コードの脆弱性を超えて：DeFiプロトコルの経済監査とセキュリティ

DeFiプロトコルの脆弱性は、コードの欠陥や攻撃だけでなく、市場の変動、ガバナンス操作、流動性危機などの経済的要因からも生じます。伝統的な技術（コード）監査では、コードが意図したとおりに動作するかどうかに焦点が当てられますが、一般的に、市場の圧力や操作といった経済状況がプロトコルの安定性に与える影響については考慮されません。

技術（コード）監査は、コードが意図したとおりに動作し、悪用できる脆弱性や欠陥がないことを確認するように設計されています。しかし、技術監査の範囲は通常、プロトコル自体の独立したレビューに限定され、より広い経済的背景やプロトコル間の相互依存関係を考慮することはできません。

経済監査とは何か？

経済的監査は、技術的監査を超えたセキュリティの実践です。技術的な監査は通常、コードの脆弱性や欠陥を発見することに焦点を当てますが、経済的な監査では、実際の市場の状況やストレステストをシミュレートすることで、さまざまな経済的なシナリオの下でプロトコルがどのように機能するかを評価します。

経済監査では、DeFiプロトコル内の経済的相互作用を理解すること、および市場のボラティリティ、流動性危機、統治操作などの外部要因によって脆弱性がどのように悪用される可能性があるかに焦点を当てます。

経済監査のカギの1つは、劇的な価格変動、流動性の変化、ユーザーの行動の変化など、市場の状況をシミュレートすることです。もうひとつの重要な側面は、DeFiプロトコルのガバナンス構造を見直すことです。ガバナンス関連の脆弱性は、Beanstalk事件で起きたように、悪意のあるアクターが投票システムを操作することでプロトコルをコントロールすることを可能にする可能性があります。

さらに、経済監査では、プロトコル内のインセンティブを評価し、健全な参加を促進し、悪意のある行動を防止することを確認します。例えば、インセンティブの設計が不十分だと、攻撃的な行動や日和見的な行動を促し、合意を不安定にする可能性がある。経済監査はまた、プロトコルやトークンが攻撃されたときに起こりうる連鎖反応を分析します特に、高度に相互接続された DeFi エコシステムの場合、このノックオン効果は深刻な影響を及ぼす可能性がある。

これらの監査は、1つの攻撃が複数のプロトコルに及ぼす波及効果を予測するように設計されており、伝統的な金融市場で金融危機がある業界から別の業界へと広がるのと似ています。DeFiの高度に相互接続された性質は、このような連鎖効果を特に危険なものにしており、1つのプロトコルの障害は、他のプロトコルの流動性、価格設定、ガバナンスに深刻な影響を与える可能性があります。

最後に、経済監査は、協定のリスク・パラメーターが潜在的なストレスや操作に対処するためにうまく調整されているかどうかも評価します。経済監査は、技術監査では検出できない経済的脆弱性をプロトコルが事前に特定し、緩和するのに役立ち、DeFiエコシステムにより包括的なセキュリティの枠組みを提供する。

技術的な監査 vs. 経済的な監査

どちらのタイプの監査も重要ですが、強調する点が異なり、互いに代替できるものではありません。

単純な不可分の原子操作 vs.  外部依存の複雑な操作

• 技術監査：は、コードがアトミック操作、つまり完全に実行されるか、完全に失敗するかのいずれかの操作を確実に実行することに重点を置き、部分的な実行の失敗から生じる可能性のある攻撃のリスクを最小限に抑えます。技術監査では、特定のコードロジックを検査し、それが期待通りに動作し、脆弱性や欠陥がないことを確認します。

• 経済監査：経済監査は、原子的な操作を超えて、複雑な操作が存在する、より広範な経済環境に焦点を当てます。このようなオペレーションは、外部流動性、市場価格、ガバナンスの決定など、協定の外部要因に依存する。このような状況をモデル化することで、経済監査は外部要因が協定の脆弱性やリスクをどのように誘発するかを評価する。

コードの脆弱性 vs.  Exploitability

• 技術監査:は、攻撃者に悪用される可能性のあるコード内の特定の脆弱性を特定するように設計されています。たとえば、ある関数が適切に保護されていない場合、ハッカーはそれを使って金銭を盗んだり、プロトコルの主要パラメータを改ざんしたりできる可能性があります。

• 経済監査：コードの脆弱性に焦点を当てる技術監査とは異なり、経済監査は、より広範な経済状況がプロトコルを攻撃のリスクにどのようにさらすことができるかに焦点を当てます。たとえば、経済的リスクを伴うガバナンス機構は、プロトコルに深刻な影響を与える可能性のある悪意のある乗っ取りや市場操作イベントにつながる可能性があります。

監査範囲（プロトコル内部/外部）

• 技術監査:技術監査の範囲は通常、プロトコル自体によって定義されます。コードベースのレビュー、技術的な脆弱性の特定、純粋に機能的な観点からプロトコルが意図したとおりに動作することを確認することに重点が置かれます。

• 経済監査：経済監査は、プロトコルの内部ロジックに焦点を当てるだけでなく、以下のような幅広い範囲に及びます。市場の状況、流動性、トークンの相互依存関係、ガバナンス構造などの外部要因を含む、より広範なDeFiエコシステムとの相互作用を分析します。この広範なスコープは、ダイナミックで相互接続されたDeFiエコシステムにおいて特に重要な、より包括的なリスク分析を提供します。

さまざまなコンテキストにおける脆弱性の悪用

• 技術監査：主に、反復呼び出しの脆弱性や整数計算エラーなど、コード自体に特定の脆弱性がないことを確認することです。整数計算エラーなどです。技術的な監査が完了すると、そのコードは管理された環境で安全であるとみなされます。

• 経済監査：対照的に、経済監査は、価格操作やガバナンス攻撃などの外部からの経済的圧力がプロトコルの脆弱性を露呈させる可能性がある実世界のシナリオにおいて、プロトコルのパフォーマンスを評価します。現実世界の経済状況をモデル化することで、経済監査は、これらの外部要因の影響下でもプロトコルが安全であることを保証します。

監査範囲の違い

• 技術監査:監査範囲は通常、以下のように限定されます。プロトコルの内部とコードベース内に限定される。監査の焦点は、スマートコントラクトが期待通りに動作していることをチェックし、コードにエラーやロジックのバグがないことを確認することです。

• EEAs:市場依存性、ガバナンス構造、流動性制約などの外部影響を考慮し、より広い範囲を対象とする。経済監査では、協定がより広範なDeFiエコシステムとどのように相互作用するかを評価し、協定が経済的圧力に強いかどうかを分析する。

技術監査と経済監査は互いに補完し合い、ともに完全な安全・安心システムを構築します。

技術監査ではカバーできない重要な脆弱性

技術的な監査は、経済的な監査によって特定され、軽減される必要がある、外部の経済的要因、依存関係、他のプロトコルとの相互作用から生じる多くの脆弱性に対処することができません。left;">トークンの相関関係はDeFiにおける重要なリスク源であり、異なるプロトコルのトークンが互いに依存している可能性がある。例えば、あるプロトコルのトークンの価格が急落すると、複数のプラットフォームで連鎖反応が起こる可能性があります。

技術監査は通常、あるプロトコルのトークンが市場の低迷や他のプロトコルへの攻撃など、外部の経済状況によって影響を受けたときに引き起こされる波及効果を評価しません。

対照的に、経済監査では、これらのシナリオをモデル化することで、そのようなイベントでプロトコルがどのように反応するかを分析します。例えば、Terra Lunaの崩壊では、その安定コインのアンカーが解除され、DeFiエコシステム全体に広範な混乱が引き起こされました。

予言マシン依存と価格操作

多くのDeFiプロトコルは、トークン価格や金利などの外部データの述語に依存しています。しかし、この依存は共通の脆弱性をもたらします。予測マシンが危険にさらされたり、それが提供するデータが不正確であったり操作されたりすると、プロトコルは大きな危険にさらされる可能性があります。

価格操作攻撃は典型的な経済攻撃の一形態で、攻撃者は、裁定取引や強制清算の機会を利用するなどして、予測マシンから供給されるトークンの価格を操作することで利益を得ます。

技術監査は通常、コードが正しく予測マシンと相互作用することを確認するだけで、プロトコルに壊滅的な影響を与える可能性のある、予測マシンレベルでの価格操作のリスクは評価しません。ガバナンスの脆弱性は、DeFiプロトコルにおけるもう1つの大きなリスクであり、特に投票権がトークンの保有量と結びついているシステムにおいて顕著です。攻撃者は、Beanstalk脆弱性インシデントが示すように、プロトコルを乗っ取ったり、悪意のある提案をしたり、資金を盗んだりするためにガバナンス・メカニズムを利用することができる。このインシデントでは、攻撃者がフラッシュローンを通じて一時的に大量のトークンを借り、議決権の79%を支配し、悪意のある提案を推進し、1億8100万ドルを盗みました。

技術監査は通常、ガバナンス構造を無視し、スマートコントラクトコードに焦点を当てます。しかし、経済監査では、ガバナンスシステムの潜在的な脆弱性、特にフラッシュレンディングのような手段による一時的な議決権の増加を分析します。

流動性危機と圧力下の合意

流動性危機はDeFiプロトコルの大きな落とし穴である。プロトコルの流動性が急激に低下すると、価格下落や強制清算、担保不足の引き金となり、システムの悪循環を招き、プロトコル全体を圧迫します。流動性危機は、市場の下落、トークンのボラティリティの上昇、大量の引き出しなど、さまざまな要因によって引き起こされる可能性があります。

技術監査は、スマートコントラクトが通常の状態で正しく機能していることを確認しますが、プロトコルが攻撃や予期せぬ動作に対して脆弱になる可能性のある、流動性が低いストレスの多いシナリオはシミュレートしません。対照的に、経済監査はこのようなストレスの多い状況をシミュレートし、プロトコルが流動性の逼迫にどのように反応するかを評価し、プロトコルがこのような危機に対応したり、危機から回復したりするメカニズムを持っているかどうかをテストします。

典型的な経済攻撃の例

これらの例は、コードの脆弱性ではなく、DeFiプロトコルの設計と構造における経済的弱点を攻撃者がどのように悪用できるかを詳細に示しています。

Case 1: Mango Market Attack

Case 1: Mango Market Attack

日付：2022年10月攻撃方法：価格操作：価格操作

<損失額：1億1600万ドル

この脆弱性において、攻撃者は以下の方法でMangoトークンの価格（0.00ドル）を操作しました。Mangoトークン（$MNGO）の価格を操作し、複数の取引所で価格の不一致を引き起こし、大規模な強奪を引き起こし、最終的にプロトコルの資金を流出させました。攻撃は以下のようなものでした：

1. 初期セットアップ：攻撃者は2つのウォレットを使い、それぞれ500万ドルのUSDCを保有し、攻撃を開始しました。ウォレット1は、0.0382ドルの低価格で4億8300万ドル相当のMANGOトークンのバルク売り注文を出しました。

2. 価格操作:その後、ウォレット2は、ウォレット1がこの低価格で販売したMANGOトークンをすべて購入するために使用されました。MANGOトークンをこの低価格で。攻撃者はその後、複数の取引プラットフォーム（Mango Markets、AscendEX、FTXを含む）でMANGOトークンの購入を開始し、価格を0.0382ドルから0.91ドルに押し上げました。

3. 価格高騰の悪用：この突然の価格高騰は、MANGOトークンの価格が0.0382ドルから0.91ドルを突破したため、大量のショートポジションの清算につながりました。MANGOトークンの価格が空売り人の担保価値を突破したためです。その結果、攻撃者は価格の上昇から利益を得、MANGOトークンの価格はその後0.0259ドルまで下落しました。

結果：この攻撃により、マンゴー市場の流動性は著しく失われ、4,000を超えるショートポジションが強制され、プロトコルはさらに不安定化しました。この経済的な攻撃は技術的な脆弱性に依存したものではなく、むしろクロスプラットフォームの価格操作を悪用したものであり、価格操作のシナリオをシミュレートすることで、経済的な監査が攻撃の影響を防止または軽減できることを示唆しています。strong>日付：2022年4月攻撃：統治操作：統治操作

<損失額：1億8100万ドル

Beanstalk攻撃は、攻撃者が悪意のある提案を推進するためにガバナンス・システムをコントロールすることに関与していた。この攻撃は、ガバナンスの脆弱性が適切に管理されなければ、技術的な欠陥と同様に損害を与える可能性があることを浮き彫りにしている。この攻撃の主な手順は次のとおりです：

1.ガバナンスの脆弱性の攻撃：攻撃者は、Beanstalkの資金調達トークン（トークン）をリポジトリから自分のリポジトリに移すための2つの提案を行いました。トークンをリポジトリから個人のウォレットに転送する2つの提案を提示した。Beanstalkのガバナンスシステムには緊急コミット投票が必要であり、提案が3分の2の票を獲得すれば承認されます。

2.ライトニングローン攻撃：攻撃者はライトニングローンを使って一時的に大量のBeanstalkトークンを借り入れました。を掌握するのに十分だった。圧倒的多数で、攻撃者はトークンをBeanstalkプールから個人のウォレットに移動させる資金移動を実行し、提案を押し通すことに成功しました。

結果:このガバナンス攻撃の成功により、BEANトークンのアンカリングが解除され、トークンは価格の75%を失い、プロトコルの安定性に深刻な影響を与えました。この攻撃による損失総額は1億8100万ドルに達した。この状況は、ガバナンス関連のリスクをモデル化するための経済監査が実施されていれば、ある程度軽減できたかもしれない。経済監査は、ガバナンス操作のリスク、特に従来の技術監査では見過ごされがちな、フラッシュレンディングによって一時的に議決権を獲得する可能性を特定することができる。

これら2つのケースは、技術的監査に対する経済的監査の必要な補完的役割を浮き彫りにしており、プロトコルが価格操作やガバナンスの脆弱性に対する攻撃に強いことを保証しています。

Case 3

テラ・ルナのエコシステムの崩壊は、技術的な脆弱性よりもむしろ、経済的な要因がプロトコルの顕著な失敗例である。この出来事はしばしば経済的不始末の典型的な例とみなされ、1つの領域におけるコントロールの喪失が、いかにDeFiエコシステム全体の連鎖的崩壊を引き起こすかを示している。

TerraのステーブルコインであるUSTは、アルゴリズムで米ドルと連動しており、価格の安定性を維持するためにルナトークンとの関係に依存している。USTは常に一定の割合でルナと交換できるため、価格の安定が保たれるというものだ。しかし、このシステムは市場の信頼と流動性に大きく依存しており、外部からの経済的圧力が強まるにつれ、その両方が崩壊し始めた。

2022年5月、市場で大きな出来事が起こり、USTは固定されなくなり、価格は1ドルを割り込んだ。これが引き金となり、UST保有者がトークンを Lunaに交換しようと殺到する「死のスパイラル」効果が発生し、Lunaの供給が一気に希薄化し、価格が急落した。USTのアンカリング解除が悪化し続けると、USTとLunaの両方の価格崩壊につながるフィードバックループが生まれ、最終的にプロトコルは回復不可能となった。

テラ・ルナの破綻は、DeFiのエコシステムに広範な影響を与えました。多くのプロトコルが流動性プール、貸出プラットフォーム、質権サービスを通じてTerraと高度に相互接続しているため、この出来事は流動性危機を引き起こし、Terraへの間接的なエクスポージャーにより、他のプロトコルが多額の清算と資金調達の損失を被ることになりました。

今回の暴落は、特定のコードの脆弱性や技術的欠陥に起因するものではなく、経済的スチュワードシップの失敗、つまり、アルゴリズム安定コインへの依存が原因でした。つまり、アルゴリズム安定コインの市場変動に対する十分な準備金や保護メカニズムを持たないアルゴリズム安定コインへの依存である。技術的な監査ではこの脆弱性を検出することができませんでしたが、これは問題がプロトコルの経済モデルに根ざしていたためです。このことは、このようなリスクを特定するために、アンカリング解除シナリオや流動性危機をシミュレートできる経済監査の必要性を強調しています。

テラ・ルナのメルトダウンは、1つのプロトコルの障害がいかにDeFiエコシステム全体に波及効果をもたらすかを示しており、監査プロセスにおいてプロトコル間の依存関係を評価することの重要性を強調しています。今回の暴落は、極端な市場環境に備えていなかった持続不可能な経済モデル（アルゴリズムによるステーブルコイン）に起因している。経済監査は、このような極端な状況をモデル化することで、プロトコルの脆弱性を明らかにすることができます。

適切な準備金の欠如と極端な市場変動を考慮しなかったことが、テラ・ルナの破綻の主な原因であり、経済監査でこの種のリスクをテストすることの重要性を浮き彫りにしています。

このケースは、プロトコルのコードがいかに技術的に健全であっても、経済モデルや市場環境を考慮したストレステストが不十分であれば、経済破綻の恐れがあることを浮き彫りにしています。

DeFiプロトコルのレイヤーアーキテクチャ

DeFiプロトコルは通常、多くの方法で使用されます。"">DeFiプロトコルは一般的に複数のレイヤーから構成され、各レイヤーはプロトコルの全体的な機能において特定の役割を果たします。

1.コアプロトコルレイヤー：これはプロトコルの基盤であり、貸し出し、質入れ、取引など、プロトコルの運用を定義するスマートコントラクトが含まれています。技術監査は通常、スマートコントラクトが期待通りに動作し、バグやプログラミングエラーがないことを確認するために、このレイヤーに焦点を当てます。

2.予言マシン層：DeFiプロトコルは通常、外部ソース（価格データ、金利など）からリアルタイムのデータを取得するために予言マシンに依存しています。このレイヤーは、プロトコルが適切に機能するために非常に重要です。不正確なデータは、価格の誤り、担保不足、その他のリスクにつながる可能性があるからです。経済監査では、プロトコルが予言者に依存しているかどうか、予言者が操作される可能性があるかどうかを調べますが、これは通常、技術監査では十分にカバーされません。

3.ガバナンス層：多くのDeFiプロトコルは、プロトコルの重要な変更を決定する分散型のガバナンス構造を使用しています。ガバナンス層では、投票、トークン・ベースの決定、プロトコルの変更が行われる。経済監査では、攻撃者が一時的に多数の票を得ることでプロトコルの決定に影響を与える投票操作やフラッシュクレジット攻撃など、ガバナンス構造の脆弱性を分析します

4.流動性レイヤー：。流動性レイヤーは、契約が適切に機能するための十分な流動性を保証する。貸出や取引のプロトコルでは、流動性レイヤーはユーザーが資金にアクセスできるか、取引を実行できるかを決定します。Economic Auditは流動性ストレスシナリオをシミュレートし、大量の引き出しや市場の急落など流動性が不十分な場合にプロトコルがどのように機能するかをテストします。

階層型アーキテクチャにおける経済リスク

DeFiプロトコルの階層アーキテクチャでは、レイヤー間の相互作用により、従来の技術監査では通常カバーされない経済的リスクが生じる可能性があります。

1.プロトコル間の依存関係：多くのDeFiプロトコルは相互依存関係にあり、流動性、担保、データのために他のプロトコルに依存しています。例えば、貸出プロトコルは担保として外部のステーブルコインに依存することがあります。そのステーブルコインが暴落したり、フィアット通貨とのペッグを失ったりすると、貸し出しプロトコルは担保不足となり、大量清算につながる可能性があります。

2.契約間の波及反応：2.span text="">攻撃者はあるレイヤーを攻撃することで、より広範な損害を与えることができ、それがプロトコル間の相互関係を利用して他のレイヤーに影響を与えます。例えば、攻撃者はあるプロトコルで（予言マシンの操作によって）資産の価格を操作することができ、それが他のプロトコルで融資、取引、担保設定などのオペレーションに影響を与えることができます。

3.流動性危機：

階層化されたアーキテクチャーは流動性危機のリスクももたらします。流動性プールから流動性が突然引き出されると、プロトコルの正常な機能に影響を及ぼし、プロトコル全体で障害が連鎖し、他の層の正常な機能に影響を及ぼす可能性がある。

DeFiプロトコルの相互接続性は、リスクが複数のレイヤーに伝播する傾向があることを意味します。あるレイヤー（例えば、予後予測レイヤーやガバナンスレイヤー）の脆弱性が連鎖反応を引き起こし、他のレイヤー（例えば、モビリティレイヤーやコアオペレーションレイヤー）の障害につながる可能性がある。技術監査は、スマートコントラクトが期待通りに機能することを確認するために、主にコアプロトコルに焦点を当てますが、これらのレイヤー間の相互作用によってもたらされるシステミックリスクをモデル化することはできません。

DeFiプロトコルのレイヤーアーキテクチャは、技術監査だけでは完全に把握できない複雑な経済的リスクをもたらします。一方、経済監査は、異なるレイヤー間の相互作用を批判的に評価し、それらが現実の状況でどのように悪用されるか、またはどのような圧力にさらされるかを分析することで、潜在的なリスクポイントを特定するのに役立ちます。span text="">技術監査だけでは、より広範な経済的リスクからDeFi協定を守るには不十分である。経済監査は、現実の市場環境をシミュレートし、ストレステストを実施することで、価格操作、流動性危機、ガバナンスギャップに直面した場合の協定の回復力を評価する。現在、経済監査市場は未発達であり、この分野に注力する企業にとっては大きなチャンスである。DeFiセキュリティの将来は、プロトコルがより広範な脆弱性リスクから確実に保護されるよう、技術監査と経済監査を組み合わせる必要があるでしょう。