DeFi融資大手Aave、設計が悪用され約2.4億円の貸し倒れ

Aaveでの取引戦略

主要なDeFi（分散型金融）レンディングプロトコルAaveが、その基本構造の隙を突く攻撃により約2.4億円（170万ドル）の不良債権を抱える事態が発生した。

攻撃の実行者は、過去に別のDeFiプロトコルMango Marketsへの攻撃で約70億円の収益を得ていたアブラハム・アイゼンバーグ氏であることが各種データから指摘されている。

手法について簡略化すると、攻撃者はAaveで大量のCRV（分散型取引所Curveのトークン）を借り入れ、売却して得たUSDCを再度Aaveにデポジットして再度CRVを借り入れる。この作業を繰り返してCRVの価値を徐々に下落させ、その後買い戻しに転じたとされる。

ブロックチェーン分析会社のArkhamによると、攻撃者は6日かけて、約90億円（6,360万ドル）相当のUSDCを担保に約9,200万CRV（5,000万ドル強）のショートポジション（売り建て）を築いたという。

Rehypothecation is the word of the day, and now we see @avi_eisen's profitable trading strategy in action.

Since 1 week ago, he built up total positions on AAVE of over $100 million.

He started all this with under $40 million.

Here's why this is very dangerous for AAVE👇 pic.twitter.com/HQ41yPgwXe

— Arkham | Crypto Intelligence (@ArkhamIntel) November 22, 2022

AaveではUSDCを担保に評価額の87%まで資産を借りられる。そして、CRVの価格が閾値まで上昇するとAaveの清算ボットが発動し、担保のUSDCを清算してCRVを市場で買い戻そうとする。

しかし、DEX市場にCRVの十分な流動性はないため、買い戻しプロセスに合計50分以上かかり、385回に分けて清算トランザクションが決済された。結果的に、価格の急変動による差（スリッページ）が生じて、Aaveには264万CRV（約170万ドル）の不良債権が残された。

6日間の継続的な売却、おそらく攻撃者の買い仕掛けによる反転上昇、そして清算ボットの買い戻しにより、CRVトークンは過去1週間に以下のような価格変動を示している。22日未明には、最低値0.4ドルから最大値0.7ドルまで75%上昇した。

関連：先週不正流出したMango Markets、被害者に返済計画

Aaveの対応

なお、攻撃者は初めからローンを返済するつもりはなかったと見られ、ショートと併せてロング・ポジション（買い建て）を同時に有し、年利約600%もの借り入れコストと担保USDCの損失を差し引いても、わずかながら収益を得た可能性が指摘されている。

アブラハム・アイゼンバーグ氏は過去にAaveの構造上の欠陥に関する攻撃設計図を公表しており、本件はそれを実演したものと見受けられる。

Crypto Twitter has been ablaze with discussion of a potential attack, or "profitable trading strategy" on @aaveaave by @avi_eisen.

This kind of exploit could threaten not just Aave but lending protocols in general.

Here’s how it could have worked, step by step 👇 pic.twitter.com/fIUMQEzk8F

— Arkham | Crypto Intelligence (@ArkhamIntel) October 25, 2022

同氏はこの作業を「Profitable Trading Strategy（有益な取引戦略）」と呼んで「攻撃」と区別しているが、より重要な問題はAaveの他のプールや別のレンディングプロトコルでも通用してしまうことである。

1/6 We want to address the cycle of liquidations that occurred in the CRV pool on the Aave Protocol today. The liquidations were successful (and worked as designed), but unfortunately, the size of the position left some excess debt within the protocol.

— Aave (@AaveAave) November 22, 2022

一方、Aaveチームは、CRVプールの不良債権は、プロトコルのトレジャリー（財務）でカバーできると述べている。今回の事件を受けて、USDC担保のローン率の引き下げ、流動性の低いトークンの借り入れ上限、ローンレバレッジの抑制などの対策が既に提案されており、Aaveコミュニティで議論していくとツイートで述べている。

関連：AaveDAO、v3開発貢献者に約2,200万円の事後報酬を検討へ