私が話すことを聞いてください、脅かしているつもりはありません。
最近、2026年のハッカー攻撃データを見ましたが、DeFiのハッキング件数は史上最高を記録しています。第1四半期だけで記録を破り、第二四半期の始まりもまた新記録を塗り替えようとしています。出典はDefiLlamaの統計、明白です。
危険な兆候を一つ教えましょう:AIは脆弱性探索のコストを地面価格まで引き下げています。以前は人間のチームが数週間かけて100のプロトコルの設定を調査し誤設定を見つけていましたが、最新の基礎モデルなら数時間で済みます。
「AIはそんなに賢くない」と考えるプロトコルも、1秒で見破られています。
「国家行為体」を恐れないでください。これらのスーパー悪党は技術に長け、資源も豊富で、非常に長期的なゲームをしています。彼らはあなたのプロトコルやインフラの隅々まで調査し、脆弱性を探します。一方、あなたのチームは六七つの事業に注意を分散させています。
私はセキュリティの専門家ではありませんが、高リスクのチーム、軍隊や大規模資金を扱う金融分野を指導した経験があります。信じているのは一つ:偏執者だけが生き残れる。
対策の考え方を話しましょう。ハッカー攻撃の表面は大きく三つに分けられます:プロトコルチーム、スマートコントラクトとインフラ、ユーザーの信頼境界(例:ソーシャルメディア)。
これら三つに対して、五層の防御を重ねます:予防、緩和、停止、奪回、復旧。予防は脆弱性をフロー上で塞ぐこと。緩和は予防失敗時に被害を制限すること。停止は攻撃発見後すぐにシャットダウンし、圧力下での判断を避けること。奪回は攻撃されたコンポーネントを放棄し、置き換えること。復旧は資金凍結や取引撤回、調査支援のパートナーを事前に準備しておくこと。
具体的にどうするか?実践的な内容をお伝えします。
最先端のAIを使ってコードベースや設定をスキャンし、レッドチームのテストを行います。攻撃者もAIを使います。あなたの防御的スキャンが見つけたものは、彼らの攻撃的スキャンですでに検出済みです。
時間と摩擦は良い防御です。損害をもたらす可能性のある操作には多段階の手順とタイムロックを追加します。過去はこれに反対してきましたが、AIのおかげでバックエンドの摩擦を通じて簡単に突破できるため、心配はいりません。
不変条件(インバリアント)が重要です。不可変の「事実」を書き留めてください——例:プロトコルのコアロジック。これらの事実が破られたら、プロトコル全体が崩壊します。ただし、多すぎると管理できなくなるため、各関数に複数の不変条件を強制実行させるのは避けてください。
権力のバランスも必要です。多くのハッキングは資金を管理するウォレットの侵害に起因します。設定は、多署名が攻撃された場合でも迅速に被害を抑え、プロトコルをガバナンス可能な状態に戻せるようにしてください。ガバナンスがすべてを決定します。救援は安定性を回復しますが、ガバナンス自体を置き換えたり覆したりはできません。
あなたは必ずハッキングされると仮定してください。あなたのような賢い人でも逃れられません。スマートコントラクトや依存関係は失効し、社会工学攻撃が襲いかかり、新しいアップグレードは脆弱性をもたらします。この前提を受け入れると、レートリミットや断路器(ブレーカー)が最も頼れるパートナーとなります。被害は5-10%に抑え、凍結し、計画を立ててください。
最良の計画時間は今です。ハッキングされる前に対策を考え、プロセスをコード化し、チームとリハーサルを行います。AI時代では、迅速に情報を提示できるスキルとアルゴリズムを持ち、コアな関係者と共有することが必要です。完璧を求める必要はありませんが、生き残る必要があります。システムは最初から完全無敵ではなく、何度も改善を重ねることで脆弱性に強くなります。ハッキングされていない証拠は、あなたが攻撃されないことを保証しません。最も安全な時が最も危険な時です。
予防策として、スマートコントラクトの設計は不変条件を捉え、それを実行時に検証する仕組みにします。FREI-PIモデル:各価値に関わる関数の終了時に、その関数が約束した王冠の不変条件を再検証します。多くのフラッシュローンサンドイッチ、オラクル支援の清算、関数間の資金流出は、関数終了時の検査で捕捉可能です。
状態化のファジングテストは、プロトコルの完全な公開表面に対してランダムな呼び出しシーケンスを生成し、各ステップで不変条件を断言します。多くの本番環境の脆弱性は複数の取引にまたがるため、状態化のファジングテストは攻撃者よりも先に経路を発見する最も信頼できる方法です。形式検証と併用すれば、すべての到達可能な状態で属性が成立することを証明できます。
オラクルや依存関係は安全の大敵です。外部依存は攻撃面を拡大します。信頼の選択権をユーザーに委ねる設計原語を採用してください。依存関係を排除できない場合は、多元化し、単一故障点がプロトコルを破壊しないようにします。監査範囲も、オラクルや依存関係の失敗を模擬し、災害を引き起こす可能性を制限する必要があります。最近のKelpDAOの脆弱性は例です——彼らはLayerZeroのデフォルト設定requiredDVNCount=1を継承していましたが、この設定は監査範囲外で、最終的に攻撃されたのはオフチェーンのインフラでした。
表面攻撃はすでに列挙済みです。各カテゴリを一つずつ確認し、自分のプロトコルに適用できるかどうかを判断し、コントロールを実施してください。レッドチームのスキルを育成し、AIエージェントに積極的に脆弱性を探させることも基本的な要件です。
原生的な救援能力を持つこと。投票に基づくガバナンスでは、権力は多署名のチームに集中し、拡散には時間がかかります。「ガーディアンウォレット」を導入し、厳格な権限を付与します:協定の一時停止のみ可能で、閾値>=4/7の下で、損傷した資産を事前定義のウォレットに委任し、交換できる仕組みです。ガーディアンはガバナンス提案を実行できません。これにより、救援層を持ちつつ、ガバナンスを覆す権限は持たない状態を作れます。
ウォレットと鍵のトポロジーは、多署名最低4/7。単一の人物がすべての7つの鍵を制御しない。頻繁に署名者を交代させ、静かに進める。鍵は日常のデバイスと絶対に連携させない。もし署名デバイスでインターネット閲覧やメール送受信、Slackの開封をしているなら、その署名者はすでに攻撃されているとみなしてください。複数の多署名を持ち、それぞれ異なる用途に使います。少なくとも一つの完全な多署名が攻撃された場合を想定し、その先の計画を立ててください。
バグバウンティは十分に寛大に。資金があれば、プロトコルのTVLに対して高額な賞金を設定し、最低7-8桁の報酬を用意します。国家行為体に直面した場合、交渉は難しいかもしれませんが、ホワイトハットのセキュリティプログラムに参加させ、ホワイトハット代表として行動させることも可能です。
監査の価値は依然として高いです。優秀な監査人は先を行きます。新しい仕組みを作るとき、コードの脆弱性は訓練データに含まれないこともあります。Tokenの増加だけでは十分ではありません。独自の脆弱性の最初のサンプルにならないようにしましょう。監査人を雇うことは、彼らの評判を担保にすることでもあります——彼らが署名し承認したのにあなたが攻撃された場合、彼らは強く支援してくれるはずです。
操作の安全性は成功の指標です。フィッシング演習を行い、レッドチームによる社会工学攻撃を仕掛けます。予備のハードウェアウォレットやデバイスを準備し、全多署名を置き換える準備も忘れずに。
緩和策として、退出経路の損失上限を設定します。価値を移動させる経路の最大損失額を事前に決めておきます。各ブロックごとの発行上限のないトークン関数は無限発行の白紙委任状です。資産の引き出し関数に週上限がなければ、資産残高の破損した白紙委任状です。退出経路の明確な数値を慎重に検討し、最大損害とユーザのUXの最適化のバランスを取ってください。
ホワイトリストとブラックリストは正式に管理します。二段階のsetterを設定し、摩擦を生み出します。攻撃者はまずホワイトリストに追加し、その後ブラックリストから除外して行動します。同時に両方を持つことで、攻撃者は二つのプロセスを突破しなければなりません。
奪回策にはアルゴリズムによる監視を導入します。オフチェーンの監視システムが不変条件を継続的に監視し、問題があれば自動的にアラートを上げる仕組みです。最終的には、守護者の多署名を持つ人間の手に渡り、十分なコンテキストを提供して数分以内に判断できる状態にします。
もし攻撃を受けたら、まず止血です。「一時停止」用の補助スクリプトを準備し、すべての停止可能なコンポーネントを原子化して停止させます。ガバナンスだけが停止解除を行え、殺しスイッチはガバナンスコントラクト自体を停止できません。守護者層がガバナンスを停止できる場合、攻撃された守護者は永久に復旧プロセスをロックします。
戦況室を立ち上げます。凍結と止血を行い、信頼できる人々を小さなグループに集め、情報漏洩を防ぎます。役割分担:意思決定者、操作を行う担当者、脆弱性を再構築する人、コミュニケーション担当、イベントのタイムライン記録者。
連鎖反応も考慮します。最初の脆弱性はおとりであり、その後の攻撃の種をまきます。停止は十分に調査し、完全にコントロールできる状態にします。全プロトコルの凍結を行い、あるコンポーネントの停止が別のコンポーネントの開放につながることを防ぎます。根本原因を突き止めたら、隣接する露出面や連鎖反応を探索し、一度に修復します。
事前に承認された後継者の交代を計画します。後継者を事前に知っていることが安全な交代の条件です。重要な役割ごとに後継者のアドレスを登録します。緊急時に唯一実行可能な原語は、「役割Xを後継者に置き換える」です。
アップグレード前には慎重にテストします。影響範囲が判明したら、アップグレードは小規模に行います。これは最も危険なコードです——プレッシャー下で書かれ、すでにあなたを攻撃できる攻撃者に対して作られています。時間がなく監査できない場合は、ホワイトハットの関係を頼るか、48時間のコンテストを設定してください。
復旧の行動は迅速に。盗まれた資金には半減期があり、すぐにマネーロンダリングのルートに入ります。Chainalysisなどのオンチェーン分析ツールを事前に準備し、攻撃者のアドレス群をリアルタイムでマークし、取引所に凍結を通知します。第三者リストも用意します:取引所のコンプライアンス部門、クロスチェーンブリッジの管理者、ホスティング管理者など。
交渉も必要です。攻撃者と対話を試みてください。期限付きのホワイトハット賞金を提供し、期限内に全額返還すれば法的措置を取らないと公表します。国家行為体に対しては運が悪いかもしれませんが、未熟な攻撃者には低コストで逃げられることもあります。ただし、必ず法律顧問を同席させてください。
結論は厳しいです:ハッカー攻撃は止まりません。AIが賢くなるほど攻撃は増えます。防御側を「より敏感に」するだけでは不十分です。攻撃者と同じツールを使い、レッドチームのテストを行い、継続的に監視し、被害に硬い制限を設けることで、最悪の事態でも生き残ることができるのです。
あなたのポジションはあなた自身で判断してください。
371.59K 人気度
275.93K 人気度
36.21K 人気度
703.82K 人気度
139.54M 人気度
核弾級!AIハッカーがあなたのDeFiポジションを秒殺している、3つの「不変量」はあなたを救えるか?
私が話すことを聞いてください、脅かしているつもりはありません。
最近、2026年のハッカー攻撃データを見ましたが、DeFiのハッキング件数は史上最高を記録しています。第1四半期だけで記録を破り、第二四半期の始まりもまた新記録を塗り替えようとしています。出典はDefiLlamaの統計、明白です。
危険な兆候を一つ教えましょう:AIは脆弱性探索のコストを地面価格まで引き下げています。以前は人間のチームが数週間かけて100のプロトコルの設定を調査し誤設定を見つけていましたが、最新の基礎モデルなら数時間で済みます。
「AIはそんなに賢くない」と考えるプロトコルも、1秒で見破られています。
「国家行為体」を恐れないでください。これらのスーパー悪党は技術に長け、資源も豊富で、非常に長期的なゲームをしています。彼らはあなたのプロトコルやインフラの隅々まで調査し、脆弱性を探します。一方、あなたのチームは六七つの事業に注意を分散させています。
私はセキュリティの専門家ではありませんが、高リスクのチーム、軍隊や大規模資金を扱う金融分野を指導した経験があります。信じているのは一つ:偏執者だけが生き残れる。
対策の考え方を話しましょう。ハッカー攻撃の表面は大きく三つに分けられます:プロトコルチーム、スマートコントラクトとインフラ、ユーザーの信頼境界(例:ソーシャルメディア)。
これら三つに対して、五層の防御を重ねます:予防、緩和、停止、奪回、復旧。予防は脆弱性をフロー上で塞ぐこと。緩和は予防失敗時に被害を制限すること。停止は攻撃発見後すぐにシャットダウンし、圧力下での判断を避けること。奪回は攻撃されたコンポーネントを放棄し、置き換えること。復旧は資金凍結や取引撤回、調査支援のパートナーを事前に準備しておくこと。
具体的にどうするか?実践的な内容をお伝えします。
最先端のAIを使ってコードベースや設定をスキャンし、レッドチームのテストを行います。攻撃者もAIを使います。あなたの防御的スキャンが見つけたものは、彼らの攻撃的スキャンですでに検出済みです。
時間と摩擦は良い防御です。損害をもたらす可能性のある操作には多段階の手順とタイムロックを追加します。過去はこれに反対してきましたが、AIのおかげでバックエンドの摩擦を通じて簡単に突破できるため、心配はいりません。
不変条件(インバリアント)が重要です。不可変の「事実」を書き留めてください——例:プロトコルのコアロジック。これらの事実が破られたら、プロトコル全体が崩壊します。ただし、多すぎると管理できなくなるため、各関数に複数の不変条件を強制実行させるのは避けてください。
権力のバランスも必要です。多くのハッキングは資金を管理するウォレットの侵害に起因します。設定は、多署名が攻撃された場合でも迅速に被害を抑え、プロトコルをガバナンス可能な状態に戻せるようにしてください。ガバナンスがすべてを決定します。救援は安定性を回復しますが、ガバナンス自体を置き換えたり覆したりはできません。
あなたは必ずハッキングされると仮定してください。あなたのような賢い人でも逃れられません。スマートコントラクトや依存関係は失効し、社会工学攻撃が襲いかかり、新しいアップグレードは脆弱性をもたらします。この前提を受け入れると、レートリミットや断路器(ブレーカー)が最も頼れるパートナーとなります。被害は5-10%に抑え、凍結し、計画を立ててください。
最良の計画時間は今です。ハッキングされる前に対策を考え、プロセスをコード化し、チームとリハーサルを行います。AI時代では、迅速に情報を提示できるスキルとアルゴリズムを持ち、コアな関係者と共有することが必要です。完璧を求める必要はありませんが、生き残る必要があります。システムは最初から完全無敵ではなく、何度も改善を重ねることで脆弱性に強くなります。ハッキングされていない証拠は、あなたが攻撃されないことを保証しません。最も安全な時が最も危険な時です。
予防策として、スマートコントラクトの設計は不変条件を捉え、それを実行時に検証する仕組みにします。FREI-PIモデル:各価値に関わる関数の終了時に、その関数が約束した王冠の不変条件を再検証します。多くのフラッシュローンサンドイッチ、オラクル支援の清算、関数間の資金流出は、関数終了時の検査で捕捉可能です。
状態化のファジングテストは、プロトコルの完全な公開表面に対してランダムな呼び出しシーケンスを生成し、各ステップで不変条件を断言します。多くの本番環境の脆弱性は複数の取引にまたがるため、状態化のファジングテストは攻撃者よりも先に経路を発見する最も信頼できる方法です。形式検証と併用すれば、すべての到達可能な状態で属性が成立することを証明できます。
オラクルや依存関係は安全の大敵です。外部依存は攻撃面を拡大します。信頼の選択権をユーザーに委ねる設計原語を採用してください。依存関係を排除できない場合は、多元化し、単一故障点がプロトコルを破壊しないようにします。監査範囲も、オラクルや依存関係の失敗を模擬し、災害を引き起こす可能性を制限する必要があります。最近のKelpDAOの脆弱性は例です——彼らはLayerZeroのデフォルト設定requiredDVNCount=1を継承していましたが、この設定は監査範囲外で、最終的に攻撃されたのはオフチェーンのインフラでした。
表面攻撃はすでに列挙済みです。各カテゴリを一つずつ確認し、自分のプロトコルに適用できるかどうかを判断し、コントロールを実施してください。レッドチームのスキルを育成し、AIエージェントに積極的に脆弱性を探させることも基本的な要件です。
原生的な救援能力を持つこと。投票に基づくガバナンスでは、権力は多署名のチームに集中し、拡散には時間がかかります。「ガーディアンウォレット」を導入し、厳格な権限を付与します:協定の一時停止のみ可能で、閾値>=4/7の下で、損傷した資産を事前定義のウォレットに委任し、交換できる仕組みです。ガーディアンはガバナンス提案を実行できません。これにより、救援層を持ちつつ、ガバナンスを覆す権限は持たない状態を作れます。
ウォレットと鍵のトポロジーは、多署名最低4/7。単一の人物がすべての7つの鍵を制御しない。頻繁に署名者を交代させ、静かに進める。鍵は日常のデバイスと絶対に連携させない。もし署名デバイスでインターネット閲覧やメール送受信、Slackの開封をしているなら、その署名者はすでに攻撃されているとみなしてください。複数の多署名を持ち、それぞれ異なる用途に使います。少なくとも一つの完全な多署名が攻撃された場合を想定し、その先の計画を立ててください。
バグバウンティは十分に寛大に。資金があれば、プロトコルのTVLに対して高額な賞金を設定し、最低7-8桁の報酬を用意します。国家行為体に直面した場合、交渉は難しいかもしれませんが、ホワイトハットのセキュリティプログラムに参加させ、ホワイトハット代表として行動させることも可能です。
監査の価値は依然として高いです。優秀な監査人は先を行きます。新しい仕組みを作るとき、コードの脆弱性は訓練データに含まれないこともあります。Tokenの増加だけでは十分ではありません。独自の脆弱性の最初のサンプルにならないようにしましょう。監査人を雇うことは、彼らの評判を担保にすることでもあります——彼らが署名し承認したのにあなたが攻撃された場合、彼らは強く支援してくれるはずです。
操作の安全性は成功の指標です。フィッシング演習を行い、レッドチームによる社会工学攻撃を仕掛けます。予備のハードウェアウォレットやデバイスを準備し、全多署名を置き換える準備も忘れずに。
緩和策として、退出経路の損失上限を設定します。価値を移動させる経路の最大損失額を事前に決めておきます。各ブロックごとの発行上限のないトークン関数は無限発行の白紙委任状です。資産の引き出し関数に週上限がなければ、資産残高の破損した白紙委任状です。退出経路の明確な数値を慎重に検討し、最大損害とユーザのUXの最適化のバランスを取ってください。
ホワイトリストとブラックリストは正式に管理します。二段階のsetterを設定し、摩擦を生み出します。攻撃者はまずホワイトリストに追加し、その後ブラックリストから除外して行動します。同時に両方を持つことで、攻撃者は二つのプロセスを突破しなければなりません。
奪回策にはアルゴリズムによる監視を導入します。オフチェーンの監視システムが不変条件を継続的に監視し、問題があれば自動的にアラートを上げる仕組みです。最終的には、守護者の多署名を持つ人間の手に渡り、十分なコンテキストを提供して数分以内に判断できる状態にします。
もし攻撃を受けたら、まず止血です。「一時停止」用の補助スクリプトを準備し、すべての停止可能なコンポーネントを原子化して停止させます。ガバナンスだけが停止解除を行え、殺しスイッチはガバナンスコントラクト自体を停止できません。守護者層がガバナンスを停止できる場合、攻撃された守護者は永久に復旧プロセスをロックします。
戦況室を立ち上げます。凍結と止血を行い、信頼できる人々を小さなグループに集め、情報漏洩を防ぎます。役割分担:意思決定者、操作を行う担当者、脆弱性を再構築する人、コミュニケーション担当、イベントのタイムライン記録者。
連鎖反応も考慮します。最初の脆弱性はおとりであり、その後の攻撃の種をまきます。停止は十分に調査し、完全にコントロールできる状態にします。全プロトコルの凍結を行い、あるコンポーネントの停止が別のコンポーネントの開放につながることを防ぎます。根本原因を突き止めたら、隣接する露出面や連鎖反応を探索し、一度に修復します。
事前に承認された後継者の交代を計画します。後継者を事前に知っていることが安全な交代の条件です。重要な役割ごとに後継者のアドレスを登録します。緊急時に唯一実行可能な原語は、「役割Xを後継者に置き換える」です。
アップグレード前には慎重にテストします。影響範囲が判明したら、アップグレードは小規模に行います。これは最も危険なコードです——プレッシャー下で書かれ、すでにあなたを攻撃できる攻撃者に対して作られています。時間がなく監査できない場合は、ホワイトハットの関係を頼るか、48時間のコンテストを設定してください。
復旧の行動は迅速に。盗まれた資金には半減期があり、すぐにマネーロンダリングのルートに入ります。Chainalysisなどのオンチェーン分析ツールを事前に準備し、攻撃者のアドレス群をリアルタイムでマークし、取引所に凍結を通知します。第三者リストも用意します:取引所のコンプライアンス部門、クロスチェーンブリッジの管理者、ホスティング管理者など。
交渉も必要です。攻撃者と対話を試みてください。期限付きのホワイトハット賞金を提供し、期限内に全額返還すれば法的措置を取らないと公表します。国家行為体に対しては運が悪いかもしれませんが、未熟な攻撃者には低コストで逃げられることもあります。ただし、必ず法律顧問を同席させてください。
結論は厳しいです:ハッカー攻撃は止まりません。AIが賢くなるほど攻撃は増えます。防御側を「より敏感に」するだけでは不十分です。攻撃者と同じツールを使い、レッドチームのテストを行い、継続的に監視し、被害に硬い制限を設けることで、最悪の事態でも生き残ることができるのです。
あなたのポジションはあなた自身で判断してください。