オラクル「異常動作」、Aaveが2700万ドルの異常清算に遭遇
- 核心的見解:Aaveプロトコルは、内部セキュリティモジュール(CAPO)のパラメータ更新のずれが原因で発生した異常清算イベントに見舞われ、約2700万ドルのポジションが強制決済されました。リスク管理パートナーのChaos Labsは被害を受けたユーザーへの全額賠償を約束し、プロトコル自体は不良債権を発生させていません。
- 重要な要素:
- 事故の根源は、価格操作を防ぐためにAave内部で使用されているCAPOモジュールにあり、その「スナップショット為替レート」と「スナップショットタイムスタンプ」という2つのパラメータの更新が同期していなかったため、システムがwstETHの価格を約2.85%過小評価していました。
- AaveのE-Mode(高効率モード)では、ユーザーのレバレッジが高く、価格偏差に敏感であり、システム的な評価の過小評価が一連のポジションを清算ラインを超えて押し上げ、オンチェーン清算ボットを起動させました。
- 清算と裁定取引の合計で、約499 ETH(約127万ドル)が34の被害ユーザーアドレスから流出しましたが、プロトコルの資金プールは影響を受けず、不良債権は発生しませんでした。
- リスク管理パートナーのChaos Labsは、影響を受けたユーザーへの全額賠償を明確に約束し、すでに回収資金とDAOの国庫補充を通じて対応しており、賠償上限は約345 ETH(約87万ドル)と見込まれています。
- チームは緊急措置を通じてパラメータのずれ問題を修正し、リスクを制御するために一時的に借入上限を調整しました。この出来事は、DeFiプロトコルの内部セキュリティメカニズムとパラメータ検証の重要性を浮き彫りにしました。
原文著者:Sanqing、Foresight News
3月11日未明、分散型レンディングプロトコルAaveにおいて、稀な異常清算が発生した。市場暴落も外部攻撃もなかったが、約2700万ドル相当の借入ポジションが数時間で強制決済され、34のアカウント、合計約10,938 wstETHがオンチェーン清算ボットによって「収穫」された。
画像出典:CHAOS LABS 清算データ追跡
Aaveのリスク管理パートナーであるChaos LabsがXでいち早く応答し、そのCEOであるOmer Goldbergは明確に「不良債権は発生せず、影響を受けた全ユーザーは全額補償される」と表明した。Aave Labsの創設者Stani Kulechovも後にXで「Aaveプロトコル自体は何の影響も受けていない」と投稿した。
守護者から収穫者へ
多くの清算イベントとは異なり、今回は市場暴落も外部攻撃も、オラクルの価格フィードデータの歪みもなかった。Aaveのリスク管理パートナーであるChaos Labsが後にガバナンスフォーラムで公開したPost-Mortem報告書が真相を明らかにした。
基盤となるオラクルの価格提示自体は完全に正確であり、真の原因はCAPO(Capped Asset Price Oracle)という内部セキュリティモジュールだった。これは価格操作を防ぐために設計されたメカニズムだが、今回は「守護者」として、意図せずユーザーの清算トリガーとなってしまった。
Aaveは、wstETHのような継続的にステーキング報酬を蓄積する利殖型トークンを扱う際、人為的にトークン為替レートを吊り上げて担保価値を水増しすることを防ぐため、価格上昇率に上限を設けている。
CAPOは二つのパラメータが連携して動作する:snapshotRatio(スナップショット為替レート、オンチェーンの厳格な制約を受け、3日間で最大3%上昇)とsnapshotTimestamp(スナップショットタイムスタンプ、同等のレート制限なし)。両者は同期して更新されるべきだが、一旦ずれると、算出される「許容最高為替レート」は実勢市場価格から乖離してしまう。
今回のずれはまさにこのように発生した。システムはスナップショット為替レートを約1.1572から目標値1.2282へ更新しようとしたが、レート制約により1.1919までしか進められなかった。一方、タイムスタンプは何の障害もなく、7日前に対応するアンカーポイントへ直接ジャンプした。
二つのパラメータがそれぞれ更新され、互いに整合が取れなかったため、CAPOが最終的に算出したwstETHの許容最高為替レートは約1.1939となり、市場の実勢価格より約2.85%低くなった。
画像出典:Chaos Labs ガバナンスフォーラム Post-Mortem
通常のポジションでは、2.85%の偏差はノイズに過ぎないかもしれない。しかし、AaveのE-Mode(高効率モード)では、ユーザーは通常モードよりはるかに高いレバレッジで借り入れが可能であり、ポジションは価格偏差に対して極度に敏感になる。
プロトコルによるwstETH評価価値の系統的な過小評価は、安全閾値の上にあった一連のポジションを清算ラインへ押しやり、オンチェーンボットが残りの全てを完了した。
利益の流れから見ると、清算者は約116 ETHの通常清算報酬を獲得した。さらに約382 ETHは、プロトコルの低評価価格と市場実勢価格の間の価格差を利用したアービトラージャーの利益に由来する。
二つを合わせた約499 ETH(約127万ドル相当)が、被害を受けたユーザーのポジションから流出した。プロトコルレベルでの結果は明確だった:不良債権ゼロ、資金プールは無傷、全ての損失は清算された34のユーザーアドレスのみに影響した。
Chaos Labs:我々が全額補償する
事故において最も直接的な対応を示したのは、リスク管理側のChaos Labsだった。CEOのOmer GoldbergはXで明確に「影響を受けた各ユーザーは全額補償される」と表明した。彼は同時に、リスクオラクルはプロトコルのコアインフラとして、今回の設定ミスは深刻な教訓であり、チームはパラメータ更新プロセスを全面的に見直すと述べた。
画像出典:Omer Goldberg ツイート
補償実行の面では、Chaos LabsはすでにBuilderNetを通じて約141.5 ETHを回収し、Aave DAOの国庫からの追加資金と合わせ、補償上限は約345 ETH(約87万ドル相当)と見込まれ、全損害アカウントをカバーするために使用される。
緊急対応段階では、チームはまず影響を受けたインスタンス(CoreおよびPrime)のwstETH借入上限を一時的に1に削減し、Risk Stewardメカニズムを通じて二つのスナップショットパラメータを手動で再調整し、修復完了後に借入上限を元の値(Core:18万、Prime:7万)に戻した。
オラクル問題は、決して新しい話題ではない
これはDeFiの世界がオラクル問題によって揺るがされた初めてのことではない。つい最近(2月18日)、レンディングプロトコルMoonwellはオラクル設定ミスにより、cbETHを約1ドル(市場価格約2200ドル)と短時間誤表示し、最終的に約180万ドルの不良債権を発生させた。より以前のMango Markets操作事件やEuler Financeの脆弱性も、数億ドル規模の教訓を残している。
しかし、今回のAaveの事故には特殊性がある。エラーの原因は外部データではなく、プロトコル内部で操作対策のために構築されたセキュリティ層そのものだった。この「盾」が特定の条件下で、逆に人を傷つける刃となってしまった。
「Code is Law(コードは法である)」は分散型金融の信条であり、スマートコントラクトの自動実行は人為的介入の余地を排除するが、それは同時に、あらゆるパラメータの不一致が、ユーザーが気づかないうちに取り返しのつかない操作を完了させる可能性があることを意味する。
Chaos Labsの補償約束は経済的レベルでこの亀裂を修復できるかもしれないが、より根本的な修復はエンジニアリングレベルで行われなければならない。パラメータ更新の検証、オンチェーン制約の一貫性チェック、そしてエラーが重大な結果を招く前に警告を発することができるリアルタイム監視メカニズムが必要だ。
