過去2か月で最大の2つのDeFi攻撃には、共通点が1つあります。それらはXRP Ledgerには存在しないツールを利用しました。
Thorchainは5月15日に、Bitcoin、Ethereum、BSC、Baseにまたがるクロスチェーン攻撃により約1,080万ドルを失いました。Solanaベースの分散型永続取引所であるDrift Protocolと、Ethereum上のリステーキングプロトコルであるKelpDAOは、4月だけで合計6億ドル以上の損失を出しました。
Chainalysisによると、2021年以降、クロスチェーンブリッジは攻撃により28億ドル以上を失っています。これらの攻撃の多くは、フラッシュローンという同じメカニズムの変種を利用していました。
フラッシュローンは、スマートコントラクトの機能であり、トレーダーが担保なしで数百万ドルを借入でき、その代わりに同じトランザクション内で返済する必要があります。正当な利用例には、取引所間のアービトラージ、保有資産を解消せずに担保を交換すること、および貸出市場の健全性を維持するための清算ボットが含まれます。
攻撃パターンは、間違った方向に向けられた同じメカニズムです。
借り手はローンを借り、資金を使ってオラクルを操作したり、設計が不十分なプールを空にしたりし、操作から利益を得た後、取引が確定する前にローンを返済します。どのステップも失敗した場合、全体のプロセスはロールバックされるため、攻撃者はガス代以外のリスクを負いません。
XRP Ledgerはこの機能を許可していません。今週初めにXRPL標準リポジトリに提出された草案修正案は、チェーンのネイティブ自動市場メカニズムに対して集中流動性とStableSwapスタイルのプールを提案しており、そのセキュリティ考慮事項のセクションには一行だけ記載されています:「フラッシュローン攻撃は構造的に不可能です。XRPLのトランザクションは、トランザクション内での組み合わせ可能コールなしで原子的です。」
つまり、XRPLのトランザクションはEthereumのトランザクションのように、完全に成功するか完全に失敗するということです。しかしEthereumとは異なり、XRPLのトランザクションは実行中に他のコントラクトを呼び出すことはできません。フラッシュローン攻撃を定義する「借入→操作→返済」のシーケンスには、単一のトランザクションエンベロープ内に少なくとも3つのネストされた操作が必要です。
これは意味のあるアーキテクチャ的选择であり、コストを伴います。フラッシュローンは攻撃ツールであるだけでなく、Aave、dYdX、その他の主要プロトコルが製品として提供するようになり、Ethereum DeFiの構造的コンポーネントとなりました。アービトラージトレーダーは、フラッシュローンを使って、取引所間の価格差を単一の原子的アクションで解消しています。
清算ボットは、過剰担保貸出ポジションを健全に保つためにそれらを利用します。高度なDeFiユーザーは、数時間にわたり資本が拘束される必要のある担保交換にそれらを利用します。XRPLは、そのすべてを犠牲にして攻撃クラスを完全に閉じています。
XRPLの歴史の大部分において、このトレードオフは重要ではなかったのは、チェーンのDeFiの規模が小さかったためです。しかし、その状況は変わりつつあります。XRP Ledger上のトークン化されたリアルワールド資産の総価値は30億ドルを超え、先月にはRipple、JPMorgan、Mastercard、Ondo Financeによるトークン化された米国財務省債の償還を5秒未満で処理するパイロットプロジェクトが実施されました。
AMM修正案が可決されれば、XRPL DeFiをEthereumから後退させてきた資本効率の差が解消され、より幅広い取引およびイールド戦略がチェーンに開放されます。
AMM修正案が可決され、XRPLのDeFi流動性が機関資本が大規模に投入できるレベルまで成長した場合、構造的な脆弱性への耐性が真の競争優位性であるか、それとも機関が既に流動性がある場所を優先するため無視される単なる機能であるかが問題となる。