9,000万ドルが清算されました。 DeFi プラットフォームで借り入れをする際に注意すべきことは何ですか?

11月26日午後、分散型融資プラットフォーム「コンパウンド」がハッカーの攻撃を受け、約9,000万ドル相当の暗号資産がシステムによって強制的に換金された。 ETHなどの非安定暗号資産でDAIを貸し付けたユーザーに加えて、他のステーブルコインを担保にしてDAIを借り入れたユーザーも影響を受けました。

Compoundは今年、DeFi流動性マイニングの先駆者となった。プラットフォーム上にロックされている暗号資産の総額は現在14億7000万米ドルに達し、Aaveよりわずかに高いもののMakerよりは低く、DeFiレンディングプラットフォームの中では第2位となっている。

図：DeFiレンディングプラットフォームのTLVランキング。出典: https://defipulse.com

Compound の大規模な清算の原因は、プロジェクト自体のコードの脆弱性ではなく、多くの人が見落としていた Oracle データ ソースでした。実際、ここ数年、コードの脆弱性によるハッカー攻撃の割合は減少していますが、価格オラクル操作の脆弱性に基づく攻撃は徐々に増加しています。

開発者であろうと一般ユーザーであろうと、オラクルのデータソースに注意を払い、オラクルのセキュリティを重視する必要があります。本日の記事では、わかりやすい言葉を使って、以下の点について理解を深めていただきます。

1. オラクルとは何か？

2. ハッカーはどのようにしてオラクルのデータソースを操作し、Compound で大規模な清算を引き起こしたのでしょうか?

3. 一般ユーザーはどのように自分自身を保護できますか?

01
オラクルとは何ですか?

Oracle に関して言えば、まず思い浮かぶのは予測市場です。実際のところ、神託は何も予言しません。むしろ、それはデータと情報を提供する単なる橋渡しです。

人生におけるよくある例を見てみましょう。朝起きたばかりで、外は雨が降っているかどうか知りたいです。 iPhone に「Hi Siri、今日の天気はどうですか？雨は降りますか？」と言います。音声アシスタントの Siri は、「ご主人様、今、外は小雨が降っています。外出するときは傘を忘れずにお持ちください。」と応答します。

この例では、Siri は神託の役割を果たしており、現実世界とユーザーの間に橋渡しの役割を果たして、外は雨が降っていることをユーザーに知らせます。

ブロックチェーン分野では、ブロックチェーン アプリケーションに暗号化された資産の価格情報を提供する価格オラクルが最もよく見られます。

オラクル自体にはデータが存在しないことに注意してください。さまざまなチャネルからデータを収集し、処理します。その後、他のアプリケーションは、Oracle によって処理されたデータ情報を取得します。上記の例のように、Siri 自体は外の天候状況を認識しません。気象サービスプロバイダーからリアルタイムの気象データを収集し、Siriが取得した気象データを取得します。

価格オラクルは、価格を取得する方法によって 2 つのタイプに分けられます。1 つは、中央集権型取引所の API を通じて暗号化された資産のリアルタイム価格を取得し、このオフチェーンの価格データをブロックチェーンに持ち込む方法です。もう1つは、分散型取引所（DEX）のリアルタイムデータを直接読み取って価格を取得することです。どちらのアプローチにも長所と短所があります。

今回、DAIの価格の急激な変動により、Compoundは大規模な清算を引き起こしました。使用されたオラクルは、中央集権型取引所から収集された DAI の価格情報でした。

02
Compound はなぜ大規模な清算を経験したのでしょうか?

ハッカーがオラクルデータソースを操作してCompoundに大規模な清算を引き起こした方法を紹介する前に、まずDeFiレンディングプラットフォームの貸付ルールを理解しましょう。

Compound、Maker、Aaveのいずれにしても、主な業務は住宅ローン融資であり、ローンを組む前に暗号資産を担保として用意する必要があることを意味します。これは理解しやすいですね。現実の世界では、銀行に行ってローンを申請するときには、担保（家や車など）も必要になります。銀行のローンを返済できない場合、銀行は担保（家、車など）を競売にかけ、その収益で借金を返済します。 DeFi レンディング プラットフォームでも同様です。返済できない場合、プラットフォームは担保に設定した暗号資産を売却して借金を返済します。

DeFi は、スマート コントラクトによって自動的に実行される分散型アプリケーションです。リスクを防ぐために、これらの DeFi レンディング プラットフォームは次のものを設定します。

住宅ローン金利

清算しきい値

担保比率とは、暗号資産を担保にした後に貸し出すことができる他の資産の割合を指します。暗号資産によって、ボラティリティや市場の受け入れ度合いが異なるため、最大担保比率が異なる場合があります。たとえば、Compound と Aave では、ETH の最大担保比率は 75% です。つまり、Compound または Aave に 100 ドル相当の ETH を担保にすると、最大 75 ドル相当の他の暗号資産を借りることができます。 UNI（Uniswapのトークン）の最大担保率は、Compoundでは60％、Aaveでは40％です。つまり、Compoundで100ドル相当のUNIを担保にした場合、60ドル相当の他の暗号資産を借りることができますが、Aaveでは最大40ドルしか借りることができません。

清算基準値とは、負債と担保資産の比率が一定の値に達すると、プラットフォームが負債を返済するために担保資産を売却することを強制することを意味します。同様に、暗号資産ごとにボラティリティや市場での受け入れ度合いが異なるため、清算しきい値も異なる場合があります。たとえば、Aave プラットフォーム上の ETH の清算しきい値は 80% です。つまり、負債 (ローン + 利息) が担保資産の価値の 80% に達すると、システムは負債を返済するために担保資産を売却します。

清算が発生すると、貸付プラットフォームは清算人に報酬を与え、清算人が借り手に代わって債務を返済し、その後のリスクを防ぐことを奨励します。たとえば、Aave での ETH の清算報酬は 5% です。隣のワンさんは1ETH（担保時の価格が500USDTだったと仮定）を担保し、300DAI（300USDT相当、担保率60％）を借り入れました。数日後、ETHの価格は375USDTまで下落し、王氏の住宅ローン比率は80％に達し、清算されそうになった。清算人として、Kuang Kuang はシステムによって清算された 375 USDT 相当の 1 ETH を 5% 割引の 356.25 USDT の優待価格で購入しました。システムは支払いを受けた後、隣の王さんから300DAIの負債を差し引き、残りの56.25USDTを隣の王さんに返還しました。この例では、便宜上、利息は考慮されていません。実際の運用では、金利の存在により、価格が 375USDT に下がる前に ETH は清算されます。

次は、昨日発生した大規模な Compound 清算です。

Compound の DAI 価格はオラクルから取得され、オラクルの DAI 価格は単一の取引所である Coinbase Pro から収集されます。現在の分析によると、ハッカーはCoinbase ProのDAIの価格を操作した。下の図からわかるように、DAI の価格は短期間で 1.34 USD まで上昇しました。

Coinbase Pro取引所でのDAI価格の上昇により、他の資産を担保にしてDAIを借りたCompoundユーザーの負債が増加しました。レバレッジの高いユーザー（大口ユーザーを含む）の一部は清算しきい値に達し、Compound によって清算されました。その後、ハッカーは清算人の役割を果たし、システムから与えられた5％の清算報酬を獲得し、最終的に約355万ドルの利益を上げました。

サム・プリーストリー氏はツイートで次のように分析している。「口座が清算される際、清算人は債務の返済と引き換えに担保のいずれかを受け取ることを選択できます。」つまり、清算人（この場合はハッカー）が DAI を奪ったのです。 Uniswap から DAI を借りて、DAI の負債を返済し、清算によりさらに DAI を獲得し、Uniswap に返済して、利益を集めます。

03
私たち一般人はどうやって自分自身を守るべきでしょうか？

Compound は、主にオラクルが単一の取引所からのみ DAI の価格を収集したため、大規模な清算を経験しました。 Aave などの他の貸付プラットフォーム上の DAI は、複数のオペレーターからの引用を使用する Chainlink オラクルを使用しているため、この事故を回避しました。

私たちのような一般人にとって、貸付プラットフォームを使用するときは、まず貸付プラットフォームの Oracle データ ソースを理解する必要があります。データ ソースの数が多いほど、ハッカーがオラクルを操作することが難しくなり、相対的に安全性が高まります。

また、住宅ローンを組む際には、住宅ローンの金利を適切に引き下げてください。暗号資産の価格は激しく変動し、ハッカーがわずか数分で価格を操作したり市場を崩壊させたりすることが多々あります。住宅ローンの金利が高い場合、多くの人は資産の住宅ローンを増やす時間がなく、直面する唯一の結果は清算です。

最後に、最も重要なアドバイスは、オフサイトで借りられる場合は、オンサイトで借りないことです。取引所での貸付、取引所でのレバレッジ、悪意のある操作、悪意のある清算の例は無数にあります。

リスク警告：この記事の内容は著者の個人的な意見のみであり、智光大学の見解や立場を代表するものではなく、いかなる投資意見や推奨も構成するものではありません。

参照: 1. 「コンパウンドは突然 9,000 万ドルの巨額の清算を経験し、オラクルのセキュリティを真剣に受け止める必要がある」
2. 「Compound は 1 日で 9,000 万ドル以上を清算しました。Coinbase Oracle が責任を負うのでしょうか? 》 3. 「DeFi Oracle 攻撃ルーチンを数える、知っておくべき 6 つのセキュリティ対策」 4. 「ブロックチェーン Oracle とは何か」