ブロックチェーン・セキュリティの専門家たちが、暗号資産プロトコルに対し、スマートコントラクトの再監査を急ぐよう訴えている。AIツールの発達によって、ハッカーが脆弱性を発見するスピードは、かつてないほど速まっているからだ。
「われわれのデータは、一度きりの監査ではなく、継続的なレビューが必要だと示している」
TRMラボの政策責任者アリ・レッドボード氏は、コインテレグラフにそう語った。さらに同氏は、「攻撃手法の進化は、ローンチ時に行った一回の監査で対応できる速度を上回っている」と指摘する。
「昨年の攻撃パターンを前提にした監査では、今年の攻撃にはプロトコルが丸裸になる。悪意ある攻撃者は、やり口を変えてきているのだ」
サーティックは月曜日、2026年上半期だけでハッカーが新たに13億2000万ドル、日本円で約2143億円を盗み出したと報告した。業界全体でセキュリティ対策が強化される一方、攻撃者たちはそれに応じて、ますます高度な戦略を採用しているという。
その戦略の一つが、古いコードベースを改めて掘り返すことだ。サーティックは、攻撃者のこうした動きについて、「潜在的な脆弱性を大規模に見つけ出す自動化ツールの改善に助けられている可能性が高い」としている。
最近の事例の一つが、プライバシー重視のブロックチェーン「ジーキャッシュ」だ。シールデッド・ラボのセキュリティエンジニア、テイラー・ホーンビー氏は、アンソロピックの「クロード・オーパス4.8」を搭載した独自の監査エージェントを使い、重大なセキュリティ上の脆弱性を発見した。このバグはすでに修正されている。
この脆弱性は4年間にわたって存在していたもので、ネットワークの主要なプライバシー機能の一つである「オーチャード」のシールドプール内で、検知不能な偽造を可能にしていた恐れがあった。
「最大の脆弱性が存在する期間は、ローンチ後に閉じるわけではない」
サーティックはそう警告する。
「レガシーインフラを運用するプロジェクトは、再監査を、デプロイ時に一度だけ行う作業ではなく、繰り返し実施すべき運用上の要件として扱うべきだ」
アンソロピックは昨年12月、AIエージェントがスマートコントラクト内に、悪用可能な460万ドル、日本円で約7億4700万円相当の脆弱性を発見したとする調査を実施している。一方で、数百のDeFiプロトコルには723億ドル、日本円で約11兆7400億円相当の暗号資産がロックされている。ハッカーにとって、脆弱なスマートコントラクトを狙う動機は十分すぎるほどある。
SlowMist's estimate of total crypto losses from blockchain hacks. Source: SlowMist停止済みプロトコルも標的に
6月14日、ハッカーはスマートコントラクトの脆弱性を悪用し、2023年3月から停止していたアズテック・コネクトから210万ドル、日本円で約3億4100万円を盗み出した。
その5日後には、分散型取引所「マイスワップ」のスマートコントラクトが攻撃され、30万ドル、日本円で約4870万円が流出した。マイスワップのユーザーインターフェースは、すでに6カ月以上前から新規流動性の預け入れを停止していたにもかかわらず、である。
一方で、より幸運な出来事もあった。5月、ホワイトハットハッカーの「0xフローレント」は、2016年のホンコイン(HONG)ICOに参加した48人の投資家から、1003ETH、当時172万ドル超、日本円で約2億7900万円相当を回収する手助けをした。
このICOは資金調達目標に届かず、結局ローンチされなかった。しかし、自動返金機能にバグがあったため、資金はスマートコントラクト内に閉じ込められたままになっていた。
TRM「再監査だけでは足りない」
レッドボード氏によれば、課題はコードベースやインフラを堅牢にするだけでは終わらない。業界全体、そして規制当局は、北朝鮮による悪意あるサイバー活動を抑え込み、中国系のマネーロンダリングネットワークを寸断する方法を、今後も探り続ける必要があるという。
「プロトコルがドアに鍵をかけることはできる。だが、押し入ってくる犯人を追う者も、やはり必要なのだ」


