仮想通貨利用の分散型金融業Compound、セキュリティ監査で高評価

分散システムのセキュリティ監査を行う米OpenZeppelin（以下、ツェッペリン）は8月28日、分散型金融（DeFi）の一種としてレンディングプラットフォームを提供するCompound（コンパウンド）の監査結果を公表した。ツェッペリンの監査チームはCompoundのセキュリティと実装に関して、高い水準にあると評価。システムと金銭の動きについて検証し、公平な仕組みだと述べている。

Compoundは、仲介業者なしで仮想通貨の貸し借りを行うことを目的とする分散型金融（DeFi）システム。DeFiとしての規模はMakerに次ぐ2位。ConsenSysの発表によると、7月30日時点で7500万ドルをロックしている。

Ethereumネットワーク上でERC20トークンを用いるスマートコントラクトにより、レンディングの仕組みを自動化。プラットフォームとして提供している。貸付金は資金プールとして運用され、貸付額に比例した利子の分配が行われる。一般的なレンディングと異なり貸付期間の制約はない。流動性の保証がなく、代わりに変動金利で貸し手と借り手のバランスが保たれるという。

ツェッペリンはCompoundのスマートコントラクトの安全性を検証した。致命的な欠陥は1つもなかったが、重大性が大きい問題を2つ、重大性が中から小程度の問題を複数発見している。このうち、重大性が大きい問題は、限られた状況でユーザーに不利益をもたらす可能性があった。Compoundの開発チームは発見された問題を理解し、修正を行ったとのこと。

重大性の大きい問題の1つは「無利子ローン」という攻撃が発生する可能性を持っていた。これは、大量のガス代（トランザクション手数料）が発生するものの、小規模・短期間・無利子のローンを組めるという利息計算の欠陥だ。複数回繰り返した後に口座を統合することで大規模・長期間の無利子ローンへとスケールすることができる。なお、ガス代が膨大になるため、マイナー以外は有効な攻撃手段として実行することができない問題だった。

もう1つは「逆効果インセンティブ」というプロトコルの欠陥。本来は借り手の流動性を向上させ、支払い不能リスクを軽減するための仕組みだが、逆に借り手を破産に追い込んでしまう場合があったという。