過去にはDAOに関連した暗号資産（仮想通貨）流出事件が起きています。具体的に何が原因で事件が起き、その後、どのような対応がとられたかなど、事件を振り返りながらDAOの課題を考えてみましょう。

The DAO事件

■The DAOとその概要

The DAOは2016年4月にSlock.it（ドイツ）によって展開されたEthereum（イーサリアム）上の分散型投資ファンドであり、スマートコントラクトを使用した最初のDAOの一つと考えられています。参加者はETH（イーサ）をThe DAOに移転することでDAOトークンを受け取り、投資対象はトークン保有者の投票によって決定され、投資リターンは報酬として分配されました。

■攻撃の内容と結果

2016年6月、The DAOは再帰呼び出しの問題など、既に指摘されていた複数の脆弱性を利用した攻撃を受けました。その結果、The DAOに蓄積されていた1,150万ETHのうちの約3分の1にあたる360万ETH（当時の価格で約5,000万ドル）が窃取されました。

攻撃者は自分自身の子DAO（資金を分配するための独自アカウント）に多額の報酬を送金することで360万ETHを得たのですが、子DAOの資金は27日間移転できないため、Ethereumコミュニティはその期間の間にEthereumのハードフォークを実行して損害を回避しました。（関連単元：仕様のアップデート - ハードフォークやソフトフォークとは何か）

■脆弱性修正の試みとその課題

この事件に先立ち、Slock.itはThe DAOの脆弱性には対策が取られ、The DAOの資金は安全であると表明していました。しかし、その対策のためのコードは確かに開発されてGitHub上では更新されていたものの、実際にはブロックチェーンにはデプロイされていませんでした。

Beanstalkのマルウェア事例

■攻撃の概要と結果

2022年4月には、ステーブルコインのためのDAOであるBeanstalkで、巧妙に隠された悪意ある提案（寄付の提案であるかのように偽装）がそのまま投票による審査を通過し、誰でも呼び出せる緊急コミットを利用して実行され、資金が盗まれるという事件が発生しました。

MakerDAOとそのリスク対策

■MakerDAOによる対策

ステーブルコインであるDAIを発行し管理するMakerDAOは、攻撃やその他のリスクに対抗するために投票に基づく緊急停止メカニズムを有しています。また、脆弱性を修正するコードの中身を秘密に保ったままデプロイし有効化するための投票メカニズムも存在しますが、このメカニズムは少数の人々への信頼に依存しています。

過去の事件から見える課題と懸念

■過去の事件から学ぶDAOの課題

The DAOやBeanstalkの事件では、存在する脆弱性を攻撃者に利用され、大きな損失を招いてしまいました。また、The DAOの事例では、修正策が提案され開発されていたにも関わらず、それが適切にデプロイされなかったことから、危機対応の難しさも浮き彫りになりました。

■信頼に依存する防御メカニズム

一方、MakerDAOの事例では、攻撃に対する防衛策が投票メカニズムによって導入されていますが、その運用は一部の信頼された人々に依存していることが問題となり得ます。つまり、組織の運営や防衛策の導入に際して、信頼性と透明性のバランスをとることが重要となります。

■DAOの未来への懸念

過去の事件から考えると、DAOの自律性や透明性がその強みである一方、それらが新たな攻撃の対象となり得るという懸念があります。また、コードの修正やアップデートの適用、防衛策の導入といった対策が必要になった場合に、どのようにそれを実行し、誰がそれを担当するのかといった問題も生じます。

Web3ポケットキャンパスはスマホアプリでも学習ができます。
アプリではnote版にはない「クイズ」と「学習履歴」の機能もあり、
よりWeb3学習を楽しく続けられます。

ぜひご利用ください
▼スマホアプリインストールはこちら