暗号資産規制関連 Weekly News 2023/10/21-27
私は、暗号資産交換業者に対する内部管理等のコンサルティングを行っています。今週の関連ニュースを紹介します。
内部監査高度化の方向性
概要
金融庁は、大手銀行グループをモニタリングした結果を取りまとめた「金融機関の内部監査の高度化」に向けたプログレスレポート(中間報告)を公表した。
ベースは、金融庁が2019年に公表した「金融機関の内部監査の高度化に向けた現状と課題」である。
大手銀行グループ以外の金融機関においても、高度化の一助となることが期待されている。
内部監査の高度化について4つの段階(添付図Ⅰ)と3つの領域(添付図Ⅱ)が定義されている。
深堀ポイント
暗号資産交換業者の現状は、ビジネスの急拡大と法規制の急激な変化に対応するために、第一段階「事務不備監査」を達成する前に、第二段階「リスクベース監査」の要素を取り入れている傾向があると考える。
今後も外部環境と法規制の急激な変化が想定されるので、会社のリスク特性を踏まえた「リスクベース監査」を推進しつつ、一方で後回しにしている「事務不備監査」を定着させていくことが重要と考えられる。
テザー社準備資産のリアルタイム開示
Balance of USDT > https://tether.to/en/transparency/#usdt
Independent Auditor Report > https://tether.to/en/transparency/#reports
概要
Bloombergによると、テザー社は2024年にUSDT等のステーブルコインの準備資産のデータをリアルタイムで公開する計画である。
現在は、準備資産のデータを1日に1回程度更新し、四半期毎に監査法人が作成したレポートを公表している。
深堀ポイント
ステーブルコインはデペッグ(連動対象とする法定通貨の価格と乖離すること)のリスクがあるため、有効な対策となる。
保有者は、リスク管理対策として準備資産をモニタリングすることが求められる。
当該施策が1つのスタンダードとなる可能性がある。
【インシデント事例】ガバナンス攻撃
概要
Solana上の分散型取引所(DEX)であるSynthetify(シンセティファイ)は、ガバナンス攻撃を受け、約3450万円(約23万ドル)の資金が不正流出した。
今回Synthetifyが受けたガバナンス攻撃は、「プロジェクトのトレジャリーから攻撃者のアドレスへ資金を送金する」という提案をDAO上の投票で可決させるというもの。
これはDAOの活動がアクティブでないことを利用して行われた攻撃である。
流出後は、同プラットフォームの全ての機能は停止されており、スマートコントラクトも利用できないように凍結されている。
※「ガバナンス攻撃」とは、
DeFiにおける不正の1つ。
ガバナンストークンとは、DeFi等を運営するDAO(分散型自立組織)において、開発・運営にかかる意思決定の投票の権利を有するトークン。
ガバナンストークンを保有している攻撃者が、プラットフォーム上で「(攻撃者保有の)特定のアドレスに資金を送付する」と提案し、投票により意思決定することで不正流出を発生させるもの。
ガバンナンストークンの分散度合いや投票の参加率などが低いことで攻撃が成立しやすくなる。
【インシデント事例】ラグプル(出口詐欺)
概要
ブロックチェーンセキュリティ監査会社ハッケンが10月25日に発表した最新のセキュリティ報告書では、暗号資産ラグプルは、2023年第3四半期の全ハッキングのうち65%以上を占める。
※「ラグプル(出口詐欺)」とは、
トークン発行者がトークン購入者から悪意を持って資産を奪うために、プロジェクト資金を持ち逃げしたり、発行トークンの価値を押し上げたあとで売り抜けたりする行為の総称である。スマートコントラクトに不正なロジックを埋め込むケースも見られる。
直近では、10月の中国拠点のNFTプロジェクト「ラッキー・スター・カレンシー」、8月のレンディングプラットフォーム「SwirlLend」が挙げられる。