Aaveの3月11日に起きた、かなりヤバい出来事の話を耳にしました。約$27 百万ドル相当の清算イベントが発生しましたが、肝心のところ—市場のクラッシュも、ハッキングも、何もありません。ただ、プロトコルのメカニズムが“ただ単に”誤作動しただけです。

変だったのは？外部からの攻撃でも、オラクル操作でもありません。Chaos Labs（Aaveのリスクパートナー）が調査し、犯人は実は「セキュリティ機能」だったものの、それが裏目に出たのだと突き止めました。彼らはそれをCAPO—Capped Asset Price Oracle（上限付き資産価格オラクル）と呼んでいます。守護者みたいに聞こえますよね？でも今回は、守護者が死神になってしまったわけです。

では、何が起きたのか。Aaveは、wstETHのような利回りを生むトークンでの価格操作を止めるために、CAPOを特別に構築しました。仕組みは、最大許容価格を計算するために2つのパラメータを使っています。1つ目は、スナップショットの為替レートで、「3日ごとに3%増加する上限」が設定された(capped at 3% increase every 3 days)、そして2つ目がスナップショットのタイムスタンプです。堅実に見えます。ですが、彼らはパラメータが噛み合わない状態になっていました。

為替レートは1.1572から1.2282へ更新しようとしていたのに、レートの上限はそれを1.1919までしか到達させませんでした。一方、タイムスタンプは、制限がゼロの“古いアンカー”のポイントに合わせるように、ただ前へジャンプしていました。その結果、CAPOはwstETHの最大許容価格を約1.1939と計算し、実際の市場価格より約2.85%低い値になってしまったのです。

通常の条件なら、2.85%のズレはただのノイズに過ぎません。ですが、AaveのE-Modeではユーザーがとんでもないレバレッジ比率で借りられるため、ポジションは価格変動に対して極めて敏感です。プロトコル側の過小評価が引き金になって、連鎖が発生しました。約34の口座が、合計でおよそ10,938 wstETHを保有しており、数時間のうちに清算されました。清算ボットは報酬として116 ETHを回収し、アービトラージャーは価格ギャップからさらに382 ETHを獲得、影響を受けたユーザーは合計で約499 ETHを失った—約$1.27 millionです。

朗報もあります。不良債権はゼロで、プロトコル自体はクリーンなまま、被害を受けたのはユーザーのポジションだけでした。Chaos LabsのCEO、Omer Goldbergは直ちに完全補償を約束しています。すでに141.5 ETHを回収しており、さらにDAOトレジャリーからの約345 ETH ($870K)と自身の回復資金で、影響を受けた全口座を補填する計画です。

技術的な対応も素早く行われました。彼らは一時的にwstETHの借り入れを上限付きにし、Risk Stewardメカニズムでスナップショットのパラメータを手動で再整列させ、その後、上限を通常に戻しました (Core: 180,000, Prime: 70,000)。

ただ、私が考えさせられたのはここです。オラクル関連の問題はDeFiでは以前から何度も破壊的な影響を与えてきました。たとえばMoonwellでは、2月にcbETHの価格が$2,200ではなく$1 代わりにに設定され、$1.8 millionの不良債権が発生しています。Mango Markets、Euler Financeなど、挙げればきりがありません。Aaveの今回の件が他と違うのは、問題が“悪い外部データ”ではなかったことです。操作を防ぐために作られたセキュリティ層が、逆に脆弱性を生み出してしまったのだという点にあります。盾が刃になったのです。

これは不快なまでの現実—「Code is Law」です。スマートコントラクトは人間の介入ゼロで自動的に実行されるため、誰も気づく前にパラメータの不整合が不可逆的な処理を引き起こしてしまうことがあります。Chaos Labsの補償は当面の損害を修復するかもしれませんが、本当の修正はエンジニアリングのレベルで行う必要があります。つまり、より良いパラメータ検証、一貫性チェック、そして“カスケードが起きる前”に問題を警告するリアルタイム監視です。

DeFiでは、セーフガードでさえ脅威になり得る——その教訓です。