4月1日、エイプリルフールの日に、Drift Protocolが管理キーの漏洩およびマルチシグ実行の脆弱性を悪用された結果、2億8,000万ドル相当の資産が盗まれるハッキング事件が発生しました。その後、4月19日にはKelp DAOがブリッジングプロトコルを介して攻撃を受け、2億9,200万ドルの損失を被りました。攻撃者はその後、Aaveなどの手段を用いて資金を逃がし、DeFi全体をデフォルト状態に陥れ、連鎖的な影響を引き起こしました。
5月に入ると、こうした事件は減少するどころかさらに激化しました。5月15日、THORChainが攻撃を受け、新規参加ノードオペレーターがGG20しきい値署名スキーム(TSS)の脆弱性を悪用し、1,000万ドル以上が失われました。5月18日にはVerusのブリッジングプロトコルが攻撃され、攻撃者が検証を回避するためのクロスチェーンインポートペイロードを偽造し、イーサリアムの準備金から資産を抽出して約1,158万ドルを奪い去りました。
5月19日には、Monad上で稼働するEcho Protocolが秘密鍵の漏洩により攻撃を受け、攻撃者が7,670万ドル相当のeBTCを1,000枚分新たに発行(ミント)しました。5月24日には、MiCA規制枠組み下のコンプライアンス対応ステーブルコイン発行体StablRが攻撃され、ハッカーがEURRおよびUSDRのミントを通じて280万ドル以上を不正に獲得しました。5月25日にはSquidRouterモジュールが攻撃され、86件のGnosis Safeウォレットから約300万ドルが盗まれました。5月27日には、Arbitrum上で稼働するStakeDAOのデプロイメントキーが侵害され、約5.45兆枚のvsdCRVトークンがミントされました。このように異常に頻発するセキュリティインシデントは懸念を高めており、オンチェーンのコードからオフチェーンのガバナンスに至るまで、DeFi全体が包括的に攻撃されていることを示唆しています。
AIは、ハッカーにとっての「核兵器」へと進化しました。今夏、なぜDeFiのセキュリティがこれほど急速に崩壊したのでしょうか?従来のハッキング手法の進化に加え、AIの能力が飛躍的に向上したことが、まさに「勝敗を決する最終要因」となっています。かつては、複雑なスマートコントラクトの脆弱性を見つけるために、トップクラスのハッカーが数週間から数か月も費やす必要がありました。しかし、豊富な文脈知識・強力な論理的推論能力・自律的なツール呼び出し機能を備えたAIエージェントが成熟した今、状況は一変しました。
攻撃者は現在、AIを活用してリアルタイムでのスキャンやネットワーク全体規模での「ゼロデイ脆弱性」の発見、自動化された攻撃スクリプトの生成、さらにはオフチェーンにおけるDevOpsおよびソーシャルエンジニアリングの統合的運用を行えるようになりました。このAIを武器とするセキュリティ戦争の軍拡競争において、AIを駆使するハッカーは事実上無限の弾薬とミリ秒単位の攻撃速度を手に入れていますが、一方でDeFiは遅いガバナンス投票、マルチシグによる承認、そして遅延するセキュリティ監査といった制約に直面しています。
先月、Claudeを開発するAI企業Anthropicは、新たな世代モデル「Mythos」を正式に発表しました。これは人類史上初めて1兆パラメータを超えるモデルであり、訓練コストは驚異の100億ドルに達します。Mythosはネットワークセキュリティ分野に特化した能力を持つため、Anthropic社は悪意あるハッカーグループによる悪用を防ぐため、このモデルを一般公開することを慎重に検討しています。代わりに、同社はまず「Glasswing」プログラムを通じて、業界トップ企業に限定的にテストを依頼し、潜在的な脆弱性を事前に特定・修正する計画です。
現在のDeFiセキュリティ状況は依然として極めて深刻であり、Mythosの一般公開後、業界のセキュリティ防御が直面する新たな脅威がどのようなものになるのかは想像もつきません。一般のDeFi参加者、流動性提供者(LP)、そして大口投資家(ホワール)にとって、今最も重要なのは「座って、冷静に数字を計算すること」です。長年にわたり、ユーザーは伝統的金融よりも年率何倍もの高いAPY(年利)を求めてDeFiに資金を預けてきました。しかし今日、その根幹となるロジックは、すでに揺らいでいるどころか、完全に覆されている可能性すらあります。DeFiのリスク・リターン比は、すでに大きく崩れています。
リターン面では、主流で比較的信頼性の高いDeFiプロトコルの実質的な収益率は、すでに一桁台にまで低下しています。リスク面では、ユーザーの元本は、いつAIによって突破されるか分からない「ブラックボックス」に晒されています。元本を100%失うリスクを負って、年率約5%のリターンを追求するのは、明らかに見合う取引とはいえません。ハッカーがAIを標準装備として使い始めた今、ある一定のリターンを得るために元本を100%失う覚悟が心理的にできていないのであれば、「ただちに資金を引き上げ、安全を確保する」ことが、現時点のマーケットサイクルにおいて最も合理的かつリスクコントロールされた選択肢となるでしょう。
[律動]
AI駆動型DeFiセキュリティ崩壊:市場分析と戦略的意味合い
最近の著名なDeFiハックの波は、単に一連の孤立した事件ではなく、サイバーセキュリティの状況における根本的なパラダイムシフトを表しており、攻撃者側に一方的に有利な展開を招いています。4月のDrift Protocolの28000万ドルの不正アクセスから5月のStakeDAOの1158万ドルの悪用に至るまで、そのパターンは明らかです:AIが悪意のあるアクターにとっての「核の選択肢」として登場し、従来のセキュリティ対策をますます時代遅れにしています。
市場への影響評価
これらの不正アクセスの累積的な影響は、個々のプロトコルの損害をはるかに超えています。DeFiの核心的な価値提案である「セキュリティを維持しながら収益を生み出す能力」に対する信頼の体系的な崩壊を目の当たりにしています。市場は転換点にあり、リスク対リワードの計算が利益追求参加者のために根本的に変化しています。
この傾向は、市場全体でDeFiトークンのより広範な再評価を引き起こす可能性があります。セキュリティに脆弱なプロトコルは、投資家が資本を投入する前により大きな保証を要求するため、存続の脅威に直面します。私たちは、性能の二極化を予想しています:証明可能に優れたセキュリティインフラを持つプロトコルはおそらくパフォーマンスが向上し、より弱い姿勢を持つものは大幅な評価減値または消滅に直面する可能性があります。
AI軍拡競争:新しい関与ルール
AI能力の加速は、従来のセキュリティフレームワークでは十分に対処できないゲームチェンジャーを表しています。かつてエリート監査官による数週間にわたる手動コードレビューが必要だったものは、文脈分析、論理的推論、自律的なツール呼び出し能力を持つAIエージェントによって数分で完了できるようになりました。
AnthropicのMythosモデルの開発—1兆パラメータ、100億ドルのAI投資—は、この脅威の大きさをさらに強調しています。完全に稼働すると、そのようなモデルはかつてない速さと複雑さで脆弱性を特定でき、デプロイ後わずか数時間で最近監査されたコードさえ脆弱にする可能性があります。
機関投資家にとって、これは従来の手段では緩和できない新しいリスクベクトルを作り出します。攻撃者(制約なく、資金が豊富で、AI強化)と防衛者(ガバナンスに制約され、予算が限られ、人間に依存)の間の不均衡は、持続不可能なレベルに達しています。
リスク再評価:利回り追求の終焉
記事の中心的なテーゼ—DeFiにおけるリスク対リワード比率が根本的に不均衡になったという点—は、真剣な検討に値します。単一桁の利回りが、AI強化攻撃による元本全額の喪失の非ゼロ確率と対比される場合、従来のDeFiの価値提案は崩壊し始めます。
流動性提供者とホエール(大口投資家)にとって、これは資本配分の戦略的再評価を必要とします。厳密なセキュリティ分析なしに利回りを盲目的に追い求める時代は終わりました。投資家は今や、「AI脆弱性リスク」をポートフォリオ構築の主要な決定要因として考慮する必要があり、より成熟したセキュリティインフラを持つCeFiプラットフォームや、強化された監視を伴う規制対応ソリューションにより多くの資本を割り当てる可能性があります。
新しい景観における戦略的機会
この混乱の中から、いくつかの有望な機会が現れています:
-
AI駆動型セキュリティソリューション:攻撃者の複雑さに対応するためにプロトコルが駆け込むにつれて、防御的なAI能力を開発する企業は需要が増加するでしょう。
-
強化された保険メカニズム:プロトコルとユーザーの両方が損失緩和戦略の必要性を認識するにつれて、DeFi保険製品の実現可能性が向上します。
-
規制アービトラージ:規制監視が追加のセキュリティ保証を提供するため、StablRのようなMiCA対応ソリューションが競争優位性を得る可能性があります。
-
専門監査企業:従来のアプローチが時代遅れになるにつれて、AI耐性のある監査手法を開発する企業は大きな市場シェアを獲得できる可能性があります。
-
セキュリティ重視のプロトコル:セキュリティを事後的な考慮事項ではなく、コアの差別化要因として優先するプロジェクトは、市場リーダーとして浮上する可能性があります。
結論:新しい常態を航行する
現在のDeFiセキュリティ危機は、周期的なダウントーン以上のものを表しています—セキュリティが収益生成よりも二次的な関心事とされていた時代の終わりを示しています。投資家にとって、最も合理的な対応は資本の再配置かもしれませんが、これはDeFiからの全面的な離脱ではなく、より高度なセキュリティ意識の高い投資戦略への戦略的シフトとして解釈されるべきではありません。
業界がAnthropicのMythosモデルの潜在的なリリースを待っている中、一つ確かなことはあります:AI強化攻撃者とDeFi防衛者の間の軍拡競争は激化します。適応に失敗するプロトコルは消滅に直面する可能性があり、セキュリティを第一に考えるエシックスを受け入れるものは、AI後の景観でより強く浮上するでしょう。市場参加者にとっての問いは、DeFiに参加するかどうかではなく、AI駆動型セキュリティ脅威の新しい現実を十分に理解した上でどのように参加するかという問題です。