分散型金融(DeFi)では、ハッキングや脆弱性悪用のニュースが後を絶ちません。一方で、オンチェーンで完結する金融インフラであるがゆえに、攻撃者の資金が「市場ルール」によって自動的に制裁される場面もあります。今回注目されたのは、Aave上でKelpDAOに関連する脆弱性悪用の攻撃者ウォレットが清算(リキデーション)されたという出来事です。攻撃の詳細と清算の意味、そしてプロトコル運用者・投資家が取るべき実務対応を整理します。
事件の概要:脆弱性悪用後、Aaveで担保不足となり清算
報道によれば、KelpDAOに関係する脆弱性を悪用したとされるハッカーのウォレットが、Aave上で清算されました。一般に、攻撃者は盗んだ資産を即座に現金化せず、レンディングプロトコルに担保として預けて借入を行う、あるいは価格変動を見越してレバレッジを取るなど、複数の戦術を組み合わせます。しかしAaveのようなレンディングでは、担保価値が一定の閾値を下回ると清算が発動し、第三者(リキデーター)がポジションを解消して債務を回収します。
つまり今回のポイントは、攻撃者がオンチェーンで資金を運用する過程で、リスク管理のルールから逃れられず、最終的に清算によって資金の一部(または大半)を失った可能性があることです。
Aaveの清算メカニズム:なぜ攻撃者でも例外なく処理されるのか
Aaveでは、担保資産と借入資産の組み合わせごとに、担保係数や清算閾値、清算ボーナスなどが設定されています。担保価値が下落する、借入側の価値が上昇する、または両方が同時に進むと、健康度(Health Factor)が悪化し、一定水準を割り込むと清算対象になります。
ここで重要なのは、清算が「誰であっても同じ条件で」実行される点です。攻撃者、被害者、一般投資家といった属性はスマートコントラクト上で区別されず、ルールに基づき機械的に処理されます。これにより、攻撃者が盗難資金を担保にしてレバレッジをかけた場合でも、市場変動や担保劣化により強制的にポジションが解消され得ます。
今回の示唆:DeFiは「奪われたら終わり」ではないが、回収とも限らない
清算が発生したという事実は、DeFiに一定の抑止力があることを示します。攻撃者が資金を保持し続けるには、価格変動リスクと清算リスクを管理しなければならず、オンチェーン活動が増えるほど足跡も残ります。結果として、攻撃者にとって「盗んだ資産を最大化する」ことが必ずしも容易ではない構図が浮かび上がります。
ただし、清算が起きたからといって被害者側に資金が戻るとは限りません。清算で回収されるのはAave上の債務であり、清算に参加したリキデーターが報酬(清算ボーナス)を得ます。被害資金の帰属や返還は、プロトコル間の関係、資金の経路、交渉(返還提案)、法執行や取引所の協力など、別のレイヤーの問題として残ります。
KelpDAOの文脈:リステーキング周辺は構成要素が多く、複合リスクが表面化しやすい
KelpDAOのように、リステーキングやリキッド・リステーキング、派生トークンを扱う領域では、複数のコントラクトや外部依存(オラクル、ブリッジ、DEX、レンディングなど)が絡み合います。設計が複雑になるほど、単体では安全に見える部品同士の組み合わせで想定外の経路が生まれ、攻撃面が拡大します。
また、派生トークンは市場流動性が限定的な局面もあり、価格変動や乖離が起きやすい資産として扱われがちです。これを担保としてレンディングに持ち込む戦略は、攻撃者にとっても利益機会である一方、清算による損失リスクを急増させます。今回の清算は、その「複合リスクがオンチェーンで顕在化した」ケースといえます。
プロトコル運用者が取るべき対策:技術・経済・運用の三層で備える
コントラクト監査と継続的テスト
監査はスタート地点に過ぎず、アップグレードや外部統合のたびに再評価が必要です。特に、入出金・ミント/バーン・換金(redeem)・権限管理・価格参照の周辺は、攻撃者が最初に狙うポイントになります。形式手法やファジング、差分監査を組み合わせ、変更に強い開発プロセスを整えるべきです。
経済設計(トークノミクス)と担保受け入れ基準
派生トークンの担保価値評価、流動性、乖離耐性を踏まえ、レンディングに持ち込まれる可能性も含めてリスクを見積もる必要があります。清算が機能することは重要ですが、極端な相場局面では清算が追いつかず、連鎖的損失(バッドデット)に発展する恐れもあります。
インシデント対応:迅速な封じ込めと透明性
攻撃検知から停止判断(必要なら一部機能停止)、影響範囲の特定、ユーザーへの告知、オンチェーン追跡、関係プロトコルとの連携まで、手順を事前にプレイブック化しておくことが現実的な防御になります。コミュニティへの説明責任を果たしつつ、過度な憶測を抑える情報の出し方も重要です。
投資家・ユーザーの実務:清算リスクと統合リスクを「自分ごと」にする
今回のように、攻撃者であっても清算される一方、一般ユーザーも同じ市場ルールの下にいます。派生トークンを担保にした借入は、価格乖離が起きた瞬間に清算が加速します。ヘルスファクターの余裕を大きめに取る、担保の分散、流動性が薄い資産の過大評価を避けるなど、基本動作が損失を大きく減らします。
また、単一プロトコルの安全性だけでは不十分です。リステーキング、DEX、レンディング、ブリッジといった複数のレイヤーを跨ぐほど、どこか1点の障害が自分のポジションに波及します。統合が進むDeFiでは、「連鎖リスク」を前提に、ポジションサイズや期間を設計する必要があります。
まとめ:自動清算は強力な安全弁だが、万能薬ではない
Aaveでハッカーのウォレットが清算された出来事は、DeFiが持つ自律的なリスク制御の一端を示しました。攻撃者であっても、オンチェーンで資金運用を行う限り、価格変動と清算ルールの支配から逃れられません。一方で、清算は被害者救済を直接保証する仕組みではなく、複雑な統合環境では事故の連鎖も起こり得ます。
プロトコル側は技術・経済・運用の三層で防御を組み立て、ユーザー側は清算と統合リスクを前提にポジション管理を行うことが、被害を最小化する現実的なアプローチになります。