分散化され、無防備なDeFi：ハッキングはなぜ起こるのか

分散型金融（DeFi）は、金融サービスとの関わり方を根本から変革しました。世界中でオープンで許可不要、かつ自動化された取引を可能にするその仕組みにより、従来の枠組みを超えたイノベーションが実現しています。しかし、数十億ドルが「信頼のいらない」プロトコルを通じてやり取りされる中、DeFiは「分散化されているが、あまりにも無防備」であるという重大な脆弱性にも直面しています。

DeFiのセキュリティ課題の深刻さ

2025年だけでも、DeFiにおけるハッキングにより21.7億ドル以上の資産が盗まれており、これは暗号資産関連の損失全体のうち実に80%を占めます。Cetus、Venus Protocol、Nobitex などの著名なプラットフォームが大規模な被害を受け、資金が流出しただけでなく、ユーザーの信頼を大きく揺るがし、暗号市場全体にも影響を与えました。専門家によると、こうした攻撃は前年から21%増加しており、頻度・巧妙さの両面で脅威が増大していることが明らかです。最近の攻撃統計と業界への影響については、AINVESTのDeFiハック分析をご覧ください。

DeFiハックの構造：代表的な攻撃手法

スマートコントラクトの脆弱性

依然として攻撃者にとって最も利用される入口です。コードのバグ、未チェックのロジック、見落とされたエッジケースなどが、大きな被害につながります。たとえば、貸付プロトコルの清算ロジックを操作したり、フラッシュローンを悪用して流動性プールを空にしたりする手法があります。

オラクル操作

多くのDeFiプロトコルは外部データフィード（オラクル）に依存しており、これを操作することにより価格を操作したり、契約の強制実行を誘発させたりできます。特にフラッシュローン攻撃に弱いオラクルは標的になりやすく、近年のDeFi攻撃の62%以上がこの脆弱性に関連しています。

サプライチェーン攻撃

ライブラリ、開発ツール、統合コンポーネントなど、サードパーティの依存関係を狙う攻撃です。2025年のOracle Cloudの侵害では、数百万件の機密情報が漏洩し、サプライチェーンの脆弱性が露呈しました。Bybitのハッキングで15億ドルが失われた事件など、インフラの欠陥や内部犯行も大きなリスクとなっています。

ガバナンス攻撃

DeFi特有の分散型意思決定を逆手に取った攻撃です。悪意あるアクターがトークンを買い占めたりフラッシュローンで投票権を取得したりして、プロトコルの重要パラメータを改ざん、またはトレジャリーを奪取することが可能になります。詳細はQuillAuditsのDeFi攻撃ベクターガイドをご覧ください。

ソーシャルエンジニアリングとフィッシング

ユーザーを騙して秘密鍵を開示させたり、不正なアクセス権を与えさせたりする手口はいまだに効果的です。

30種類以上の攻撃ベクターとそれぞれの詳細な解説については、QuillAuditsのWeb3セキュリティリソースをご参照ください。

システム的な脆弱性：なぜDeFiは狙われやすいのか？

• オープンソースコード：DeFiプロトコルの多くは、透明性を重視してコードを公開しています。イノベーションと監査には有効ですが、攻撃者にとっても脆弱性を見つけやすいという側面があります。
• コンポーザビリティ（再利用可能性）：多くのプロトコルが他のプロトコルの上に成り立っており、一つの脆弱性がエコシステム全体に連鎖的に影響を及ぼす可能性があります。
• 統一されたセキュリティ基準の欠如：監査や形式検証は徐々に広まりつつあるものの、まだ一般的とは言えません。形式検証を活用しているDeFi開発者は全体の**約30%**にとどまり、多くのプロジェクトが十分なセキュリティ対策を講じていません。
• 分散型ガバナンスの弱点：民主的な意志決定が可能ではあるものの、操作や共謀、規制の不確実性といった問題にさらされています。イギリスの「国家リスク評価」など、各国の規制当局の報告では、こうした盲点が指摘されています。詳細はDeccan Heraldの国家安全保障リスクに関する記事をご参照ください。

ヒューマンエラーと規制の死角

技術的な脆弱性に加え、人間のミスや社会的な操作も大きなリスク要因です。フィッシングメールやマルウェア感染、SNSアカウントの乗っ取りによって秘密鍵や認証情報が漏洩すると、ブロックチェーンの匿名性と国境を越えた特性により、資産の回収はほぼ不可能になります。

規制対応も進化中ですが、未だに断片的です。マネーロンダリング対策（AML）や顧客確認（KYC）基準の適用が不均一なため、資金の追跡や回収は難しく、特にクロスチェーンブリッジ、ミキサー、匿名化ツールを用いる高度な攻撃者に対しては効果が限定的です。

対策の現状と限界

セキュリティ対策の進展は以下の分野で見られます：

• 形式検証：スマートコントラクトの動作を数学的に証明し、テスト環境では脆弱性を最大70%削減する効果が確認されています。
• 保険プロトコル：Nexus MutualやInsurAceなどによる保険提供が進んでいますが、補償の範囲は狭く、2022年以降のDeFi損失のうち、保険で補填されたのは**わずか0.9%**です。
• 自動監査ツールやバグ報奨金プログラム：事前に脆弱性を発見・修正するための取り組みも広がっています。

しかし、こうした対策の採用はプロジェクトによってまちまちであり、多くのプロジェクトはセキュリティよりもスピードや成長を優先しており、依然として重大なセキュリティギャップが存在しています。

ユーザーおよび投資家が取るべき対策

DeFiの分散性はリスクの分散と同時に、責任の分散も意味します。以下は、DeFiに関わるすべての人が取るべき基本的な対策です：

• しっかりと監査され、セキュリティ実績のあるプロトコルのみを使用する：形式検証の有無やガバナンスの透明性も重要な判断基準です。
• 秘密鍵はハードウェアウォレットで保管：OneKeyのようなデバイスを利用すれば、オフラインかつ改ざん耐性のある環境で秘密鍵を守ることができ、マルウェアやフィッシングによる盗難リスクを大幅に軽減できます。
• 最新の脅威やアップデートを常に把握する：信頼できる情報源を定期的にチェックし、リアルタイムで脆弱性の情報を得ることが重要です。
• 過剰な利回りに注意する：異常に高い利回りを謳うプロジェクトには、裏にリスクやポンジスキームが潜んでいる可能性があります。

なぜ今こそOneKeyのようなハードウェアウォレットが重要なのか

社会的詐欺が増加し、毎年数十億ドルが失われている今、秘密鍵の保護は絶対に怠れないものです。OneKeyのようなハードウェアウォレットは、資産の管理をインターネットから隔離した安全な環境で行うことにより、ブラウザウォレットやシードフレーズを狙うオンライン攻撃からユーザーを守ります。特にDeFiの利用者にとっては、オンチェーン攻撃の高度化に対抗するために、こうした追加の防御層が不可欠です。

DeFiの進化は止まりません。しかし、このエコシステムが「分散化されているが、無防備」という評判を乗り越えられるかどうかは、セキュリティを最優先に考えた技術的解決策と、情報に基づいた警戒心のあるユーザーによる行動にかかっています。