DeFi最大のプロトコルであるAaveのセキュリティチームが離脱——次に来る熊市の「黒い白鳥」に、誰が立ち向かうのか?
TechFlow厳選深潮セレクト
DeFi最大のプロトコルであるAaveのセキュリティチームが離脱——次に来る熊市の「黒い白鳥」に、誰が立ち向かうのか?
熊市において、リスク管理が真に必要とされる。
Web3業界の深掘り報道に専念し潮流を洞察著者:TechFlow
DeFi最大の貸付プロトコル「Aave」が、静かに進行中のセキュリティチームの離反に直面しています。
昨日、Chaos Labsという企業が「お別れの手紙」を公開し、Aaveとの提携終了を正式に発表しました。一般ユーザーの多くはこの名前を聞いたことがないかもしれませんが、過去3年間にわたって、あなたがAave上で行っていたすべての貸付・借入取引における担保率、清算ライン、リスクパラメーターといった重要な数値設定を担っていたのが、まさにこのChaos Labsです。
さらに同社は、「Risk Oracle」と呼ばれる自動化リスク管理システムを開発・導入しました。これは市場動向に連動してリアルタイムでパラメーターを調整できる仕組みであり、Aaveが数十のマーケットから、19のブロックチェーン上に及ぶ250以上のマーケットへと拡大するうえで不可欠な基盤となりました。3年間で数百億ドル規模のプールを管理しながら、不良債権ゼロという実績を達成しました。
要するに、Aave上で動作しているのはスマートコントラクトですが、そのコントラクト内に埋め込まれた「数字」——すなわちリスクに関するあらゆる定数や閾値——を監修・決定していたのは、常にChaos Labsだったのです。
CEOのオーマー・ゴールドバーグ氏が発表したお別れの声明は極めて丁寧なものであり、同社の成果も詳細に列挙されています。例えば、TVL(総ロックアップ価値)は52億ドルから260億ドル以上へと増加、累計預金額は2.5兆ドルを突破、清算金額は20億ドルを超えるなど……
そしてゴールドバーグ氏は、契約終了は「自発的な提案」であると明言しています。誰にも解雇されておらず、契約期間もまだ満了していません。一方、Aaveの創設者スタニ・クレチョフ氏は冷静に対応し、「プロトコルは引き続き正常に稼働しており、別のリスクサービス提供者であるLlamaRiskが今後これを引き継ぐ」と述べました。
一見すると、何事も起こっていないかのように見えます。
しかし、3年間一度も事故を起こさず、DeFi最大の貸付プロトコルのリスク管理を担ってきたチームが自発的に離脱するという事象は、伝統的金融の世界では「不吉な前兆」とみなされます。
ゴールドバーグ氏は声明の中で、「この分岐点の原因は金銭的問題ではなく、両者がリスク管理に対する根本的な理念においてすでに齟齬を来していることにある」と述べています。
予算は減り、スタッフは疲弊した
Aave Labsは人材確保のため、Chaos Labsへの年間予算を300万ドルから500万ドルへと引き上げる提案を行いました。しかし、Chaos Labsはそれでも去ることを決断しました。
ゴールドバーグ氏は声明で離脱の理由として3つの点を挙げていますが、それらはすべて同一の結論へと収束します。
第一に「金銭的問題」です。Aaveの2025年度総収益は1億4,200万ドルですが、そのうちリスク管理部門への予算配分は300万ドル、つまり全体のわずか2%に過ぎません。対照的に、伝統的銀行ではコンプライアンスおよびリスク管理に充てる予算比率は通常6~10%です。
ゴールドバーグ氏は、「過去3年間、この業務は赤字で継続されてきた。仮に予算が500万ドルに増額されても依然として損失が生じる」と説明し、妥当な最低限の予算水準は800万ドルであると主張しています。なお、Aaveの国庫には現在1億4,000万ドルが保有されており、Aave Labsは先日自ら5,000万ドル規模の資金調達提案を承認しています。つまり、プロトコル側に資金がないわけではないものの、セキュリティチームへの投資をこれほどまでに抑制しようとする姿勢が読み取れます。
第二に「業務負荷の増大」です。Aaveは現在V3からV4へのアップグレードを進めており、基盤となるアーキテクチャ、スマートコントラクト、清算ロジックのすべてが書き直されています。ゴールドバーグ氏によれば、「V4とV3の唯一の共通点は『名前』だけ」だといいます。アップグレード期間中は、新旧2つのシステムが並行して稼働しなければならず、リスク管理チームの業務量は「半減」どころか「倍増」する状況です。
第三に「責任の所在の曖昧さ」です。現時点において、DeFiにおけるリスク管理担当者の法的責任は一切定義されておらず、規制枠組みも存在せず、いわゆる「安全港条項(safe harbor provision)」もありません。順調なときは誰にも注目されず、トラブルが発生すれば真っ先に責任を問われる立場に置かれます。ゴールドバーグ氏の原話はこうです。「上昇余地は微々たるものであり、一方で下降リスクには底がなく、法的保護も皆無であるならば、このまま継続すること自体が、すでに最悪のリスク管理判断である」。
筆者はこの指摘に反論することは極めて困難だと考えます。年間収益1億4,000万ドルを誇るプロトコルが、数百億ドル規模の資産を守るチームに対して全体の2%しか予算を割り当てず、しかも業務量を倍増させ、万が一の際には法的保護も与えない——このような状況で、果たしてあなたなら続けますか?
もちろん、他方の主張も異なります。Aave Labsの創設者クレチョフ氏はX(旧Twitter)でのコメントで、Chaos Labsが最近になってリスクコンサルティング事業を縮小し、他のプロトコルとの提携も段階的に減少させていたことを示唆しています。
つまり、お別れの声明に記された諸理由は、単なる「体面ある退場のための物語」にすぎない可能性があるということです。
理念の齟齬なのか、あるいは単に「降りるタイミングを待っていた」のか——外部者がそれを正確に判断するのは不可能です。ただ一つ確かなのは、Chaos Labsだけが去ったわけではないという点です。
不景気の最中にさらなる打撃
Aaveという名称は残っていますが、その構築を支えてきた人々は、過去2か月の間に次々と離脱してしまいました。
今年2月、Aave V3のコア開発チームであるBGD Labsが契約更新をしないと発表しました。同社はAaveの元CTOであるエルネスト・ボアド氏によって設立され、V3のコードベース、ガバナンスシステム、クロスチェーン展開など、ほぼすべての基幹部分を手掛けてきました。4年にわたり貢献した末に、契約満了とともに撤退したのです。
BGDが提示した離脱理由は非常に率直です。「Aave Labsが権限を自らの手に集中化しつつあり、V4の開発、ブランド資産、ソーシャルメディアアカウントなどすべてがAave Labsの支配下に置かれている。我々は設計への関与権を持たず、結果についてのみ責任を負う立場に置かれている」と述べています。これは従来の企業組織論で言えば「形骸化(marginalization)」に他なりません。
その1か月後、Aaveのガバナンス体制で最も活発だったサービスプロバイダーACIも離脱を表明しました。この8人からなるチームは、過去3年間でAaveの全ガバナンス提案の61%を推進してきました。代表のマルク・ツェラー氏は、お別れの声明でこう率直に述べています。「Aave Labsは自らの投票権を用いて自らの予算案を可決できる。このような状況において、独立系サービスプロバイダーの存在意義はもはや消滅した」。
2か月間に2通の「お別れの手紙」——一つは「権限を奪われた」と言い、もう一つは「ゲームのルールが不公平だ」と訴えています。
そして今年3月、さらに一件の出来事が起きました。
Chaos Labsが構築したリスク管理システムに設定ミスが発生し、約2,700万ドル相当のポジションが誤って清算される事象が発生しました。少なくとも34人のユーザーが影響を受けました。Chaos Labsは「不良債権は発生していない」と説明し、被影響ユーザーには補償を行うとしています。
最終的には誰も法的責任を問われませんでした。なぜなら、DeFiの世界にはそもそも「誰がどの程度の責任を負うか」を規定する法律が存在しないからです。
しかし、数百億ドル規模の資産を管理する立場において、たった一つのパラメーター設定ミスで数千万ドルの資金が動くような環境で、法的保護がゼロであるというのは、リスク管理チームがお別れの声明で繰り返し強調した核心的な課題です。
こうして、V3時代のAaveを支えてきた4本の柱——開発、ガバナンス、リスク管理、財務成長——のうち、最初の3本がすでに崩れ落ちてしまいました。
リスク管理チームの声明には「テセウスの船」という比喩が使われています。「船のすべての木材を一枚ずつ交換していったとき、それはもはや同じ船なのか?」
Aaveという名称は健在であり、スマートコントラクトは引き続き稼働し、TVLも増加傾向にあります。しかし、コードを書くチームは去り、ガバナンスを支えるチームは去り、リスクを監視するチームも去りました。ユーザーは相変わらず普通に預金・借入を行い、おそらく船の底部で何が起きているのかすら気づかないでしょう。
この事象が本当に違和感を覚えるのは、「誰が去ったか」ではなく、「去った後に何も起こらない」という点にあります。
ユーザーがページを開き、預金し、借入し、金利は通常通り、清算も正常に行われ、すべてがこれまで通り——もしガバナンスフォーラムを定期的にチェックしていない限り、ほとんどのユーザーは過去2か月間に何が起きたのかすら知らないでしょう。
短期的には、確かに何事もないかもしれません。リスク管理チームの離職によってスマートコントラクトが停止することはありませんし、既に設定されたパラメーターが勝手に変更されることもありません。また、AaveにはLlamaRiskという別のリスクサービスプロバイダーが残っており、完全に「裸同然」の状態ではありません。
しかし、リスク管理は「一度きりの工事」ではありません。パラメーターを設定したからといってそれが永遠に適切とは限りません。市場は変化し、資産価格は変動し、ブロックチェーン上の攻撃手法も日々進化しています。次に同様の事象が起きた際に、新しく引き継いだチームがこれほど迅速かつ的確に対応できるかどうかは、誰にも保証できません。
それに加えて、現在は決して穏やかな時期ではありません。
AAVEトークン価格は昨年8月の高値356ドルから、現在約96ドルへと、70%以上も下落しています。DeFi貸付分野全体が縮小傾向にあり、チェーン上のアクティビティは低下し、プロトコルの収益も圧迫されています。
好況期にはリスク管理は「見えない存在」であり、「今日も事故が起きなかった」と称賛されることはありません。しかし、不況期こそが真の試練の時です。資産価格の激しい変動、清算の頻度増加、ブラック・スワン事象の発生確率上昇——これらすべてが、リスク管理チームの経験と即応性を最も厳しく問う局面だからです。
ところが、まさにこの最も厳しい局面において、経験豊富な専門家たちが一斉に去ってしまったのです。
リスク管理チームの声明に、筆者が特に的確だと感じた一文があります。「Aaveがより攻撃的な競合他社を打ち負かせた理由は、機能の多さではなく、『彼らが爆発したときに、Aaveだけは爆発しなかった』という一点に尽きる。この市場において、生き延びることがすなわち製品そのものである」。
問題は今、その「生き延びさせてきた人たち」が、すでにそこにいないかもしれないという点にあります。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
深潮TechFlow
