「ターゲティングされた爆破」フラッシュローン攻撃が、ステーブルコイン流動性の構造的亀裂を暴露
- 核心的な見解:2026年初頭にCurve上のDUSD/USDCプールを標的としたフラッシュローン攻撃は、オラクルへの依存、流動性の集中、そしてDeFiのコンポーザビリティが重なる状況下で、局所的な流動性プールがシステミックリスクの「単一障害点」として突破口となり得ることを示した。これはステーブルコインプロトコル自体のセキュリティ問題ではない。
- 重要な要素:
- 攻撃者は約2億8000万ドルのUSDCをフラッシュローンで借り入れ、プール内の価格を操作して流動性が十分にあるかのような錯覚を作り出し、最終的に約420万ドル(約1299 ETH)相当の資産を引き抜いた。
- 攻撃範囲は単一のCurve流動性プールに限定され、DUSDの鋳造/償還メカニズムやその保有者には影響がなく、損失は完全に当該プールの流動性プロバイダーが負担した。
- 攻撃は、フラッシュローンの事前資本不要・瞬時操作という特性と、オラクルの価格応答に存在する時間差の脆弱性を利用したもので、典型的な瞬間的価格歪曲攻撃に分類される。
- 発行体であるMakina Financeは事後対応が迅速で、影響範囲を隔離し、影響を受けたLPを対象とした回復・償還スキームを開始した。これは危機管理能力の向上を示している。
- 本件は、以前この取引ペアが1億2900万ドルのTVLを記録した高流動性の歴史と対照的であり、流動性の深さ自体が安全性を意味するわけではなく、高度に集中した資本プールはむしろ攻撃対象になりやすいことを示唆している。
- 今回の出来事は、DeFiのコンポーザビリティがもたらす構造的課題、すなわち局所的な機能不全が特定のユーザーグループ(例:LP)に不均衡な影響を与え得ることを浮き彫りにした。
事件の振り返り
2026年1月20日未明、高度に精密なフラッシュローン攻撃により、Curve上のDUSD/USDC流動性プールから約420万ドルが引き抜かれ、2026年初頭で最も技術的に狙われたステーブルコイン攻撃の一つとなった。この攻撃はDUSDのコアな鋳造または償還メカニズムには触れず、単一流動性の場に集中して打撃を与え、オラクル依存、流動性仮定、そしてDeFiのコンポーザビリティが重なり合う際に、システミックリスクが局所的にいかに急速に増幅されるかを明確に示した。
DUSDは、マルチチェーンDeFi実行エンジンであるMakina Financeが発行するステーブルコインである。事後開示された情報によると、攻撃者はフラッシュローンで約2.8億ドルのUSDCを借り入れ、極めて短時間で当該プールに関連する価格入力を操作し、流動性ポジションの簿価を水増しし、システムが再調整を行う前に裁定取引を完了させ、最終的にプール内の約1,299 ETH相当の資産をすべて移し出した。
強調すべきは、この事件はDUSDの全体供給量に影響を与えず、単純にDUSD、Pendle、またはGearboxのポジションを保有するユーザーにも波及しなかった点である。Makinaは事後直ちにこの境界を明確にしたが、攻撃の速度と精度は依然として、一見隔離されているように見える流動性プールであっても、資本が高度に集中し、オラクルの応答に時間差が存在する状況下では、「単一障害点」の突破口となり得ることを示している。
攻撃はどのように実行されたか
技術的な経路から見ると、この攻撃は近年のDeFiセキュリティ研究者には既に馴染み深いパターンを踏襲しているが、実行面ではより抑制的で集中的であった。攻撃者は巨額で瞬時に注入されたUSDCを利用してDUSD/USDCプールの価格構造を歪め、その価格に依存する関連ロジックが同一ブロック内で誤った判断を生じさせ、「流動性が十分である」という幻想を作り出し、リスクフリーの裁定取引の条件を整えた。
フラッシュローンは事前資本を必要とせず、かつ同一トランザクション内で返済しなければならないため、攻撃者は方向性リスクをほとんど負担せず、その核心手段は時間次元における価格の歪みにある。この種の脆弱性タイプは複数のDeFiシナリオで繰り返し出現しており、特に流動性プールが単一または短期の価格シグナルに依存し、時間加重または複数ソースの集約データに依存しない場合、一時的な不均衡に利用されやすい。
最終結果はシステミックな崩壊ではなく、あくまで鮮やかな引き抜きであった。Makinaはその後、約510万枚のUSDC相当の資産が当該プールから流出し、損失は完全に流動性提供者が負担し、プロトコルのその他の部分は正常に機能し続けたことを開示した。
事後対応と隔離
Makinaの対応速度は、DeFiが複数のセキュリティ事件を経て成熟度を高めていることをある程度体現している。チームは迅速に攻撃範囲がCurve上のDUSD/USDCプールに限定されていることを確認し、攻撃発生前に流動性提供者の残高のスナップショットを完了させると同時に「回復モード」を起動し、影響を受けたLPがDUSDへ一方的に償還できるようにして、さらなるパニック的な取り付け騒ぎを回避した。
1月21日に発表された公式声明で、Makinaは攻撃者のオンチェーン身元に関する手がかりを把握しており、連絡を試みていると表明するとともに、セキュリティ調整完了後に償還機能を再開し、代替的な退出スキームを提供することを約束した。このような処理方法は、初期のDeFi事件における情報の遅れや影響範囲の不明確さが連鎖反応を引き起こしたこととは対照的であり、現在のプロトコル間の差異は、絶対的な「ゼロ脆弱性」の約束ではなく、事後管理能力にますます現れていることも示している。
市場シグナルと流動性の記憶
DUSD事件からの示唆の一つは、それが以前の流動性に関する物語と強い対照をなしている点である。わずか数ヶ月前の2025年9月、DUSD/USDT取引ペアはPancakeSwapのTVLランキングで首位に立ち、ロック額は1億2900万ドル、24時間取引高は8211万ドル、7日間累計取引高は4億3900万ドルに達し、一部の取引エコシステムにおいて高活性・強流動性の代表と見なされていた。
この歴史的背景は特に重要である。なぜなら、それは繰り返し現れるDeFiの法則を明らかにしているからだ:流動性の深さそのものは安全性と同等ではない。資本が高度に集中し、ステーブルコインのペッグ関係が当然視される場合、この種のプールはむしろ「的を絞った爆破」の理想的な標的となりやすく、特にインセンティブメカニズムと価格仮定が継続的なストレステストを受けていない状況下ではなおさらである。
この観点から見ると、今回の攻撃はDUSDがステーブルコインとしての実現可能性を直接否定したわけではないが、長年存在する事実を再び裏付けた:最も「安定」している場所は、往々にして、対抗者が十分なツールを備えている時に、最もコストパフォーマンスの高い攻撃目標となる。
より広範なステーブルコインへの示唆
単一の事件を超えて、DUSDへのフラッシュローン攻撃は、オンチェーンステーブルコインがクロスチェーン・クロスプロトコル拡大の過程で直面する構造的課題を反映している。コンポーザビリティは資本効率を大幅に向上させたが、同時に複雑な依存ネットワークを構築し、局所的な機能不全が特定のユーザーグループに不均衡な影響を与える可能性がある。
規制当局、機関資本、インフラ提供者がステーブルコインを単なる取引ツールではなく、決済・決済レイヤーとして見なし始めるにつれ、同様の事件は市場に、プロトコルレベルの堅牢性と具体的な流動性の場のリスクをより明確に区別することを迫っている。LP収益を追い求めるユーザーにとって、この区別は特に重要であるが、しばしば見過ごされがちである。
今回の事件では、DUSD保有者自体は影響を受けなかった。この点はMakinaが全体の信用を維持するのに役立つかもしれない。しかし、より長期的な視点から見ると、DeFiの安定性の次の段階は、もはやTVLの数字や表面的な流動性によって決定されるのではなく、プロトコルがその最も脆弱な部分をいかに設計し、隔離し、強化するか、特にフラッシュ流動性と価格発見が正面衝突する場所において、にかかっている可能性がある。
