Aaveはハックされてないのに$6.2B蒸発した件について

【Aaveは無傷、それでも資金は逃げた】今回の焦点は「Aaveがハックされたか」ではなく、「Aaveがハックされていないのに、なぜ巨額の流出が起きたのか」にある。著者は、DeFiではコアコントラクトの無事と預金者の安全が必ずしも一致しないと指摘する。相互接続されたプロトコル群では、外部で発生した事故が信用不安を通じて本体の流動性を奪う。

【発端はKelp DAOブリッジの偽造メッセージ】事件の出発点はKelp DAO側のクロスチェーン設計だった。rsETHを他チェーンへ移す際、本来は焼却・ロック・再発行の整合が必要だが、攻撃者は`lzReceive`の脆弱性を突き、「焼却済み」という偽メッセージを送信。結果として約116,500 rsETH、約$292M相当が不正に引き出された。問題はAave内部ではなく、接続先の資産品質だった。

【盗まれたrsETHはAaveで「現金化」された】攻撃者は盗んだrsETHをDEXで即売却せず、Aaveに担保として預けてWETHを借りた。Aave単独で約$196M、他プロトコルを含めると借入総額は$236M超に達した。担保のrsETHはすでに裏付けを失っており、時間が経つほど価値が毀損する。つまり攻撃者はAaveのコードに触れず、担保価値の崩壊を利用して実質的に資金を持ち出した構図になる。

【預金者の取り付け騒ぎが二次災害を生んだ】Aaveチームはコアプロトコルの健全性を強調したが、預金者から見れば「rsETHプールに巨額の不良債権が発生した」事実の方が重い。Umbrella機構やstkAAVEによる吸収可能性が曖昧なままでは、最悪ケースを想定して引き出しに走るのが合理的になる。結果、Aaveメインプールの利用率は100%に達し、引き出し不能と追加借入が連鎖して、他プロトコルにも波及した。

【48時間で$6.2B流出した本当の理由】著者は、今回の本質を「ハック」ではなく「信用と流動性の崩壊」とみている。安全装置として期待された保険機構も、極端なストレス時に本当に機能するかは未知だった。市場参加者がその不確実性を一斉に価格付けした結果、Aave本体が壊れていなくても、システム全体では48時間で$6.2Bの純流出が起きた。

【見えてきた構造問題と投資家への示唆】根本には、LRTプロトコルが市場シェア拡大を優先し、安全なネイティブ設計より高速なマルチチェーン展開を選んだ構造がある。著者は「ハックされていない」は安全保証にならないこと、LRT担保のリスクは過小評価されていたこと、週末の対応遅延は現実の攻撃面になることを教訓として挙げる。DeFiは終わらないが、「利回りが高いから気軽に使う」時代は確実に終わりつつあるという整理だ。