ハッカーと規制がDeFiを台無しにしたのか？

著者：谷昱，ChainCatcher

2026年4月、連続する安全災害がDeFiを再び世論の風口に押し上げました。Kelp DAOとDrift Protocolの2件の攻撃は合計で5.75億ドル以上の損失をもたらし、DeFiの総ロック価値（TVL）は約1720億ドルから1480億ドルに急落し、貸出セクターのTVLも530億ドルから400億ドルに崩壊しました。

最近数日間、著名なセキュリティ監査会社 OpenZeppelin の共同創設者Manuel AráozはXプラットフォームで率直に言いました：「私はすべてのDeFiが安全ではないと考えています。」彼はさらに、Aave、MakerDAO、Compoundなどの「低リスクブルーチップ」として認識されているプロトコルのすべてのDeFiポジションを親しい友人に清算するよう私的に勧め始めたと述べました。

この判断は非常に耳障りですが、考えさせられます。結局のところ、OpenZeppelinは長年にわたりDeFiの世界で最も重要なセキュリティインフラの構築者の一つであり、そのスマートコントラクトの標準とセキュリティツールは業界全体の発展の過程にほぼ貫通しています。もしスマートコントラクトのセキュリティシステムを最も理解している人々がDeFiのリスクを疑問視し、果断に撤退し始めたのであれば、それは明らかにより深い問題が浮上していることを意味します。

過去数年間、DeFiが挫折するたびに、人々は迅速に具体的な理由を見つけることができました。市場が低迷しているとき、人々は責任をマクロ環境に帰します；ハッキングが発生したとき、人々は技術的な欠陥のせいだと考えます；規制当局が行動を起こすとき、人々は問題を政策圧力に帰結させます。

しかし、時間の次元を引き延ばすと、人々はますます明確な事実に気づくでしょう：DeFiが今日直面している困難は、ある一回の攻撃、ある一つの規制政策、またはある一つの失敗したプロジェクトによって引き起こされたものではなく、その最初に基づいて構築された2つのコアロジックが同時に挑戦を受けているのです。

一つのロジックは技術の世界から来ており、すなわちコードが信頼に取って代わることができるというものです。もう一つのロジックは制度の世界から来ており、すなわちオープンネットワークが伝統的な金融システムの制約を回避できるというものです。

そして、ハッカーと規制は、まさにこの2つの柱をそれぞれ打撃しました。

一、DeFi安全危機の深層的進化

10年間、DeFiの安全分野の核心的逆説は決して変わりませんでした。Web3のセキュリティ研究者はすでにこの致命的な非対称性を認識しています：防御側は利用される可能性のあるすべての隙間を塞がなければならず、攻撃者は一つの環節で成功すればよいのです。

表面的には、攻撃手法はクロスチェーンブリッジの脆弱性、多署名権限の奪取、オラクルの操作などの古典的な手法に過ぎません。しかし、Kelp DAOとDrift Protocolの2件の事件は、より残酷な傾向を明らかにしました：最も致命的な脆弱性は、しばしばスマートコントラクトのコード内には存在しないのです。

4月18日、イーサリアム流動性重質担保プロトコルKelp DAOが攻撃を受けました。攻撃者はLayerZeroクロスチェーンブリッジのDVN（分散型検証ネットワーク）設定の脆弱性を利用し、クロスチェーンメッセージを偽造し、数時間以内にクロスチェーンブリッジから116,500枚のrsETHを引き出しました。当時の価格で約2.93億ドルに相当します。

この災害の本質は設定ミスであり、コードの欠陥ではありません。Kelp DAOはLayerZeroのクロスチェーン検証ネットワークに「1-of-1」を選択しました------1つのDVNノードの確認だけで、クロスチェーンメッセージは合法と見なされます。攻撃者が検証データを提供する2つのRPCノードを攻撃し、DDoS攻撃を仕掛けた後、全体のブリッジシステムは形骸化しました。

4月1日、Solanaエコシステムの最大の永続契約DEXの一つであるDrift Protocolが攻撃を受け、2.85億ドルの損失を被り、2026年現在最大の単一DeFi攻撃事件となり、Solana史上2番目のハッキング事件となりました。

これもまたスマートコントラクトの脆弱性ではありません。攻撃者はソーシャルエンジニアリングを通じて多署名ウォレットの3人の署名者のうち少なくとも2人を攻撃し、Solanaのdurable nonce機能を使用して彼らに悪意のある取引を事前に署名させました。攻撃者が管理者権限を取得すると、12分以内に資金を盗むことができました。

攻撃の根源は運営セキュリティ（OpSec）の徹底的な失敗にあります：多署名ウォレットの設定ミス、鍵管理の盲点、社会工学の防線が形骸化しています。

これら2件の事件は、DeFi安全危機の深層的進化を明らかにしました：攻撃の突破口は、従来のスマートコントラクトコードの脆弱性から、体系的に設定層と人間性/OpSec層に移行しています。

Manuel Aráozは問題の核心を鋭く指摘しました：「スマートコントラクトの安全性は本質的に極度に非対称なゲームです------防御側はすべての脆弱性を修正しなければならず、攻撃側は1つ見つけるだけで資金を盗むことができます。」AIが攻撃効率を指数関数的に強化し始めた後、この非対称性は急速に不均衡になっています。

AIコーディングエージェントは、過去にトップホワイトハットチームが数週間かけて発見する必要があった問題を数分で自動的に完了でき、公開されたプロトコルコードに基づいて攻撃スクリプトを自律的に生成することさえできます。OpenZeppelinは業界で最も主流なセキュリティ監査会社の一つとして、その共同創設者がこのように悲観的な判断を下すことは、信号のようなものです------セキュリティ業界自体が、既存の防御フレームワークが体系的な失敗に直面していることを認識し始めているのです。

二、規制圧力の持続的拡散

安全危機が深刻化する中、規制の力もオンチェーンとオフチェーンの2つの次元で持続的に圧力をかけています。

5月26日、英国政府は暗号通貨取引所HTXをロシア制裁リストに追加し、初めて第17A条規を用いて暗号資産取引所に制裁を実施しました。英国はHTXが2025年に3.3兆ドルの取引量を処理し、制裁対象のA7決済ネットワークおよびロシアの取引所Garantexに金融サービスを提供したと非難しています。

制裁によって引き起こされた連鎖反応は急速に広がり、複数の主流AML会社がHTX取引所のアドレスを危険アドレスリストに追加したため、多くの取引所がHTX関連アドレスとの取引審査を厳格化し、多くのHTXユーザーが他の取引所に資産を引き出す際に入金ができない状況が発生しました。

HTX事件は、より深い困難を明らかにしました：複雑な地政学的状況の下で、規制によって発動された制裁令がオンチェーンで拡大する連鎖効果を引き起こし、最終的には無数の一般ユーザーの資金移動に影響を及ぼす可能性があるということです。HTXのユーザーは完全に無実に資産を保有しているが、プラットフォームの潜在的なコンプライアンスリスクのために、他の取引所に引き出す際にAMLシステムの「ファイアウォール」に阻まれ、資金が凍結されたり無期限に遅延したりする可能性があります。

実際、HTX事件は規制圧力の氷山の一角に過ぎません。DeFiの革新に対する深層的な制約を構成するのは、規制当局によるプロトコルの基盤ビジネスモデルの法的定義です。

過去2年間、米国SECはCompound、Uniswap、Curveなどの「ブルーチップ」DeFiプロトコルに対して調査を行い、ガバナンストークンが未登録の証券に該当するかどうかを重点的に追及しました。より直接的な打撃は収益型トークン分野から来ており、SECがGemini Earnなどの製品に対して行った法執行は、プロトコルがユーザーに預金に基づく受動的利息を支払う場合、投資契約と見なされる可能性が高くなり、証券法の登録および開示義務を引き起こすことを示しています。

この法的定義の曖昧さと高圧は、DeFiの最も想像力豊かな革新方向を直接抑制しています：流動性マイニングから構造的収益製品まで、開発者は常に自分のトークン経済モデルが規制のレッドラインを越えていないかを心配しなければなりません。

ある意味で、DeFiが最初に強調していた「許可不要」は、別の形の「許可制度」に徐々に変わりつつあります。この「許可」は特定の企業やプロトコルから来るのではなく、規制コンプライアンスのチェーン上の各段階から来るものです：AMLリスト、取引所のリスク管理エンジン、証券法の長い腕の管轄などです。

三、DeFiが現実主義の段階に入る

DeFiの過去数年の浮き沈みを振り返ると、DeFiの安全な困難と規制圧力は独立して存在するものではありません。明確な規制フレームワークの欠如は、安全基準の業界コンセンサスを確立することを難しくし、安全事件の頻発は逆に世界中の規制当局が法執行を厳格化するための最も直接的な理由を提供します。そして、AI時代に加速する安全な非対称性と徐々に厳しくなるコンプライアンスのハードルが最終的に交錯し、無数の一般ユーザーを嵐の中心に押しやります。

本質的に、安全監査の境界と規制コンプライアンスの硬直性は、DeFiが立脚する2つのコア仮定「コードは法律である」と「許可不要の自由」を持続的に侵食しています。

現在、ユーザーは従来の金融よりも高い技術リスクを負っていますが、従来の金融よりも多くの自由を得られるわけではありません。これが今日多くの市場参加者が混乱を感じる理由です。彼らは、DeFiが銀行のように安全でもなく、最初に約束されたように完全にオープンでもないことに気づきました。

そして、システムが同時に安全なプレミアムと自由なプレミアムを失うと、その成長の論理は自然に挑戦を受けることになります。したがって、問題は「ハッカーと規制がDeFiを破壊したのか」というべきではありません。

より正確には、ハッカーと規制は業界が現実に直面せざるを得ない状況を作り出したのです。ハッカーは人々に、コードが自然に信頼を生み出すことはできないことを認識させ、規制は人々に、オンチェーンの世界が現実の世界から切り離されて運営される平行宇宙ではないことを認識させました。

これはDeFiの失敗を意味するものではありません。むしろ、これはこの実験が理想主義の段階から現実主義の段階に入っていることを意味します。

DeFiはハッカーの手によって破壊されたのでも、規制の網によって破壊されたのでもありません。両者が共に形成する生存法則によって再定義されています：未来のDeFiは、より厳格な業界の安全自律とコンプライアンスフレームワークに向かうか、去中心化の原則に妥協せざるを得なくなるか、あるいは持続的な攻防の不均衡の中で市場の信頼を徐々に失い、長期的に周縁化されるかのいずれかです。