私は数ヶ月前にResolvプロトコルで起きたかなり深刻な出来事について読んだばかりで、これはコメントする価値があると思います。2025年3月、彼らは未承認の状態で$80 万のUSRTOKENSを発行してしまうハッキング被害に遭ったことを確認しました。驚くべきは、実際に確認された損失額ははるかに少なく、約50万ドル程度だったことですが、この事件は多くの人が正しく理解していないことを露呈しています。

何が起きたかというと、攻撃者は権限のある発行用の秘密鍵にアクセスを得ました。その鍵を使って、根拠なく80百万のUSRTOKENSを作り出したのです。Resolvのチームは迅速に対応し、スマートコントラクトを即座に停止し、不正に発行されたトークン約900万を焼却しました。基本的には、何か大きな被害が拡大する前に封じ込めた形です。

興味深いのは、この事件はスマートコントラクト自体のコードの欠陥ではなく、オフチェーンのインフラストラクチャ、つまり管理者権限を制御する部分のハッキングだった点です。ここに重要なポイントがあります：管理者用の秘密鍵のセキュリティは、多くの人が過小評価している重要な要素です。一つの鍵が漏洩すると、プロトコル全体を崩壊させる可能性があります。

セキュリティの専門家たちは何年も前から同じことを言っています：多重署名、ハードウェアセキュリティモジュール（HSM）、定期的な鍵のローテーションが必要だと。Resolvはおそらくフィッシング攻撃や開発者のマシンに感染したマルウェアなど、標的型の攻撃を受けた可能性があります。鍵の抽出方法は正確にはわかりませんが、フォレンジック調査が明らかにするはずです。

USRTOKENSについては、これはアルゴリズム型のステーブルコインであり、USDCやDAIのような担保を持つものではありません。アルゴリズムとプロトコルの流動性メカニズムに依存して価格を維持しています。突然80百万の裏付けのないトークンが出現したときの売り圧力は非常に強烈です。だからこそ、緊急対応の重要性が高まったのです。

DeFiの他の著名なハッキングと比較すると、Poly Networkは2021年に$611M 、Wormhole Bridgeは2022年に$326M 、Ronin Bridgeも2022年に$625M 被害を受けました。その中でResolvが損失を$500K に抑えたことは、運用面で良い対応をした証拠ですが、ハッキング自体が起きた事実は変わりません。

私が特に強調したいのは、これはすでに規制当局がステーブルコインに注目し始めているタイミングで起きた事件だということです。こうしたインシデントは、より厳しい監督を求める口実となります。一部の人は、これを分散型システムにはより多くの保護が必要だと示す証拠と見なしていますが、他方では、ブロックチェーンの透明性と迅速な対応こそが最大の利点だと主張する意見もあります。

DeFiエコシステム全体にとって、この事件は明白だけれども忘れがちな教訓を再確認させます：技術革新だけではなく、堅牢な運用セキュリティがなければ破綻します。将来的には、より高度な監視システムや、自動的に異常を検知して人間の介入を待たずに動作するサーキットブレーカーの導入が進むでしょう。

Resolvプロトコルのハッキングから得られる教訓は明確です：スマートコントラクトの監査は必要ですが、それだけでは不十分です。インフラのセキュリティ、鍵の管理、運用手順なども同じくらい重要です。もし、最高のコードを書いても、秘密鍵が付箋紙に書かれているようでは、問題は避けられません。