作者:137Labs2023年3月12日、匿名の巨額投資家が@aaveプロトコルのフロントエンドを通じて巨大な資産交換を仕掛けた:約5043万ドル相当のUSDTを使い、AAVEガバナンストークンを購入しようとした。しかし、極端なスリッページにより、わずか3.6万ドル相当の324~327個のaEthAAVEしか獲得できず、瞬時に約5000万ドルの損失を出した。この出来事は瞬く間にX(旧Twitter)やメディアで拡散され、DeFiユーザーの「ブラックユーモア」的な警鐘となった。本稿では、データと事象の連鎖を段階的に追いながら、一クリックの差がもたらす代償を解説する。事象の詳細と重要ポイントまず、客観的に事件の経緯を振り返る。この失敗はEthereumメインネット上のAave V3プロトコルで発生したもので、これは世界有数のDeFiレンディングプラットフォームであり、TVL(総ロックされた資産額)は数百億ドルを超える。ユーザーは#Aaveの公式フロントエンドを通じて、CoW Protocol(分散型の注文ルーティングシステム)を利用して交換を行った。重要なタイムラインはオンチェーンデータと公式声明に基づく:3月12日12:45 UTC頃:ユーザーが交換を開始、USDT約5043万ドル(aEthUSDTと同等の価値)を入力。12:47 UTC:インターフェースが注文規模の池の深さを超えることを検知し、複数回警告を表示、「異常な大口注文」「極端なスリッページリスク」「手動確認必要」と表示。12:48 UTC:ユーザーがスマホ側で確認をチェックし、取引を続行。取引はブロックチェーンに送信され、Etherscanの記録によると、一部の損失はMEV(マイナー・抽出価値)ロボットに捕捉され、約900万~1000万ドルの差益を得た。13:30頃:Stani Kulechovが投稿し、プロトコルとCoWルーティングは正常に動作しており、ユーザーはリスクを了承済みとし、60万ドルの手数料返還を約束。翌日早朝:この事件はCrypto Twitterやメディアで拡散し、数百の議論が巻き起こる。AAVEの24時間取引量は15%~20%増加。最終的に得られたのは327.2個のAAVE(現在の価格約111ドルで約3.65万ドル相当)、損失率は99.93%。2022年のMango Marketsの清算失敗や、最近のAaveのoracle誤設定による2700万ドルの清算と比べて、今回は完全にユーザーの操作ミスによるもので、プロトコルの脆弱性はない。このタイムラインはオンチェーンデータと公式声明に基づいており、事件発覚後24時間以内にAAVEトークンの価格は一時的に変動したものの、全体として6%以上上昇し、市場の信頼は大きく揺らいでいないことを示している。ユーザーの操作ミスと責任の所在:誰の「責任」か?この事件の核心的な論点は責任の所在だ。DeFiの基本原則は「あなたの鍵、あなたの財布、あなたの責任」—ユーザーが完全にコントロールしている反面、すべての結果も自己責任だ。今回の巨額投資家は明らかな初歩的ミスを犯した:明示されたスリッページ警告を無視し、流動性の乏しい資産に対して一度に大きな取引を行った。しかし、批評家は指摘する。プロトコルやアグリゲーター(例:CoW)の設計には完璧ではない部分もある。AaveのUIには警告表示があったが、モバイル版の操作性は直感的でない可能性もあり、CoWのルーティングアルゴリズムは浅いプールのリスクを十分に回避できず、注文が「挟撃」される事態になった。Stani Kulechovは「ユーザーはリスクを手動で確認した。私たちはベビーシッターではない」と反論している。しかし、コミュニティの見解は分かれる。ある者はこれを純粋なユーザーのミスとみなし、他者はプロトコル側の安全策強化を求めている。例えば、自動的なスリッページ上限設定や、大口注文の分割提示などだ。過去の類似事例(2022年のMango Marketsの清算失敗など)では、しばしばプロトコルのバグや脆弱性に帰せられるが、今回のケースは「人為的ミス+システムの限界」の複合と見ることもできる。DeFiの流動性とスリッページリスク:どう防ぐ?まず、スリッページとは何か。大口注文を実行する際に、流動性不足により価格が乖離し、想定外の価格変動を引き起こす現象だ。DeFiの流動性プール(UniswapやAaveの貸出プールなど)は、中央集権取引所のように深さが無限ではない。特に、aEthAAVEのような派生資産はプールの規模が限られており、5000万ドルの注文は巨大なクジラが浅瀬に突っ込むようなものだ。注文がプールの深さを超えると、瞬時に価格が暴落し、損失が拡大する。さらに、MEV(マイナー・抽出価値)ボットはこれを利用し、フロントランニングやサンドイッチ攻撃を仕掛けて一部の価値を吸い取る。どう防ぐべきか?1)分割取引:大口を複数に分けて実行し、一度に市場に衝撃を与えない。2)リミット注文の利用:最低受け入れ価格を設定。3)流動性の確認:DefiLlamaやDune Analyticsでプールの深さを事前に調査。4)大規模プール資産の優先:ETHに直接交換し、ラップされた資産を避ける。5)アグリゲーターの選択:1inchやParaswapなど、より良いルーティングを提供するサービスを利用。MEVとオンチェーンアービトラージ:見えざる「吸血鬼」の役割今回の事件では、損失の一部(約1000万ドル)がMEVロボットに捕捉された。MEVはEthereumエコシステムの「グレーゾーン」:マイナーやバリデーターが取引の並び替えを行い、価値を抽出する仕組みだ。本件では、ボットが巨額注文を検知し、事前にaEthAAVEを買い上げて価格を吊り上げ、その後高値で売り抜けて利益を得た。これにより、DeFiの公平性の問題が浮き彫りになる。普通のユーザーはプロのボットに「狩られる」危険がある。解決策としては、Flashbots(MEVのオークションシステム)やMEV-Share(利益の共有)などが提案されているが、現状は十分ではない。事件後、コミュニティはAaveに対し、より多くの反MEVツールの導入を求めている。Aaveの評判と連鎖する最近の事例:連続「ウロコ」これはAaveにとって初めての問題ではない。数日前には、Aave V3のwstETH oracle設定ミスにより、2700万ドルの過剰清算が発生し、ユーザーの不満を招いた。Aaveは迅速に修正と補償を行ったが、今回の失態はその信頼性をさらに試すものだ。AaveのTVLは依然としてDeFiトップクラスだが、連続した問題はoracle設定や清算パラメータ、UI設計の潜在的な脆弱性を露呈している。良い面としては、Aaveの対応は迅速かつ透明性が高く、一部返金も行われている。これによりコミュニティの信頼を維持している。競合のCompoundと比較しても、市場シェアの強化につながる可能性があるが、同様の事件が頻発すれば、機関投資家の採用(例:Anchorage Digitalのリステーク統合)にブレーキがかかる恐れもある。//////////////////一クリックで5000万ドルが消えた—この出来事は、暗号の世界がまるでカジノのように、ルールは透明だが残酷であることを改めて教えてくれる。次の「一クリック確認」は、あなたの画面上に現れるかもしれない。私たち全員に覚えておいてほしいのは、クリックする前にもう一度、警告をよく見ることだ。
DeFi史上最も高価なワンクリック確認:5000万ドルがオンチェーンで瞬時に蒸発
作者:137Labs
2023年3月12日、匿名の巨額投資家が@aaveプロトコルのフロントエンドを通じて巨大な資産交換を仕掛けた:約5043万ドル相当のUSDTを使い、AAVEガバナンストークンを購入しようとした。しかし、極端なスリッページにより、わずか3.6万ドル相当の324~327個のaEthAAVEしか獲得できず、瞬時に約5000万ドルの損失を出した。この出来事は瞬く間にX(旧Twitter)やメディアで拡散され、DeFiユーザーの「ブラックユーモア」的な警鐘となった。本稿では、データと事象の連鎖を段階的に追いながら、一クリックの差がもたらす代償を解説する。
事象の詳細と重要ポイント
まず、客観的に事件の経緯を振り返る。この失敗はEthereumメインネット上のAave V3プロトコルで発生したもので、これは世界有数のDeFiレンディングプラットフォームであり、TVL(総ロックされた資産額)は数百億ドルを超える。ユーザーは#Aaveの公式フロントエンドを通じて、CoW Protocol(分散型の注文ルーティングシステム)を利用して交換を行った。
重要なタイムラインはオンチェーンデータと公式声明に基づく:
3月12日12:45 UTC頃:ユーザーが交換を開始、USDT約5043万ドル(aEthUSDTと同等の価値)を入力。
12:47 UTC:インターフェースが注文規模の池の深さを超えることを検知し、複数回警告を表示、「異常な大口注文」「極端なスリッページリスク」「手動確認必要」と表示。
12:48 UTC:ユーザーがスマホ側で確認をチェックし、取引を続行。取引はブロックチェーンに送信され、Etherscanの記録によると、一部の損失はMEV(マイナー・抽出価値)ロボットに捕捉され、約900万~1000万ドルの差益を得た。
13:30頃:Stani Kulechovが投稿し、プロトコルとCoWルーティングは正常に動作しており、ユーザーはリスクを了承済みとし、60万ドルの手数料返還を約束。
翌日早朝:この事件はCrypto Twitterやメディアで拡散し、数百の議論が巻き起こる。AAVEの24時間取引量は15%~20%増加。
最終的に得られたのは327.2個のAAVE(現在の価格約111ドルで約3.65万ドル相当)、損失率は99.93%。2022年のMango Marketsの清算失敗や、最近のAaveのoracle誤設定による2700万ドルの清算と比べて、今回は完全にユーザーの操作ミスによるもので、プロトコルの脆弱性はない。
このタイムラインはオンチェーンデータと公式声明に基づいており、事件発覚後24時間以内にAAVEトークンの価格は一時的に変動したものの、全体として6%以上上昇し、市場の信頼は大きく揺らいでいないことを示している。
ユーザーの操作ミスと責任の所在:誰の「責任」か?
この事件の核心的な論点は責任の所在だ。DeFiの基本原則は「あなたの鍵、あなたの財布、あなたの責任」—ユーザーが完全にコントロールしている反面、すべての結果も自己責任だ。今回の巨額投資家は明らかな初歩的ミスを犯した:明示されたスリッページ警告を無視し、流動性の乏しい資産に対して一度に大きな取引を行った。
しかし、批評家は指摘する。プロトコルやアグリゲーター(例:CoW)の設計には完璧ではない部分もある。AaveのUIには警告表示があったが、モバイル版の操作性は直感的でない可能性もあり、CoWのルーティングアルゴリズムは浅いプールのリスクを十分に回避できず、注文が「挟撃」される事態になった。
Stani Kulechovは「ユーザーはリスクを手動で確認した。私たちはベビーシッターではない」と反論している。
しかし、コミュニティの見解は分かれる。ある者はこれを純粋なユーザーのミスとみなし、他者はプロトコル側の安全策強化を求めている。例えば、自動的なスリッページ上限設定や、大口注文の分割提示などだ。
過去の類似事例(2022年のMango Marketsの清算失敗など)では、しばしばプロトコルのバグや脆弱性に帰せられるが、今回のケースは「人為的ミス+システムの限界」の複合と見ることもできる。
DeFiの流動性とスリッページリスク:どう防ぐ?
まず、スリッページとは何か。大口注文を実行する際に、流動性不足により価格が乖離し、想定外の価格変動を引き起こす現象だ。
DeFiの流動性プール(UniswapやAaveの貸出プールなど)は、中央集権取引所のように深さが無限ではない。特に、aEthAAVEのような派生資産はプールの規模が限られており、5000万ドルの注文は巨大なクジラが浅瀬に突っ込むようなものだ。
注文がプールの深さを超えると、瞬時に価格が暴落し、損失が拡大する。さらに、MEV(マイナー・抽出価値)ボットはこれを利用し、フロントランニングやサンドイッチ攻撃を仕掛けて一部の価値を吸い取る。
どう防ぐべきか?
1)分割取引:大口を複数に分けて実行し、一度に市場に衝撃を与えない。
2)リミット注文の利用:最低受け入れ価格を設定。
3)流動性の確認:DefiLlamaやDune Analyticsでプールの深さを事前に調査。
4)大規模プール資産の優先:ETHに直接交換し、ラップされた資産を避ける。
5)アグリゲーターの選択:1inchやParaswapなど、より良いルーティングを提供するサービスを利用。
MEVとオンチェーンアービトラージ:見えざる「吸血鬼」の役割
今回の事件では、損失の一部(約1000万ドル)がMEVロボットに捕捉された。MEVはEthereumエコシステムの「グレーゾーン」:マイナーやバリデーターが取引の並び替えを行い、価値を抽出する仕組みだ。本件では、ボットが巨額注文を検知し、事前にaEthAAVEを買い上げて価格を吊り上げ、その後高値で売り抜けて利益を得た。
これにより、DeFiの公平性の問題が浮き彫りになる。普通のユーザーはプロのボットに「狩られる」危険がある。解決策としては、Flashbots(MEVのオークションシステム)やMEV-Share(利益の共有)などが提案されているが、現状は十分ではない。事件後、コミュニティはAaveに対し、より多くの反MEVツールの導入を求めている。
Aaveの評判と連鎖する最近の事例:連続「ウロコ」
これはAaveにとって初めての問題ではない。数日前には、Aave V3のwstETH oracle設定ミスにより、2700万ドルの過剰清算が発生し、ユーザーの不満を招いた。Aaveは迅速に修正と補償を行ったが、今回の失態はその信頼性をさらに試すものだ。AaveのTVLは依然としてDeFiトップクラスだが、連続した問題はoracle設定や清算パラメータ、UI設計の潜在的な脆弱性を露呈している。
良い面としては、Aaveの対応は迅速かつ透明性が高く、一部返金も行われている。これによりコミュニティの信頼を維持している。競合のCompoundと比較しても、市場シェアの強化につながる可能性があるが、同様の事件が頻発すれば、機関投資家の採用(例:Anchorage Digitalのリステーク統合)にブレーキがかかる恐れもある。
//////////////////
一クリックで5000万ドルが消えた—この出来事は、暗号の世界がまるでカジノのように、ルールは透明だが残酷であることを改めて教えてくれる。次の「一クリック確認」は、あなたの画面上に現れるかもしれない。私たち全員に覚えておいてほしいのは、クリックする前にもう一度、警告をよく見ることだ。