今年、DeFiのセキュリティ状況を見守ってきましたが、正直かなり深刻な状況です。まだ2026年の半ばにも達していないのに、数字はすでに驚くべきものになっています。最初の数ヶ月だけで、15の異なるプロトコルから1億3700万ドル以上が盗まれています。さらに悪いことに、回収されたのはわずか900万ドルです。これは伝統的な銀行では受け入れられない回収率であり、信頼性や透明性が求められる業界としては非常に問題です。

被害はかなり大手の名前にまで及んでいます。Step Financeは、プライベートキーが漏洩したことで2730万ドルの被害を受けて最も大きな打撃を受けました。Truebitは、スマートコントラクトの脆弱性により2620万ドルを失いました。その次にResolvはミンティングの欠陥を突かれて2500万ドル以上を失い、SwapNetは任意呼び出しのエクスプロイトで1340万ドルを失っています。これらは小規模なプロジェクトではなく、実際に人々が使っているプロトコルです。

苛立たしいのは、これらの攻撃のほとんどが本来起きるべきではなかったということです。プライベートキーの漏洩？それは運用セキュリティの基本中の基本であり、最先端のエクスプロイトではありません。オラクルの操作やリエントラシーのバグも、何年も前から対策が文書化されている脆弱性です。それらが未だに機能しているということは、業界が過ちから十分に学んでいないことを示しています。ロジックの欠陥、バリデーションの失敗、供給上限の問題など、DeFiの初期からセキュリティ研究者が警鐘を鳴らしてきた問題です。

YieldBlox DAOは、1,100万ドルの損失のうち720万ドルを回収することに成功しており、唯一意味のある回収をしたプロトコルです。それ以外のリストに載っているものは、SagaEVMが700万ドル、Makinaが500万ドル、IoTeXが440万ドル、Aperture FinanceとVenus Protocolがそれぞれ370万ドルと、ほぼ運が尽きている状態です。

このペースで進むと、2026年はDeFiのセキュリティ史上最悪の年の一つになる可能性があります。新しいプロトコルが適切な監査なしに次々と登場し、攻撃の対象範囲を拡大し続けているためです。わずか3ヶ月で1億3700万ドルの損失と6.5％の回収率では、業界のセキュリティインフラが十分に整っているとは言い難い状況です。信頼性のないシステムを約束して構築されたものとしては、非常に居心地の悪い立場にいると言えるでしょう。