeFiプロトコルには不可が大きいものが想定されます。場合によってはトークンエコノミクス(トークン設計)がそうした新技術によって大きく意図しない方向に動かされることがあることを知っておくことが必要です。
プールの流動性や、価格決定の為に用いているオラクルなどを意図的に特定の人物や特定場合において操作できてしまうリスクもあります。
DeFiにおいてはプールと呼ばれる概念が存在しており、流動性を各トークンホルダーが供給すしプールすることで成り立つ仕組みがあります。またオラクルと呼ばれるブロックチェーン外の情報(たとえば為替レートや、気象データなど)をブロックチェーンに複数の役目を担った人たちが伝搬をし相互に監視する方法などがあります。ブロックチェーン内において、ブロックチェーン外から正確に情報を伝えるということは実は難しく、こうした仕組みが悪用されることが時にあります。特に大量の資産を持つ暗号資産富裕層などが一度に大量の取引をあえてすることで、たとえばブロックチェーン外(たとえば暗号資産取引所の価格)では1000円となっているものをブロックチェーン内では一瞬だけ200円にするようなことができてしまうことが過去報告されていたりします。
そのトークンの保持者が過度に偏っていないかなど、実際の流動性などにおいても複数の可能性を常に頭にいれておくことが求められます。

最後に

最後に保険・保証についてお話します。DeFiの世界では保険プロトコルという個別の攻撃・バグなどによる損失時の補填を行うためのサービスを展開するものは存在するものの、現実世界のように保険会社が提供する広範囲でまとめて保証してくれるような保険やサービスは基本的に存在していません。また合わせてカスタマーサポートを担当者から受けることも難しく、相互でコミュニティで質問をし合うなどして理解を深めていく他ない状況で、かなりリテラシーが求められる側面があります。

しかし、DeFiがより拡大していくことにより、より使いやすい画面や操作の提供、または従前の保険に近づく発想のプラン、保険付きのDeFiプロトコルなどが現実味を帯びてくると感じています。DeFiがどれほど一般の方でも使えるようなものに育っていくのか、といった観点も合わせて見守りながらDeFiについてより理解を深めていっていただければ幸いです。

次回は当連載最終回ということで、DeFi - インテグレーションされていく統合型金融サービスといった金融サービスとしてのDeFiの統合のされていき方、及び既存金融サービスとの融合について考えてみたいと思います。

また次回もぜひお読みください。

■本記事は、Fracton Ventures株式会社(https://fracton.ventures/)による寄稿記事となります。
■本記事はDeFiサービスの利用を推奨するものではなく、あくまでテクノロジーの視点から、イノベーションが起きている現場をお伝えする情報発信の趣旨で制作しております。
■本記事は、信頼できると判断した情報を基に作成しておりますが、その正確性・完全性を当社が保証するものではありません。また、本記事に基づいて権利行使した場合の保証はいたしかねます。
■DeFiサービスのご利用にはリスクが伴います。売買等に関する最終判断はお客様ご自身で行ってください。
■本記事の内容及び発言内容は説明者の個人的見解を含むことがあります。
■本記事の著作権及びその他の権利は、株式会社ディーカレットに帰属し、一部又は全部を無断で転用・複製することはできません。