ハッカーと規制がDeFiを壊したのか？

著者：谷昱，ChainCatcher

2026年4月、連続する安全災害がDeFiを再び世論の注目の的に押し上げました。Kelp DAOとDrift Protocolの2件の攻撃は合計で5.75億ドル以上の損失をもたらし、DeFiの総ロック価値（TVL）は約1720億ドルから1480億ドルに急落し、貸出セクターのTVLも530億ドルから400億ドルに崩壊しました。

最近数日間、著名なセキュリティ監査会社OpenZeppelinの共同創設者Manuel AráozはXプラットフォームで率直に言いました。「私はすべてのDeFiが安全ではないと思います。」彼はさらに、Aave、MakerDAO、Compoundなどの「低リスクブルーチップ」と見なされるプロトコルのすべてのDeFiポジションを親しい友人に清算するよう私的に勧め始めたと述べました。

この判断は非常に耳障りですが、考えさせられるものです。結局、OpenZeppelinは長年にわたりDeFiの世界で最も重要なセキュリティインフラの構築者の一つであり、そのスマートコントラクトの標準とセキュリティツールは業界全体の発展の過程にほぼ貫通しています。もしスマートコントラクトのセキュリティシステムを最も理解している人がDeFiのリスクを疑い、果断に撤退し始めたのであれば、それは無疑に何らかのより深い問題が浮上していることを意味します。

過去数年、DeFiが挫折を経験するたびに、人々は迅速に具体的な理由を見つけることができました。市場が低迷しているとき、人々は責任をマクロ環境に帰するでしょう；ハッキングが発生したとき、人々は技術的な欠陥のせいだと考えます；規制当局が行動を起こすと、人々は問題を政策圧力に帰結させます。

しかし、時間の次元を引き延ばすと、人々はますます明確な事実に気づくでしょう：DeFiが今日直面している困難は、ある一回の攻撃、ある一つの規制政策、ある一つの失敗したプロジェクトによって引き起こされたものではなく、その最初に基づいて構築された2つのコアロジックが同時に挑戦を受けているのです。

一つのロジックは技術の世界から来ており、すなわちコードが信頼に取って代わるというものです。もう一つのロジックは制度の世界から来ており、すなわちオープンネットワークが伝統的な金融システムの制約を回避できるというものです。

そして、ハッカーと規制は、まさにこの2つの柱をそれぞれ打撃しました。

一、DeFi安全危機の深層的な進化

10年間、DeFiの安全分野の核心的な逆説は変わっていません。Web3のセキュリティ研究者はすでにこの致命的な非対称性を認識しています：防御側は利用される可能性のあるすべての隙間を塞がなければならず、攻撃者は一つの環節で成功すればよいのです。

表面的には、攻撃手段はクロスチェーンブリッジの脆弱性、多署名権限の奪取、オラクルの操作などの古典的な手法に過ぎません。しかし、Kelp DAOとDrift Protocolの2件の事件は、より厳しい傾向を明らかにしました：最も致命的な脆弱性は、しばしばスマートコントラクトのコードの中には存在しないのです。

4月18日、イーサリアム流動性重質押しプロトコルKelp DAOが攻撃を受けました。攻撃者はLayerZeroクロスチェーンブリッジのDVN（分散型検証ネットワーク）設定の脆弱性を利用し、クロスチェーンメッセージを偽造し、数時間以内にクロスチェーンブリッジから116,500枚のrsETHを引き出しました。当時の価格で約2.93億ドルに相当します。

この災害の本質は設定ミスであり、コードの欠陥ではありません。Kelp DAOはLayerZeroのクロスチェーン検証ネットワークに「1-of-1」を選択しました——1つのDVNノードが確認すれば、クロスチェーンメッセージは合法と見なされます。攻撃者が検証データを提供する2つのRPCノードを攻撃し、DDoS攻撃を仕掛けた後、全体のブリッジシステムは形骸化しました。

4月1日、Solanaエコシステムの最大の永続契約DEXの一つであるDrift Protocolが攻撃を受け、2.85億ドルの損失を被り、2026年現在最大の単一DeFi攻撃事件となり、Solana史上2番目のハッキング事件となりました。

これもまたスマートコントラクトの脆弱性ではありません。攻撃者はソーシャルエンジニアリングを通じて多署名ウォレットの3人の署名者のうち少なくとも2人を攻撃し、Solanaのdurable nonce機能を使用して彼らに悪意のある取引を事前に署名させました。攻撃者が管理者権限を取得した後、12分以内に資金を盗みました。

攻撃の根源は運用セキュリティ（OpSec）の完全な失敗にあります：多署名ウォレットの設定ミス、鍵管理の盲点、社会工学の防御線が形骸化しています。

これら2件の事件はDeFi安全危機の深層的な進化を明らかにしています：攻撃の突破口は、伝統的なスマートコントラクトのコードの脆弱性から、体系的に設定層と人間性/OpSec層に移行しています。

Manuel Aráozは問題の核心を鋭く指摘しました。「スマートコントラクトの安全性は本質的に極度に非対称なゲームです——防御側はすべての脆弱性を修正しなければならず、攻撃側は一つ見つけるだけで資金を盗むことができます。」AIが攻撃効率を指数関数的に強化し始めた後、この非対称性は急速に不均衡になっています。

AIコーディングエージェントは、過去にトップホワイトハットチームが数週間かけて発見する必要があった問題を数分で自動的に完了させることができ、公開プロトコルコードに基づいて攻撃スクリプトを自発的に生成することさえできます。OpenZeppelinは業界で最も主流なセキュリティ監査会社の一つとして、その共同創設者がこのように悲観的な判断を下すことは、むしろ信号のようなものであり——セキュリティ業界自身が、既存の防御フレームワークが体系的な失敗に直面していることを認識し始めているのです。

二、規制圧力の持続的な拡散

安全危機が深刻化する中、規制の力もオンチェーンとオフチェーンの2つの次元で持続的に圧力をかけています。

5月26日、英国政府は暗号通貨取引所HTXをロシア制裁リストに追加し、初めて第17A条規を用いて暗号資産取引所に制裁を実施しました。英国はHTXが2025年に3.3兆ドルの取引量を処理し、制裁対象のA7支払いネットワークおよびロシアの取引所Garantexに金融サービスを提供したと非難しています。

制裁によって引き起こされた連鎖反応は急速に広がり、複数の主流AML会社がHTX取引所のアドレスを危険アドレスリストに追加したため、多くの取引所がHTX関連アドレスとの取引審査を厳しくし、大量のHTXユーザーが他の取引所に資産を引き出そうとした際に入金できない状況が発生しました。

HTX事件は、より深い困難を明らかにしました：複雑な地政学的状況の中で、規制によって発動された制裁令がオンチェーンで拡大する連鎖効果を引き起こし、最終的には無数の一般ユーザーの資金移動に影響を及ぼすことができるのです。HTXのユーザーは完全に無実に資産を保有しているが、プラットフォームの潜在的なコンプライアンスリスクのために、他の取引所に引き出す際にAMLシステムの「ファイアウォール」に阻まれ、資金が凍結されたり無期限に遅延したりする可能性があります。

実際、HTX事件は規制圧力の氷山の一角に過ぎません。DeFiの革新に対する深層的な制約を構成するのは、規制当局によるプロトコルの基盤となるビジネスモデルの法的定義です。

過去2年間にわたり、米国SECはCompound、Uniswap、Curveなどの「ブルーチップ」DeFiプロトコルに対して調査を開始し、ガバナンストークンが未登録の証券に該当するかどうかを重点的に問いただしました。より直接的な打撃は、収益型トークンの分野から来ています——SECがGemini Earnなどの製品に対して行った法執行は、プロトコルがユーザーに預金に基づく受動的な利息を支払う場合、投資契約と見なされる可能性が高く、証券法の登録および開示義務を引き起こすことを示しています。

この法的定義の曖昧さと高圧は、DeFiの最も想像力豊かな革新の方向性を直接的に抑え込んでいます：流動性マイニングから構造的収益製品に至るまで、開発者は常に自分のトークン経済モデルが規制のレッドラインを踏み越えないかどうかを心配しなければなりません。

ある意味で、DeFiが最初に強調した「許可不要」が、別の形の「許可制度」に徐々に変わりつつあります。この「許可」は特定の企業やプロトコルから来るのではなく、規制コンプライアンスのチェーン上の各段階から来るものです：AMLリスト、取引所のリスク管理エンジン、証券法の長い腕の管轄などです。

三、DeFiが現実主義の段階に入る

DeFiの過去数年の浮き沈みを振り返ると、DeFiの安全な困難と規制圧力は独立して存在するものではありません。明確な規制フレームワークの欠如は、安全基準の業界コンセンサスを確立することを困難にします；安全事件の頻発は、逆に世界中の規制当局が法執行を厳しくするための最も直接的な理由を提供します；そしてAI時代に加速する安全な非対称性と徐々に厳しくなるコンプライアンス基準が最終的に交錯し、無数の一般ユーザーを嵐の中心に押しやります。

本質的に、安全監査の境界と規制コンプライアンスの硬直性は、DeFiが立脚する2つのコア仮定——「コードは法律である」と「許可不要の自由」を持続的に侵食しています。

現在、ユーザーは伝統的な金融よりも高い技術リスクを負っていますが、必ずしも伝統的な金融よりも多くの自由を得られるわけではありません。これが今日、多くの市場参加者が混乱を感じる理由です。彼らは、DeFiが銀行のように安全でもなく、最初に約束されたように完全にオープンでもないことに気づきます。

そして、あるシステムが同時に安全なプレミアムと自由なプレミアムを失うと、その成長論理は自然に挑戦を受けることになります。したがって、問題は「ハッカーと規制がDeFiを破壊したかどうか」ではないかもしれません。

より正確には、ハッカーと規制は業界が現実に直面せざるを得ない状況を作り出したのです。ハッカーは人々に、コードが自然に信頼を生み出すことはできないことを認識させ、規制は人々に、オンチェーンの世界が現実の世界から切り離された平行宇宙ではないことを認識させます。

これはDeFiの失敗を意味するものではありません。むしろ、これはこの実験が理想主義の段階から現実主義の段階に入っていることを意味します。

DeFiはハッカーの手によって破壊されたのでもなく、規制の網によって破壊されたのでもありません。両者が共に形成する生存法則によって再定義されています：未来のDeFiは、より厳格な業界の安全自律とコンプライアンスフレームワークに向かうか、去中心化の原則に妥協を強いられるか、あるいは持続的な攻防の不均衡の中で市場の信頼を徐々に失い、長期的に周縁化されるかのいずれかです。