「BTCより高リターン、S&Pより低リスク」なインデックスDeFi、LOCKON Financeを深掘る｜Web3 Security Mag

※本記事はDeFiに関する内容を主に発信しますが投資アドバイスではありません。投資はご自身の判断と責任において行ってください。

Predy Financeの46万ドルエクスプロイトを取り上げた第1回に引き続き、第2回は「LOCKON Finance」を取り上げる。LOCKONは、日本人ファウンダーの窪田氏が立ち上げたプロジェクトで、現在Polygon上で展開されるインデックス系DeFiの中でも急激にTVL（預かり資産）を伸ばしている（2024年7月現在、第3位）

引用：LOCKON Finance（@LOCKONfinance） - X

TVLのスケールは、同時に求められるセキュリティレベルが高まることも意味する。今回はユーザを魅了したLOCKONのインデックストークンのメカニズム、セキュリティ、そしてLOCKONチームのプロダクト設計思想を深掘りしたインタビュー記事をお届けする。

インタビュアー：Kenta（Bunzz CEO）

インタビュアー：Kenta （Bunzz CEO）

そもそもDeFiにおける「インデックス」とは？

既存金融市場におけるインデックスは、特定の株価指数、例えば日経平均株価やS&P500などの価格に連動するよう設計された金融商品を指す。これにより個別銘柄の急激な価格変動リスクを避け、市場全体への分散投資が可能となるため、中長期の安定した投資手法として人気が高い。

DeFiにおけるインデックスも同様の特徴があり、様々な特徴を持った指数連動型の銘柄がトークンとして提供されている。窪田氏はLOCKONのインデックストークンの位置づけとして「ビットコインよりも高リターンでS&Pよりも低リスクを実現（過去の実績値に基づく）したブロックチェーンサービスです」と語った。インタビュー後、この言葉を裏付けるように、7月4日前後にビットコイン価格は24時間で3.7%下落したが、LOCKONのインデックストークンは下落前のポートフォリオリバランス（詳細後述）によって、下落率を0.49%に抑えたと発表した。

引用：LOCKON Finance（@LOCKONfinance） - X

LOCKONが組成・発行するインデックストークンのメカニズム

「LOCKONは、トレードで安定して収益を上げているウォレットアドレスを無数に解析し、リスクリターンやポートフォリオが近似しているアドレス群でインデックストークンを構成しています。ユーザーはこのトークンを購入・保有するだけで、細かいトレードをしなくても安定したキャピタルゲインを出せる仕組みになっています。

現在3種類のインデックストークンを提供してまして、それぞれアップサイド、ダウンサイドリスクのバランスにバリエーションがあり、ユーザはリスク許容度に応じて最適なトークンを選べます」（窪田氏）

（LOCKONでは現在下記の3種類のトークンが利用可能）

• Lockon Balance Index (LBI)
• Lockon Active Index (LAI)
• Lockon Passive Index (LPI)

引用：LOCKONのインデックストークン（lockon.financeより）」

また、窪田氏は「少なくとも年内にLOCKONのネイティブトークン、$LOCKのTGE（トークン発行イベント）を予定しています。これによりインデックストークンの保有者には$LOCKが配布されます」と語った。つまりインデックストークン保有によるキャピタルゲインに加え、$LOCKによるインカムゲインが得られるようになる（厳密にはステーク報酬）。

インデックストークン価格変動の仕組み

ところで、なぜLOCKONが「独自に」発行したインデックストークンが、暗号資産市場にリンクして価格変動するのだろうか。

その鍵となる技術が「Set Protocol」である。Set Protocolは2017年にローンチされた「トークンバスケット」のオープンソース規格で、複数種類の既存トークンが入った一つのバスケットを単一のERC20トークンとして表現できる。例えば、$SHIB, $PEPE, $DOGE, $FLOKIをそれぞれ25%ずつ含んだ一つのバスケットを「ミームインデックス」とし、単一トークンとして売買できる。

引用：
Felix Feng氏のブログ記事より（medium.comより）

このバスケットの価格は、バスケット内の各トークン価格から自動的かつリアルタイムに計算される。その中身は実在するトークンの束だからだ。LOCKONはこの仕組みを採用してインデックストークンの基盤を構築した。

一方で価格が既存トークンに連動するバスケットを提供するだけでは、ユーザに複数トークンのロングポジションを持たせることと変わらない。ではLOCKONのコアバリューは何か？それは「バスケット内トークンの保有率をオートリバランスする独自メカニズム」にある。

安定した収益を上げるウォレットアドレスを解析してポートフォリオを高速調整

「既存金融のインデックスとWeb3のインデックス商品の大きな違いのひとつは、ポートフォリオの調整頻度だと思います。既存金融の場合、市場の状況に合わせて年に4回くらい保有銘柄の比率が調整されます。一方でLOCKONは、収益性の高いウォレットをオンチェーン解析して、月に3,600回ほどトークン比率の調整を行っています」（窪田氏）

ブロックチェーンには全てのウォレットのトランザクション履歴が記録される。そのためオンチェーンデータを加工・分析すれば、どのウォレットがいつ何のトークンを売買し、どれほどの利益を上げたのかも分析できる。定常的に利益を出しているウォレットを追跡してコピートレードするツールが市場には数多くあるが、LOCKONではそれを無数のウォレットアドレスからコピーし、最もリスクが低くリターンが期待できるトレードを算出し、インデックストークンの中の各トークンのポートフォリオの比率を高頻度取引（HFT=High Frequency Trading）で自動調整している。つまりLOCKONのコアコンピテンシーは、複合的なオンチェーン解析により「ある一定の時間フレームにおける期待値の高いトレードのエッセンスを抽出できる技術」と言えるだろう。

インデックストークンを購入するだけでこの技術の恩恵を受けられることが、LOCKONがスケールしている要因の一つと筆者は感じた。オンチェーン解析＋HFTを行うプログラムを個人が開発することは技術的に困難だからだ。

TVLが2億円を超え、3億円も目前に控えているLOCKONだが、セキュリティのケアはどうか。記事後半ではインデックスDeFiに起こりがちな悪質なハッキングと、LOCKONのセキュリティとプロダクトの設計思想について見ていこう。

インデックス系DeFiのジャンルに起きがちなエクスプロイト

「通常のインデックスは、顧客資産を預かるカストディ型のものが多いです。そうすることでユーザから手数料型のビジネスができるからですね。一方でカストディ型のインデックスは、どこかに預かり資産をプールする必要があり、悪質なハッカーの標的にされるリスクが常にあります。その観点でLOCKONは、プロダクトの構想段階からノンカストディでインデックスを提供することを決めていました。徹底してセキュリティとリーガルを重要視しています。LOCKONのインデックストークンは常にユーザのウォレット内にあって攻撃対象となるプールが存在しません。ですので顧客資産が全損するような致命的なエクスプロイトがそもそも発生し得ない運用になっています。」（窪田氏）

セキュリティとリーガルにプライオリティを置いた設計が第一で、それをベースに収益性を高める施策を打つLOCKONの運営方針は、他のチームの中でも際立っているように感じた。なぜなら通常のDeFiプロジェクトは収益性を至上命題とした上でセキュリティをベストエフォートな範囲で高める傾向があるからだ。前回記事でも触れたように、TVLが高まるまで十分なスマートコントラクト監査を行わないプロジェクトが多数派であることがそれを示している。どちらが良い悪いではなく、どちらの運営判断もそれぞれプロコンがある。LOCKONはセキュリティに比重を置く選択をした。これはより安全なイールドを選択したいユーザにとってポジティブに映るポイントと言えるだろう。

徹底した鍵管理体制

「鍵管理もベストな運用方法を徹底的にリサーチして実行しています。まずLOCKONの重要なコントラクトのファンクションの実行は、マルチシグとコールドウォレット、KMS（AWSの鍵管理統合サービス）を併用して署名する形になります。異常検知ではGnosis Safeを使い、ダッシュボードが表示する様々なリスク値を監視してます（窪田氏）

大手バグバウンティプラットフォーム「ImmuneFi」のレポートによれば、ブロックチェーン領域におけるエクスプロイトの被害額の内訳で最も多いのは、インフラストラクチャーやその運用の穴に起因するもので、約50%と報告されている。実はコードの脆弱性を突いた攻撃よりも、ヒューマンエラーを誘発するハッキングによる経済損失のインパクトの方が遥かに大きい（下図右のパイグラフ）。最近国内で発生した大手取引所の資金流出に関しても後者のパターンである。

引用：immunefiの2022年レポート（immunefi.comより）」

LOCKONは他社のインシデントを教訓に、上記のような仕組みとツールでロバストな運用を採用している。

「オフチェーン、オンチェーンでの鍵管理の運用を前提とした上で、スマートコントラクトの開発をしているため、コードレベルでも、現場の運用レベルでもかなり堅牢だと思います」（窪田氏）

既存金融の経験が豊富なメンバーでチームビルディング

LOCKONには大手金融機関出身のメンバーも多い。もともと既存金融のインデックス商品を運用あるいは組成した経験のあるメンバーが在籍している。

「当然ですが既存金融の方が（web3に比べ）歴史が長く、インデックス商品の開発や運用のノウハウが蓄積されています。LOCKONでは、そうしたベストプラクティスを知るメンバーを採用し、既存金融レベルに近い運用をしています」（窪田氏）

LOCKONチームは、経営上必要な情報のリサーチに長けたメンバーが多く、テーマごとにまとめられた社内​​レポートの数は100を超えるという。前述の鍵管理しかり、高頻度取引におけるスリッページ（注文レートと実際の約定レートの差）を減らしていくための有効な実装方法、十分な流動性を安定的にユーザに提供するための手段等の一次情報がプロダクトの下支えになっている。

「最近ではCEXの流動性にも注目し、OES（Off-Exchange Settlemen、取引所外決済）業者のリサーチに力を入れてます。現在のところCeffuやCopper、Fireblocksなどのプロバイダーを比較してます。今後おそらく、多くのプレイヤーが、安定した大きな流動性を確保するための手段としてOESに注目していくトレンドがくると考えています」（窪田氏）

LOCKONのスマートコントラクト監査について

LOCKONは2023年のローンチから計2回、スマートコントラクトの監査を受けている。いかにロバストな運用をしていても、スマートコントラクトの脆弱性のセキュリティチェックは専門のサービスに依頼する必要がある。

第1回監査「Blaize」

「初回はBlaizeという監査ファームを利用しました。選んだ理由は価格とレピュテーションの高さです。3、40社から見積もりを取ったのですが、Blaizeは比較的安かったです。またBlaizeを利用した他の開発者の評価も高かった。ついでにレスポンスも早かったですね。彼らの監査によって発見されたクリティカルな脆弱性はありませんでしたが、より高度にコントラクトをブラッシュアップするためのポイントが発見できたので、利用して良かったと思っています」（窪田氏）

第2回監査「Bunzz Audit」

「2回目はBunzz Auditを利用しました。理由としては、初回がHuman Auditだったため、人間ではなく、AIが幅広く脆弱性を見てくれることで包括的に監査できると考えたからです。結果的に期待値通り、監査の項目が人間と比べて多かったです。こちらに関しても、クリティカルな脆弱性はなかったものの、修正が必要な箇所を複数発見できました。Human AuditとAIアシストありの監査の両方を経験した身として言える事は、どちらが良くてどちらが悪いと言うものではないということです。コントラクトを無数に監査してきた経験豊富な監査人にしか発見できない根が深い脆弱性もあれば、AIのように、これまでに発見された脆弱性パターンを全てスキャンする包括的監査が有効なコントラクトもあります。プロジェクトの目的やその時のステージによって最適な監査サービスを選ぶべきだと思います」（窪田氏）

引用：Bunzz Auditによる監査レポート（bunzz.dev/auditより）」

※Bunzz AuditによるLOCKONの監査レポートの全文はこちら

LOCKONのロードマップ

「現在は、複数の新しいインデックストークンの組成と、大手決済サービスと連携してインデックスが簡単に購入できる仕組みの開発を進めてます。前者は例えばミームコインのインデックスですね。他のインデックスよりもハイリターンが望めるものになると思います。バックテスト（トレードロジックを過去のトークンの値動きに適用した時の損益シュミレーション）の結果、理論値では優秀なリターンが出せる結果が出ました。独自トークン$LOCKのCEX上場も近づいてますので、今後のアナウンスにご注目ください。」（窪田氏）

まとめ

以上、インデックスDeFiの概要をお伝えした上で、LOCKONの取り組みをインデックス設計とセキュリティの面から深堀りしたインタビューをお届けした。筆者の個人的な所感として、チームのドメイン知識の深さと実行・実装力が印象に残った。インデックスDeFiの開発は既存金融の既存商品をチェーン上に再構築することを意味し、着想の容易さに比べて開発難度が非常に高いテーマだ。当然差別化も難しい。これをやりきるチームの実力は、何よりもプロダクトの完成度とその運用成績が物語っているように感じた。