_原文翻译:登链社区_### 内容概要と導読:過去一年でDeFiによる損失は約10億ドルに達し、実質的な大規模損失はもはやコントラクトコードの脆弱性だけに起因せず、権限管理、署名フロー、ソーシャルエンジニアリング攻撃、サードパーティインフラ、クロスチェーンの可組み合わせリスクに由来している。TradFiの運用レジリエンス、三層防御、緊急凍結、リスクデータガバナンス、資産アクセス審査を参考にし、AI支援のセキュリティ分析を組み合わせることで、オープン性と可組み合わせ性を維持しつつ、ユーザ資金の安全性を高めることができる。我々は本来損失しなくてもよかった十億ドル過去12か月で、DeFi事故により約10億ドルが失われたが、その大部分は事前に修復策が議論されていた攻撃ベクトルによるものであった。最大の損失は、特権アクセス、署名ワークフロー、ソーシャルエンジニアリング、サードパーティインフラに起因し、孤立したスマートコントラクトのバグではなかった。しかし、これらの修復策はDeFiのドキュメントにはなく、銀行のリスク管理マニュアル、エンジニアリングのレジリエンス研究、そして伝統的金融の長年にわたる運用プレイブックに存在している。Kelpは最も明確な例だ。### 1つの検証者。1つの故障点。Kelpのエクスプロイトはスマートコントラクトのバグではない。根本原因は、@KelpDAOがLayerZeroブリッジ上で1-of-1の分散型検証者ネットワーク(DVN)構成を選択したことにある。攻撃者は北朝鮮のサイバー犯罪集団Lazarus Groupと関係があるとされるが、DVN自体を攻撃したわけではない。まずLayerZeroのDVNが依存するRPCプロバイダーを特定し、そのうち2つを攻撃して偽のデータを返させた。次に、残るプロバイダーにDDoS攻撃を仕掛け、システムを故障に追い込み、攻撃されたものにフェイルオーバーさせた。善意の前提のもと、DVNは偽のクロスチェーンメッセージに署名した——他の検証者が結果を検証しなかったため、この署名だけで十分だった。**1つの検証者。1つの故障点。**116,500 rsETHがEthereumのLayerZeroのOFTアダプター(複数のブロックチェーン間のトークン管理)から攻撃者に解放され、十六のL2上のrsETH OFTが裏付けを失った。攻撃者はEthereum側のrsETHを担保としてAave、Compound、Eulerに預け入れ、それを担保に2億3600万ドルのWETHを借り出した。これに気付いた時点で、すべてのL2上のrsETH保有者は、すでに空になったロックボックスの請求権を持つことになった。この明白なリスクは12日前に既に指摘されていた。4月6日、@get_truenorthのエンジニア@liliangjya5がオープンソースのClaude Codeスキルを公開し、DVN構成の不透明さを指摘。16のチェーンにおける単点故障の最大リスクとして挙げ、2022年のRoninやHarmonyブリッジのエクスプロイトと比較した。コミットのタイムスタンプは公開されており、誰でも確認できる。[]KelpはDVNの閾値を一度も公開していない。LayerZeroはインテグレーションのチェックリストでマルチDVN構成を推奨しているが、Kelpは依然として1-of-1を選択した。公開を強制されたわけでも、修正を強要されたわけでもない。12日後、2億9200万ドルが失われた。### 過去12か月でDeFiは否定できないKelpのエクスプロイトは最大だが、唯一ではない。* 2週間前の4月1日、**Drift**は数か月にわたるソーシャルエンジニアリング攻撃の末に2億8500万ドルを失った。攻撃者はSolanaのdurable noncesを利用し、有効な管理者署名を取得、価値のないトークンのホワイトリストを担保化し、実資産を掏り出した。少なくとも他の20以上のプロトコルも影響を受けている。事故後のリコンストラクションでは、専用署名者デバイス、管理者操作のタイムロック、再構築されたガバナンスマルチシグを導入している。 * 3月22日、**Resolv**はオフチェーンインフラの攻撃を受けた。攻撃者はサードパーティの侵入点からResolvのGitHubとクラウド環境に横展開し、ミンティングの署名権限を奪取、8千万枚の裏付けのないUSRを鋳造し、2500万ドルのETHを盗んだ。スマートコントラクトは正常だったが、特権キーと運用スタックの脆弱性が原因。 * 3月10日、**Aave**のリスクツールが2つのオラクルパラメータの不整合を検知し、約2600万ドルの清算を引き起こした。34アカウントが巻き込まれ、wstETHの価格は2.85%下落。悪意のある行為者やエクスプロイトはなく、善意の設定変更によるものであったが、ホストileなシナリオを想定していなかった。 * 2026年前後には、**Cetus**がSui上で2.23億ドルを失い、**Cork**は複数の監査後にwstETHで1200万ドルを失い、**Balancer**は11月に1.2億ドル超の損失、**Aerodrome**はスマートコントラクトの脆弱性ではなく、ドメイン登録業者のDNSハイジャックにより100万ドル超を失った。再度強調するが、コントラクト自体は被害を受けていない。フィッシングページが最後の一撃を与えた。これらを合計すると、ほぼ10億ドルの損失となる。事故の直接原因は異なるが、あるパターンが形成されつつある。### これらのエクスプロイトはオフチェーンに移行しているスマートコントラクトのリスクは消えていない——Cetus、Cork、Balancerはすべてオンチェーンのロジック失敗だ。Invariant testing、adversarial simulation、formal verificationをオプションと考えるプロトコルは、リリース一回分の失敗を経験するだけだ。しかし、これはもはや物語の本筋ではない。暗号全体を見ると、Chainalysisの推計によると、2025年には65億ドル以上が盗まれ、そのうちの上位3つのハックだけで損失の69%を占める。前述のとおり、最大の損失は特権アクセス、署名フロー、ソーシャルエンジニアリング、サードパーティインフラに起因し、孤立したスマートコントラクトのバグではない。これを私は三つの異なる失敗パターンと見なしている:**Code layer、Control plane、Composability**。2. **Code**はDeFiの中で最も防御に優れた層だが、それでも未解決の問題が残る。fuzzing、静的・動的解析、formal verification、バグバウンティ、監査、Invariant testing——これらは今や真剣なチームなら誰もが知っている基本的な手法だ。4. **Control plane**はDeFiが伝統的金融より少なくとも10年遅れている部分。署名デバイス、キーのローテーション、特権アクセスの審査、CI/CDの証跡、DNSの強化、ドメイン登録者のセキュリティ。ほとんどのプロトコルはこれらの表面だけのインベントリすら持っていないし、制御もできていない。6. **Composability**はDeFiの最大の強みの一つだが、最も過小評価されているリスクももたらす——あるレンディングマーケットがラップされた資産をリストしたとき、それはブリッジの故障モードを自分の故障モードに変えることになる。担保付き負債ポジションがLiquid Staking Tokenを受け入れると、その発行者のガバナンス遅延を継承する。AaveはKelpのコードを一行も書いていないが、Kelpの失敗による損害を引き継いでいる——これもまた、ガバナンスの問題を露呈している。もしあるプロトコルが、自らの資産の圧力下での評価、凍結、ヘアカット、清算ができない担保をリストした場合、それは実質的にその資産のテールリスクを自らのバランスシートに持ち込むことになる。たとえ財務委員会の承認があっても。### 伝統的金融はすでにプレイブックを書き上げている「DeFiをより伝統的金融に近づける」議論は、往々にして誤った方向に進む。暗号界の直感は、伝統的金融に近づくことは遅くなり、よりカストディアルで、許可制になり、規制も増えることだ。[]しかし、私はこれが誤りだと考える。伝統的金融は完璧ではないが、permissioningよりも遥かに有用な仕組みをいくつも考案してきた。破壊の中で重要なシステムを運用する方法、これらの枠組みはすでに存在している。何十年にもわたる銀行倒産、取引中断、サイバー攻撃、運用事故を通じて、耐性テストを受けてきた。具体例:* **NIST Cybersecurity Framework 2.0**は、GovernをIdentify、Protect、Detect、Respond、Recoverと並列のコア機能に昇格させた。 * **Basel Committee on Banking Supervision**は、operational resilienceを、disruption時に重要な業務を継続できる能力と定義。 * **英国金融行動監督機構(FCA)**は、企業に重要なビジネスサービスを特定させ、影響許容度を設定し、disruptionがこれらの閾値を超えるかどうかをテストさせる。 * **Internal Auditors Institute**は、Three Linesモデルを通じて、管理、リスクチャレンジ、独立した保証を分離。これらはすべて、伝統的金融の資産負債表や許可を必要としない。これらの考え方はDeFiに移植可能だ。安全なDeFiは、銀行になることを意味しない。むしろ、ユーザ層のオープン性と可組み合わせ性を維持しつつ、control layerに銀行レベルの規律を導入することだ。LazarusがLayerZeroのRPCプロバイダーに攻撃を仕掛けたとき、彼らはSWIFTや企業のサプライチェーン攻撃と同じプレイブックを使った。伝統的金融はこの問題に30年の経験を積んできた。しかし、DeFiは伝統的金融の歴史から学ぶことを拒んでいるかのようだ。### 特権パワーはシステム重要性のユーティリティ特権パワーは、通常のプロトコル機能よりも使いにくくあるべきだ。担保のリスト、リザーブの移動、オラクルの更新、ブリッジのピアの変更、清算ロジックの変更などを行えるキー、マルチシグ、サービスアカウントは、システム重要な金融ユーティリティだ。最低基準は:* ハードウェアウォレット * フィッシング防止認証 * 独立した署名者マシン * オフラインのトランザクションデコード * Quorumの分離 * すべての非緊急操作にタイムロック設定 * 未来のダークシグネチャ武器化を防ぐための明確な拒否機能Driftの事故後の再構築案は、良い最低基準の一つだ。オフチェーンスタックもプロトコルの一部だ。ソースコード管理、CI/CD、クラウドIAM、パッケージレジストリ、ドメイン、DNS、WalletConnectの表面、ブラウザに配信されるフロントエンドは、実際の脅威境界内にある。エンジニアリングの標準は、最小権限アクセス、ハードウェア認証、シークレットなしのデプロイ、ソフトウェア部品表付きの再現性のあるビルド、依存関係のピン止めを含む。境界層では、レジストラロック、DNSの強化、分散型ミラーのフロントエンドが事故時の継続性を提供できる。AerodromeのDNSハイジャックは、境界が想像以上に広いことを示している。すべての変更は敵対的シナリオを想定してテストすべきだ。クロスチェーン検証者は証明を検査し、証明書(attestation)ではなく証明(proof)を確認すべきだ。正規のブリッジは署名済みのブロックヘッダーのmerkle proofを検証し、暗号的保証を提供している:攻撃されたノードはデータ提供を拒否できるが、偽造はできない。proof検証はattestationよりも強力だが、proofに基づくブリッジは依然としてコンセンサスリスク、実装リスク、アップグレードリスクを引き継ぐ。問題は、こうした設計がどの失敗を排除し、どの失敗を残すかだ。attestationに基づく検証者は同じ保証を持たない。彼らはRPCエンドポイントから返される内容に署名するため、これらのエンドポイント自体が攻撃対象となる。attestationを速度やチェーン互換性のために使う場合、quorumは独立性を示すものであり、数ではない。5つのvalidatorが同じ毒されたRPCを読むと、同じ嘘を5回署名することになる。真に独立したデータソースを持つquorumメンバーだけが安全性を確保できる。理想的には、privateとtrusted publicノードを混合すべきだ。Kelpは、こうした穴を悪用する高度な攻撃者の結果だ。すべての担保が共有資産負債表に載るべきではない。Bridge資産、Liquid Restakingトークン、Vaultシェア、Syntheticドル、ラッパートークンは、構造化商品として扱うべきだ。これらには、広範なリスクプロファイルと保守的な限度額を含むオンボーディングメモが必要だ。ほとんどの場合、これらは隔離された市場に入り、コアプールの共有にはしない。Aaveは2025年4月にKelpのオーバーマンティングバグによりrsETHを一時停止したが、その1年後に共有市場に戻った。この事例はより厳格な監査の対象だ。検知と対応は機械の速度で行う必要がある。数分で掏り出される可能性のあるプロトコルでは、人間の介入だけではガバナンスのパフォーマンスにすぎない。自動化された異常検知と制限は常態化すべきだ:管理者操作、ミント・バーンイベント、利用率の急増、オラクルのデペンデンス、ブリッジのトラフィックに対して、プロトコルのレートリミットや借入制限、事前に合意された条件に基づく自動凍結を行う。我々はまず、ユーザ資金の安全を優先的に確保すべきだ。こうした自動化の偶発的なトリガーによる不便は、最初から自動化がなかった場合の損失に比べれば微細なものだ。### ガバナンスは絶対に失敗してはならないことを定義すべきチームが安全目標を逆算できるように、ガバナンスは絶対に失敗してはならない事項を明確に定義すべきだ。理事会、基金会、カウンシル、DAOは、重要なビジネスサービスを列挙し、最大許容損害、支払い能力の喪失、停止時間、データの不確実性を設定し、深刻だが合理的なシナリオでこれらの許容範囲内に収まるかどうかをテストすべきだ。これこそが銀行業のoperational resilienceの本質であり、DeFiにそのまま移植できる。DeFiは真のThree Linesモデルを採用すべきだ:* 第一線:プロダクト、エンジニアリング、財務、運営は、それらが生み出すリスクとその緩和策に責任を持つ。 * 第二線:独立したリスク・セキュリティ部門は、リスティング、パラメータ、アップグレード、取引相手に対して明確な権限を持ち、安全でない変更を挑戦・抑止する。 * 第三線:独立した保証部門は、第一線と第二線の実効性を監査し、報告する。 独立性は、成長のインセンティブが自己監査に向かうのを防ぐための重要な要素だ。資産のオンボーディングは、信用審査のように行うべきであり、ビジネス開発ではない。リスティングメモには、流動性と集中度、ガバナンスの中央集権性、ブリッジの経路とアップグレード性、償還メカニズム、サーキットブレーカー、オラクルの構築方法、法的ラッピングを網羅すべきだ。これらの仮定のいずれかが崩れた場合、各メモには明確なダウングレード手順が必要だ。緊急権限は狭く、事前に定義された範囲とサンセットを設定すべきだ。CetusやSuiのリカバリーボートは、その二つの側面を示している——緊急介入は数億ドルの救済を可能にする。これにより、理論上阻止できないシステムを誰がカバーできるのか、根拠は何かという重要な問題も浮上する。答えは、リリース前に定義し、危機時にではなく、トリガー条件、権限者、証拠基準、最長持続時間、透明性義務、正常なガバナンスへの復帰ルートを決めておくことだ。各プロトコルは、危機に備えた解決策を準備すべきだ。Driftは事後にリカバリープールを構築し、Aaveはオラクルの不整合後にユーザへの補償に動いた。Resolvはハック前の保有者に1:1で補償した。これらは合理的な対応だが、より高い基準は、事前に承認されたウォーターフォール——まずユーザ保護、その次に財務バッファ、次に保険やセーフティモジュール、その次にサービスプロバイダーの責任、そして社会化損失の明確な閾値設定だ。真剣にガバナンスを考えるプロトコルとそうでないものを区別するには、三つの問いがある:誰が安全でないローンチを阻止できるのか?誰が事前定義された条件下で市場を凍結できるのか?委任されたサービスプロバイダーが損失を出した場合、誰が責任を取るのか?責任者、トリガー条件、責任の所在を明確にしないプロトコルは、そもそも自らのガバナンスを定義できていない。単にエクスプロイトが起きないことを祈っているだけだ。### リスクデータは制御策の成否を決める安全なDeFiには、ライブのデータプレーンが必要だ。オンチェーンとオフチェーンのシグナルが、各種の凍結、キャップ、清算制御を駆動する。control planeは行動を担い、data planeはcontrol planeに「行動すべきか」を伝える。データの標準とその内容も同じくらい重要だ。oracleや凍結、パラメータ変更に入力されるデータは、鮮度の範囲、証跡の記録、信頼度スコア、独立したフィードとのクロス検証を明確に定める必要がある。フィードに差異が生じた場合のフォールバック行動も事前に定義すべきだ。AaveのUSDe向けリスク管理oracleや、時間加重のSlope2 Risk Oracleは、正しい方向性を示している。wstETHの事例は、すべての自動化された制御ループにおいても、誤設定を防ぐバリアが必要であることを示している。情報開示は、制御の一形態だ。ユーザはパブリックステータスページ、攻撃者アドレスのウォッチリスト、リアルタイムのインシデントログ、迅速かつ事実に基づく初期声明、そして事後の詳細なレポートを持つべきだ。これには、確定した事実と仮説の区別、損失の正確な定量、変更された制御策の列挙、補償ルートの説明も含まれる。Driftのリカバリーアップデート、Resolvのポストモーテム、Aaveのオラクル説明は、過去の曖昧なツイートと沈黙よりもはるかに良い例だ。業界標準は、事前に訓練されたコミュニケーションプレイブックの整備だ。リスクデータの存在意義は、行動を促すことにある。流動性制限、キャップの引き下げ、市場の一時停止、アップグレードの手動実行、特定市場の安全な継続証明などだ。制御、リミット、保証プロセスに入力される分析だけが、リスクインフラの名に値する。### AIの脅威モデルは変化した2026年4月、AIの脅威モデルは変化した。AnthropicのClaude Mythos Previewは、すべての主流OSやブラウザのゼロデイ脆弱性を識別し、エクスプロイトできることが証明された。発見された脆弱性の99%以上は未公開であり、パッチも未適用だ。英国、米国、ドイツの銀行や規制当局は、Mythosレベルの能力を現実のサイバーリスクとみなしている。DeFiプロトコルも同様の対策を取るべきだ。実務的には、スピアフィッシングはより安価で、エクスプロイトの開発は迅速、リコンはより自主的であり、低信号のエッジケースも早期に発見される。防御と対応は次の通り:* 開発者ワークステーションは特権エンドポイントのように堅牢化 * コードレビューはAI支援の敵対的解析を含む制御されたアクセス下で行う * 署名ワークフローはデフォルトでフィッシング防止機能を備える * 異常検知と制限付き自動応答は、攻撃者の反復速度が人間のチームよりも速いことを想定すべきKelpの事例は、この点において楽観的なバージョンだ。同じAI能力が、プロトコル自体を防御することもできる。Claude Code上で動作するオープンソースの監査ツールは、ハッキングの12日前にKelpの正確なリスク面を特定した。このツールは完璧ではなく、リスクを中程度と評価し、実際にはクリティカルであるべきだった。設定層の構成をオンチェーン検証なしで突破できず、LayerZeroのEndpointV2コントラクトを通じてDVN構成をチェーン上で照会できる点も見落としている。しかし、他者が提起しなかった正しい問いを投げかけている。これが今後採用すべきモデルだ。AIは独立したセキュリティ層として、LPやプロトコル、監査人が資金移動の前に先行できる。### 安全なDeFiは遅いDeFiを意味しないKelp事件後の共通認識は、DeFiにはセキュリティの問題があるというものだった。しかし、私はこの枠組み自体が誤りだと考える。DeFiには、control planeの問題、可組み合わせ性の評価問題、ガバナンスの規律問題がある。これらにはすでに解決策が存在し、多くは30年前の銀行リスクマニュアルに記されている。DeFiとユーザ安全性の大きな障壁は、創業者がそれらを実現するかどうかだ。安全なDeFiは遅いDeFiを意味しない。slowとsafeは異なる属性だ。ユーザ向けのオープンアクセス、可組み合わせ性、24/7のグローバル決済、control layerの銀行レベルの規律、独立したチャレンジ、機械速度の制御、継続的な保証——これらは両立できる。ツールはすでに存在し、プレイブックも整備されている。安全なDeFiに資本を投じることも可能だ。DeFiは始まったばかりだ。10年後も存続していることを我々は確信すべきだ。
10億ドルの教訓:DeFiのセキュリティの焦点はコードから運営ガバナンスへ
原文翻译:登链社区
内容概要と導読:
過去一年でDeFiによる損失は約10億ドルに達し、実質的な大規模損失はもはやコントラクトコードの脆弱性だけに起因せず、権限管理、署名フロー、ソーシャルエンジニアリング攻撃、サードパーティインフラ、クロスチェーンの可組み合わせリスクに由来している。TradFiの運用レジリエンス、三層防御、緊急凍結、リスクデータガバナンス、資産アクセス審査を参考にし、AI支援のセキュリティ分析を組み合わせることで、オープン性と可組み合わせ性を維持しつつ、ユーザ資金の安全性を高めることができる。
我々は本来損失しなくてもよかった十億ドル
過去12か月で、DeFi事故により約10億ドルが失われたが、その大部分は事前に修復策が議論されていた攻撃ベクトルによるものであった。最大の損失は、特権アクセス、署名ワークフロー、ソーシャルエンジニアリング、サードパーティインフラに起因し、孤立したスマートコントラクトのバグではなかった。しかし、これらの修復策はDeFiのドキュメントにはなく、銀行のリスク管理マニュアル、エンジニアリングのレジリエンス研究、そして伝統的金融の長年にわたる運用プレイブックに存在している。
Kelpは最も明確な例だ。
1つの検証者。1つの故障点。
Kelpのエクスプロイトはスマートコントラクトのバグではない。根本原因は、@KelpDAOがLayerZeroブリッジ上で1-of-1の分散型検証者ネットワーク(DVN)構成を選択したことにある。攻撃者は北朝鮮のサイバー犯罪集団Lazarus Groupと関係があるとされるが、DVN自体を攻撃したわけではない。まずLayerZeroのDVNが依存するRPCプロバイダーを特定し、そのうち2つを攻撃して偽のデータを返させた。次に、残るプロバイダーにDDoS攻撃を仕掛け、システムを故障に追い込み、攻撃されたものにフェイルオーバーさせた。善意の前提のもと、DVNは偽のクロスチェーンメッセージに署名した——他の検証者が結果を検証しなかったため、この署名だけで十分だった。
1つの検証者。1つの故障点。
116,500 rsETHがEthereumのLayerZeroのOFTアダプター(複数のブロックチェーン間のトークン管理)から攻撃者に解放され、十六のL2上のrsETH OFTが裏付けを失った。攻撃者はEthereum側のrsETHを担保としてAave、Compound、Eulerに預け入れ、それを担保に2億3600万ドルのWETHを借り出した。これに気付いた時点で、すべてのL2上のrsETH保有者は、すでに空になったロックボックスの請求権を持つことになった。
この明白なリスクは12日前に既に指摘されていた。
4月6日、@get_truenorthのエンジニア@liliangjya5がオープンソースのClaude Codeスキルを公開し、DVN構成の不透明さを指摘。16のチェーンにおける単点故障の最大リスクとして挙げ、2022年のRoninやHarmonyブリッジのエクスプロイトと比較した。コミットのタイムスタンプは公開されており、誰でも確認できる。
[]
KelpはDVNの閾値を一度も公開していない。LayerZeroはインテグレーションのチェックリストでマルチDVN構成を推奨しているが、Kelpは依然として1-of-1を選択した。公開を強制されたわけでも、修正を強要されたわけでもない。
12日後、2億9200万ドルが失われた。
過去12か月でDeFiは否定できない
Kelpのエクスプロイトは最大だが、唯一ではない。
2週間前の4月1日、Driftは数か月にわたるソーシャルエンジニアリング攻撃の末に2億8500万ドルを失った。攻撃者はSolanaのdurable noncesを利用し、有効な管理者署名を取得、価値のないトークンのホワイトリストを担保化し、実資産を掏り出した。少なくとも他の20以上のプロトコルも影響を受けている。事故後のリコンストラクションでは、専用署名者デバイス、管理者操作のタイムロック、再構築されたガバナンスマルチシグを導入している。
3月22日、Resolvはオフチェーンインフラの攻撃を受けた。攻撃者はサードパーティの侵入点からResolvのGitHubとクラウド環境に横展開し、ミンティングの署名権限を奪取、8千万枚の裏付けのないUSRを鋳造し、2500万ドルのETHを盗んだ。スマートコントラクトは正常だったが、特権キーと運用スタックの脆弱性が原因。
3月10日、Aaveのリスクツールが2つのオラクルパラメータの不整合を検知し、約2600万ドルの清算を引き起こした。34アカウントが巻き込まれ、wstETHの価格は2.85%下落。悪意のある行為者やエクスプロイトはなく、善意の設定変更によるものであったが、ホストileなシナリオを想定していなかった。
2026年前後には、CetusがSui上で2.23億ドルを失い、Corkは複数の監査後にwstETHで1200万ドルを失い、Balancerは11月に1.2億ドル超の損失、Aerodromeはスマートコントラクトの脆弱性ではなく、ドメイン登録業者のDNSハイジャックにより100万ドル超を失った。再度強調するが、コントラクト自体は被害を受けていない。フィッシングページが最後の一撃を与えた。
これらを合計すると、ほぼ10億ドルの損失となる。事故の直接原因は異なるが、あるパターンが形成されつつある。
これらのエクスプロイトはオフチェーンに移行している
スマートコントラクトのリスクは消えていない——Cetus、Cork、Balancerはすべてオンチェーンのロジック失敗だ。Invariant testing、adversarial simulation、formal verificationをオプションと考えるプロトコルは、リリース一回分の失敗を経験するだけだ。しかし、これはもはや物語の本筋ではない。
暗号全体を見ると、Chainalysisの推計によると、2025年には65億ドル以上が盗まれ、そのうちの上位3つのハックだけで損失の69%を占める。前述のとおり、最大の損失は特権アクセス、署名フロー、ソーシャルエンジニアリング、サードパーティインフラに起因し、孤立したスマートコントラクトのバグではない。
これを私は三つの異なる失敗パターンと見なしている:Code layer、Control plane、Composability。
CodeはDeFiの中で最も防御に優れた層だが、それでも未解決の問題が残る。fuzzing、静的・動的解析、formal verification、バグバウンティ、監査、Invariant testing——これらは今や真剣なチームなら誰もが知っている基本的な手法だ。
Control planeはDeFiが伝統的金融より少なくとも10年遅れている部分。署名デバイス、キーのローテーション、特権アクセスの審査、CI/CDの証跡、DNSの強化、ドメイン登録者のセキュリティ。ほとんどのプロトコルはこれらの表面だけのインベントリすら持っていないし、制御もできていない。
ComposabilityはDeFiの最大の強みの一つだが、最も過小評価されているリスクももたらす——あるレンディングマーケットがラップされた資産をリストしたとき、それはブリッジの故障モードを自分の故障モードに変えることになる。担保付き負債ポジションがLiquid Staking Tokenを受け入れると、その発行者のガバナンス遅延を継承する。AaveはKelpのコードを一行も書いていないが、Kelpの失敗による損害を引き継いでいる——これもまた、ガバナンスの問題を露呈している。
もしあるプロトコルが、自らの資産の圧力下での評価、凍結、ヘアカット、清算ができない担保をリストした場合、それは実質的にその資産のテールリスクを自らのバランスシートに持ち込むことになる。たとえ財務委員会の承認があっても。
伝統的金融はすでにプレイブックを書き上げている
「DeFiをより伝統的金融に近づける」議論は、往々にして誤った方向に進む。暗号界の直感は、伝統的金融に近づくことは遅くなり、よりカストディアルで、許可制になり、規制も増えることだ。
[]
しかし、私はこれが誤りだと考える。
伝統的金融は完璧ではないが、permissioningよりも遥かに有用な仕組みをいくつも考案してきた。破壊の中で重要なシステムを運用する方法、これらの枠組みはすでに存在している。何十年にもわたる銀行倒産、取引中断、サイバー攻撃、運用事故を通じて、耐性テストを受けてきた。
具体例:
NIST Cybersecurity Framework 2.0は、GovernをIdentify、Protect、Detect、Respond、Recoverと並列のコア機能に昇格させた。
Basel Committee on Banking Supervisionは、operational resilienceを、disruption時に重要な業務を継続できる能力と定義。
**英国金融行動監督機構(FCA)**は、企業に重要なビジネスサービスを特定させ、影響許容度を設定し、disruptionがこれらの閾値を超えるかどうかをテストさせる。
Internal Auditors Instituteは、Three Linesモデルを通じて、管理、リスクチャレンジ、独立した保証を分離。
これらはすべて、伝統的金融の資産負債表や許可を必要としない。これらの考え方はDeFiに移植可能だ。安全なDeFiは、銀行になることを意味しない。むしろ、ユーザ層のオープン性と可組み合わせ性を維持しつつ、control layerに銀行レベルの規律を導入することだ。
LazarusがLayerZeroのRPCプロバイダーに攻撃を仕掛けたとき、彼らはSWIFTや企業のサプライチェーン攻撃と同じプレイブックを使った。伝統的金融はこの問題に30年の経験を積んできた。しかし、DeFiは伝統的金融の歴史から学ぶことを拒んでいるかのようだ。
特権パワーはシステム重要性のユーティリティ
特権パワーは、通常のプロトコル機能よりも使いにくくあるべきだ。担保のリスト、リザーブの移動、オラクルの更新、ブリッジのピアの変更、清算ロジックの変更などを行えるキー、マルチシグ、サービスアカウントは、システム重要な金融ユーティリティだ。最低基準は:
ハードウェアウォレット
フィッシング防止認証
独立した署名者マシン
オフラインのトランザクションデコード
Quorumの分離
すべての非緊急操作にタイムロック設定
未来のダークシグネチャ武器化を防ぐための明確な拒否機能
Driftの事故後の再構築案は、良い最低基準の一つだ。
オフチェーンスタックもプロトコルの一部だ。ソースコード管理、CI/CD、クラウドIAM、パッケージレジストリ、ドメイン、DNS、WalletConnectの表面、ブラウザに配信されるフロントエンドは、実際の脅威境界内にある。エンジニアリングの標準は、最小権限アクセス、ハードウェア認証、シークレットなしのデプロイ、ソフトウェア部品表付きの再現性のあるビルド、依存関係のピン止めを含む。境界層では、レジストラロック、DNSの強化、分散型ミラーのフロントエンドが事故時の継続性を提供できる。
AerodromeのDNSハイジャックは、境界が想像以上に広いことを示している。
すべての変更は敵対的シナリオを想定してテストすべきだ。クロスチェーン検証者は証明を検査し、証明書(attestation)ではなく証明(proof)を確認すべきだ。正規のブリッジは署名済みのブロックヘッダーのmerkle proofを検証し、暗号的保証を提供している:攻撃されたノードはデータ提供を拒否できるが、偽造はできない。proof検証はattestationよりも強力だが、proofに基づくブリッジは依然としてコンセンサスリスク、実装リスク、アップグレードリスクを引き継ぐ。問題は、こうした設計がどの失敗を排除し、どの失敗を残すかだ。
attestationに基づく検証者は同じ保証を持たない。彼らはRPCエンドポイントから返される内容に署名するため、これらのエンドポイント自体が攻撃対象となる。attestationを速度やチェーン互換性のために使う場合、quorumは独立性を示すものであり、数ではない。5つのvalidatorが同じ毒されたRPCを読むと、同じ嘘を5回署名することになる。真に独立したデータソースを持つquorumメンバーだけが安全性を確保できる。理想的には、privateとtrusted publicノードを混合すべきだ。Kelpは、こうした穴を悪用する高度な攻撃者の結果だ。
すべての担保が共有資産負債表に載るべきではない。Bridge資産、Liquid Restakingトークン、Vaultシェア、Syntheticドル、ラッパートークンは、構造化商品として扱うべきだ。これらには、広範なリスクプロファイルと保守的な限度額を含むオンボーディングメモが必要だ。ほとんどの場合、これらは隔離された市場に入り、コアプールの共有にはしない。
Aaveは2025年4月にKelpのオーバーマンティングバグによりrsETHを一時停止したが、その1年後に共有市場に戻った。この事例はより厳格な監査の対象だ。
検知と対応は機械の速度で行う必要がある。数分で掏り出される可能性のあるプロトコルでは、人間の介入だけではガバナンスのパフォーマンスにすぎない。自動化された異常検知と制限は常態化すべきだ:管理者操作、ミント・バーンイベント、利用率の急増、オラクルのデペンデンス、ブリッジのトラフィックに対して、プロトコルのレートリミットや借入制限、事前に合意された条件に基づく自動凍結を行う。
我々はまず、ユーザ資金の安全を優先的に確保すべきだ。こうした自動化の偶発的なトリガーによる不便は、最初から自動化がなかった場合の損失に比べれば微細なものだ。
ガバナンスは絶対に失敗してはならないことを定義すべき
チームが安全目標を逆算できるように、ガバナンスは絶対に失敗してはならない事項を明確に定義すべきだ。理事会、基金会、カウンシル、DAOは、重要なビジネスサービスを列挙し、最大許容損害、支払い能力の喪失、停止時間、データの不確実性を設定し、深刻だが合理的なシナリオでこれらの許容範囲内に収まるかどうかをテストすべきだ。
これこそが銀行業のoperational resilienceの本質であり、DeFiにそのまま移植できる。
DeFiは真のThree Linesモデルを採用すべきだ:
第一線:プロダクト、エンジニアリング、財務、運営は、それらが生み出すリスクとその緩和策に責任を持つ。
第二線:独立したリスク・セキュリティ部門は、リスティング、パラメータ、アップグレード、取引相手に対して明確な権限を持ち、安全でない変更を挑戦・抑止する。
第三線:独立した保証部門は、第一線と第二線の実効性を監査し、報告する。
独立性は、成長のインセンティブが自己監査に向かうのを防ぐための重要な要素だ。
資産のオンボーディングは、信用審査のように行うべきであり、ビジネス開発ではない。リスティングメモには、流動性と集中度、ガバナンスの中央集権性、ブリッジの経路とアップグレード性、償還メカニズム、サーキットブレーカー、オラクルの構築方法、法的ラッピングを網羅すべきだ。これらの仮定のいずれかが崩れた場合、各メモには明確なダウングレード手順が必要だ。
緊急権限は狭く、事前に定義された範囲とサンセットを設定すべきだ。CetusやSuiのリカバリーボートは、その二つの側面を示している——緊急介入は数億ドルの救済を可能にする。これにより、理論上阻止できないシステムを誰がカバーできるのか、根拠は何かという重要な問題も浮上する。答えは、リリース前に定義し、危機時にではなく、トリガー条件、権限者、証拠基準、最長持続時間、透明性義務、正常なガバナンスへの復帰ルートを決めておくことだ。
各プロトコルは、危機に備えた解決策を準備すべきだ。Driftは事後にリカバリープールを構築し、Aaveはオラクルの不整合後にユーザへの補償に動いた。Resolvはハック前の保有者に1:1で補償した。これらは合理的な対応だが、より高い基準は、事前に承認されたウォーターフォール——まずユーザ保護、その次に財務バッファ、次に保険やセーフティモジュール、その次にサービスプロバイダーの責任、そして社会化損失の明確な閾値設定だ。
真剣にガバナンスを考えるプロトコルとそうでないものを区別するには、三つの問いがある:誰が安全でないローンチを阻止できるのか?誰が事前定義された条件下で市場を凍結できるのか?委任されたサービスプロバイダーが損失を出した場合、誰が責任を取るのか?
責任者、トリガー条件、責任の所在を明確にしないプロトコルは、そもそも自らのガバナンスを定義できていない。単にエクスプロイトが起きないことを祈っているだけだ。
リスクデータは制御策の成否を決める
安全なDeFiには、ライブのデータプレーンが必要だ。オンチェーンとオフチェーンのシグナルが、各種の凍結、キャップ、清算制御を駆動する。control planeは行動を担い、data planeはcontrol planeに「行動すべきか」を伝える。
データの標準とその内容も同じくらい重要だ。oracleや凍結、パラメータ変更に入力されるデータは、鮮度の範囲、証跡の記録、信頼度スコア、独立したフィードとのクロス検証を明確に定める必要がある。フィードに差異が生じた場合のフォールバック行動も事前に定義すべきだ。
AaveのUSDe向けリスク管理oracleや、時間加重のSlope2 Risk Oracleは、正しい方向性を示している。wstETHの事例は、すべての自動化された制御ループにおいても、誤設定を防ぐバリアが必要であることを示している。
情報開示は、制御の一形態だ。ユーザはパブリックステータスページ、攻撃者アドレスのウォッチリスト、リアルタイムのインシデントログ、迅速かつ事実に基づく初期声明、そして事後の詳細なレポートを持つべきだ。これには、確定した事実と仮説の区別、損失の正確な定量、変更された制御策の列挙、補償ルートの説明も含まれる。Driftのリカバリーアップデート、Resolvのポストモーテム、Aaveのオラクル説明は、過去の曖昧なツイートと沈黙よりもはるかに良い例だ。業界標準は、事前に訓練されたコミュニケーションプレイブックの整備だ。
リスクデータの存在意義は、行動を促すことにある。流動性制限、キャップの引き下げ、市場の一時停止、アップグレードの手動実行、特定市場の安全な継続証明などだ。制御、リミット、保証プロセスに入力される分析だけが、リスクインフラの名に値する。
AIの脅威モデルは変化した
2026年4月、AIの脅威モデルは変化した。AnthropicのClaude Mythos Previewは、すべての主流OSやブラウザのゼロデイ脆弱性を識別し、エクスプロイトできることが証明された。発見された脆弱性の99%以上は未公開であり、パッチも未適用だ。英国、米国、ドイツの銀行や規制当局は、Mythosレベルの能力を現実のサイバーリスクとみなしている。
DeFiプロトコルも同様の対策を取るべきだ。
実務的には、スピアフィッシングはより安価で、エクスプロイトの開発は迅速、リコンはより自主的であり、低信号のエッジケースも早期に発見される。防御と対応は次の通り:
開発者ワークステーションは特権エンドポイントのように堅牢化
コードレビューはAI支援の敵対的解析を含む制御されたアクセス下で行う
署名ワークフローはデフォルトでフィッシング防止機能を備える
異常検知と制限付き自動応答は、攻撃者の反復速度が人間のチームよりも速いことを想定すべき
Kelpの事例は、この点において楽観的なバージョンだ。同じAI能力が、プロトコル自体を防御することもできる。Claude Code上で動作するオープンソースの監査ツールは、ハッキングの12日前にKelpの正確なリスク面を特定した。このツールは完璧ではなく、リスクを中程度と評価し、実際にはクリティカルであるべきだった。設定層の構成をオンチェーン検証なしで突破できず、LayerZeroのEndpointV2コントラクトを通じてDVN構成をチェーン上で照会できる点も見落としている。
しかし、他者が提起しなかった正しい問いを投げかけている。
これが今後採用すべきモデルだ。AIは独立したセキュリティ層として、LPやプロトコル、監査人が資金移動の前に先行できる。
安全なDeFiは遅いDeFiを意味しない
Kelp事件後の共通認識は、DeFiにはセキュリティの問題があるというものだった。しかし、私はこの枠組み自体が誤りだと考える。
DeFiには、control planeの問題、可組み合わせ性の評価問題、ガバナンスの規律問題がある。これらにはすでに解決策が存在し、多くは30年前の銀行リスクマニュアルに記されている。DeFiとユーザ安全性の大きな障壁は、創業者がそれらを実現するかどうかだ。
安全なDeFiは遅いDeFiを意味しない。slowとsafeは異なる属性だ。ユーザ向けのオープンアクセス、可組み合わせ性、24/7のグローバル決済、control layerの銀行レベルの規律、独立したチャレンジ、機械速度の制御、継続的な保証——これらは両立できる。
ツールはすでに存在し、プレイブックも整備されている。安全なDeFiに資本を投じることも可能だ。
DeFiは始まったばかりだ。10年後も存続していることを我々は確信すべきだ。