メインコンテンツまでスキップ

2026年 スマートコントラクト監査の現状:34億ドルの仮想通貨盗難がセキュリティ革命を求める理由

· 約 16 分
Dora Noda
Dora Noda
Software Engineer

2025年上半期だけで、攻撃者は暗号資産プロトコルから23億ドル以上を流出させました。これは2024年全体の合計を上回っています。アクセス制御の脆弱性だけで、その被害の16億ドルを占めています。2025年2月の Bybit ハッキング(14億ドルのサプライチェーン攻撃)は、最大級の取引所であっても依然として脆弱であることを証明しました。2026年を迎える今、スマートコントラクト監査業界は最も重要な局面に立たされています。進化を遂げるか、それともさらに数十億ドルが攻撃者のウォレットに消えていくのを静観するかです。

2025年の脅威概況:記録と啓示の年

Chainalysis のデータによると、2025年の暗号資産盗難額は34億ドルに達しました。これは2024年の33.8億ドルから微増ですが、攻撃パターンに懸念すべき変化が見られます。2025年版の OWASP スマートコントラクト Top 10 では、分析された149件のインシデントで14.2億ドル以上の損失が記録されており、スマートコントラクトがどこで失敗するのかを最も明確に示しています。

アクセス制御の脆弱性が9億5,320万ドルの損失でトップを占め、次いでロジックエラー(6,380万ドル)、リエントランシー攻撃(3,570万ドル)、フラッシュローン攻撃(3,380万ドル)と続きました。これらの数字はある物語を物語っています。最も壊滅的な攻撃は、風変わりな暗号技術的欠陥を突くのではなく、適切な監査で発見されるべき日常的な権限設定のミスを突いているのです。

北朝鮮の国家支援型ハッカーは、依然として業界最大の脅威です。2025年だけで20.2億ドルを盗み出し、前年比で51%増加しました。彼らのこれまでの累計盗難額は67.5億ドルを超えています。北朝鮮のアプローチは、場当たり的な搾取から洗練されたソーシャルエンジニアリングへと進化しており、工作員がIT労働者として暗号資産企業内に潜入したり、役員になりすましてアクセス権を得たりしています。

DeFi における年内最大の単独搾取事件は Cetus Protocol を襲い、わずか15分で2億2,300万ドルが流出しました。これは DEX の集中流動性ロジックにおけるオーバーフローチェックの脆弱性を突いたものでした。Balancer は2025年11月、端数処理の方向性の欠陥により1億2,000万ドルを失いました。GMX V1 は4,000万ドルのリエントランシー攻撃を受けました。それぞれの事件は、監査済みのプロトコルであっても重大な脆弱性が潜んでいる可能性があることを浮き彫りにしました。

OWASP スマートコントラクト Top 10 (2025):新しいセキュリティのバイブル

Open Web Application Security Project (OWASP) は、2025年にスマートコントラクト Top 10 を更新し、約10年間にわたるセキュリティインシデントを実用的なガイダンスへと統合しました。このランキングは、理論上の脆弱性ではなく、実際の攻撃がどのように展開されるかを反映しています。

SC01: アクセス制御の脆弱性 がリストのトップにあるのには正当な理由があります。不適切に実装された権限とロールベースのアクセス制御 (RBAC) により、攻撃者がスマートコントラクトを不正に制御できるようになります。公開された管理機能、脆弱な onlyOwner 修飾子、不足しているロールチェックは、依然として最も一般的な攻撃ベクトルです。UPCX のハッキングはこれを完璧に実証しました。攻撃者は侵害された特権キーを使用して悪意のあるコントラクトアップグレードを実行し、管理アカウントから7,000万ドルを流出させました。

SC02: 価格オラクルの操作 は2025年の更新で独自のカテゴリーとなりました。これは、DeFi プロトコルを悪用するために価格フィードを操作する攻撃が巧妙化していることを反映しています。オラクルベースの搾取は、特にプロトコルが冗長性やサーキットブレーカーなしでオフチェーンデータを取り込む場合に、最も執拗な脅威の一つであり続けています。

SC03: ロジックエラー は、「コードが意図とは異なる動作をする」という広範なカテゴリーを含みます。これらの脆弱性は、単なるコードパターンではなくビジネスロジックへの深い理解を必要とするため、複数の監査を潜り抜けることがよくあります。

SC04: リエントランシー攻撃 は、7,000万ドルを流出させた2016年の DAO ハック以来、よく理解されているにもかかわらず存続しています。開発者は、特に複雑なトークン相互作用が予期しないコールバックの機会を生み出すイールドファーミングやレンディングプロトコルにおいて、依然としてリエントランシーのリスクを過小評価しています。

SC05: 入力バリデーションの欠如 は、直接的なコントラクト搾取の34.6%を占めています。不完全な入力検証は、2021年、2022年、2024年のハックの主な原因でした。これは、適切なテストによって排除されるべき根強い脆弱性です。

前年からの注目すべき変更点には、フロントランニング攻撃の削除(EIP-1559 とプライベートメムプールによって緩和)、タイムスタンプ依存性(Chainlink VRF によって対処)、ガス制限の脆弱性(プロトコルの改善により減少)が含まれます。

監査法人の階層:誰が番人を守るのか?

スマートコントラクト監査市場は、それぞれ独自の強みと手法を持つ少数の主要プレーヤーに集約されています。

CertiK は5,500件以上の監査を完了し、約83,000件の脆弱性を発見しました。コロンビア大学とイェール大学の教授陣によって設立された同社は、コードが意図通りに正確に機能することを数学的に保証する手法である「形式検証(Formal Verification)」を適用しています。独自の Skynet システムは継続的なブロックチェーン監視を提供し、スマートコントラクトの挙動を追跡して、悪用される前に脅威を特定します。クライアントには Polygon、Binance、Aave などが含まれ、数千億ドルの資産を保護しています。

OpenZeppelin は、安全なスマートコントラクトを初日から利用可能にすることで評価を築きました。業界をリードする同社のオープンソースライブラリは、ほとんどの Solidity 開発の基盤となっており、Uniswap、Coinbase、Ethereum Foundation、AAVE、Compound、Polkadot などのクライアントを通じて500億ドル以上の資産を保護しています。新しい AI 搭載ツール「Contracts MCP」は、複雑なセキュリティプロセスを開発者フレンドリーなワークフローに変換します。

Trail of Bits は、監査も行うセキュリティ調査ラボとして運営されています。その深い専門知識は、暗号学、コンパイラ理論、形式検証、低レベルシステムエンジニアリングに及びます。Trail of Bits は、Slither(静的解析)、Echidna(ファジング)、Medusa(シンボリック実行)など、業界で最も尊敬されているオープンソースセキュリティツールを構築しています。その調査優先の文化は、非常に深い発見と実用的な修正パスにつながっています。

Sherlock はライフサイクルセキュリティのリーダーとして台頭し、継続的なカバレッジとバグバウンティを通じて、初期監査を超えて保護を拡張するアプローチを開拓しました。そのモデルは、セキュリティが単発のイベントではなく継続的なプロセスであるという現実に即しています。

Halborn は、インシデント対応とハッキング後の分析に特に強みを持ち、トップ層の一角を占めています。同社の月次 DeFi ハックレポートは、セキュリティ専門家にとって不可欠な読み物となっています。

予防フレームワーク:セキュリティを組み込む

最も効果的なセキュリティのアプローチは、監査をメインネット稼働前の最終チェック項目としてではなく、包括的なフレームワークの一要素として扱うことです。

形式検証 (Formal Verification) は、学術的な試みから実用的な必需品へと進化しました。CertiK のアプローチでは、コードの正当性を保証するために数学的証明を使用します。Certora Prover は、静的解析と制約解消を用いて CVL (Certora Verification Language) で記述された仕様をチェックします。Kontrol は Foundry のテストフレームワークと統合されており、専門的な背景を持たない開発者でも形式検証を利用できるようにしています。a16z によって開発された Halmos は、プロパティベースのテストにシンボリック実行を使用しています。

セキュリティ・ファーストの開発 では、すべてのコミットを潜在的な攻撃ベクトルとして扱うことが求められます。最新の CI/CD パイプラインは、コードが本番ブランチに到達する前に危険なパターンにフラグを立てる、自動化された脆弱性スキャンを実装すべきです。Slither のような静的解析ツールは、複雑攻撃パターンや経済的な脆弱性を検出できます。Echidna などのツールを使用したファズ・テストは、コントラクトにランダムな入力を与え、従来のテストでは見逃されるエッジケースをあぶり出します。

デザインパターン は、脆弱性を軽減する実績のある構造を提供します。プロキシ・パターン (Proxy pattern) は、デプロイ後のバグ修正に不可欠なアップグレード可能なコントラクトを可能にします。Ownable パターンは、テスト済みのコードでアクセス制御を管理します。サーキットブレーカー・パターン (Circuit Breaker pattern) は、緊急時に開発者がコントラクト機能を一時停止できるようにし、予期せぬ悪用に対するセーフティネットを提供します。

フェイルセーフ・メカニズム には、機密性の高い操作に複数当事者からの承認を必要とするマルチシグ・ウォレット、重要な操作が実行される前に遅延を追加するタイムロック、そしてコントラクト全体を置き換えることなくバグ修正を可能にするアップグレード可能性が含まれます。しかし、Hacken の調査によると、ハッキングされたプロトコルのうちマルチシグ・ウォレットを使用していたのはわずか 19% であり、コールドストレージを採用していたのはわずか 2.4% に過ぎず、改善の余地が非常に大きいことを示しています。

人的要因:技術的なセキュリティだけでは不十分な理由

2025 年の最も深刻な統計:フィッシングとソーシャルエンジニアリングが現在、すべての DeFi 侵害の 56.5% を占めており、主要な攻撃ベクトルとして従来の技術的脆弱性を上回っています。2024 年に盗まれた資金の 80.5% はオフチェーン攻撃によるもので、アカウントの乗っ取りが全インシデントの 55.6% を占めていました。

Bybit のハッキングはこの変化を象徴しています。攻撃者は巧妙なスマートコントラクトのバグを見つけたのではなく、プロジェクトの署名インフラに対してサプライチェーン攻撃を仕掛けたのです。2025 年 9 月に発生した最大の DeFi ハッキングは、主にトークンをミントして資産を流出させるために使用された、秘密鍵の流出が原因でした。技術的な監査は、従業員がフィッシングリンクをクリックすることを防ぐことはできません。

この現実は、セキュリティ戦略がコードレビューの域を超えて拡張される必要があることを示唆しています。全チームメンバーに対するセキュリティトレーニング、鍵管理のためのハードウェア・セキュリティ・モジュール (HSM)、および運用セキュリティ・プロトコルは、形式検証と同じくらい重要になります。業界で最も洗練された攻撃者である北朝鮮の国家主導のハッカーは、ソーシャルエンジニアリングが効果的であることを知っているため、そこに多額の投資を行っています。

2026 年の展望:何が変わり、何が変わらないのか

厳しい統計にもかかわらず、意味のある進歩が見られます。DeFi の TVL は 2023 年の低水準から大幅に回復しましたが、ハッキングによる損失は比例して増えてはいません。Chainalysis は、「プロアクティブな監視、迅速な対応能力、および断固とした行動が可能なガバナンス・メカニズムの組み合わせにより、エコシステムはより機敏で回復力のあるものになった」と指摘しています。

監査業界は、監査、ツール、研究者ネットワーク、およびローンチ後の保護を統合されたワークフローに組み合わせた、コネクテッド・セキュリティ・システムへと集約されつつあります。Sherlock、OpenZeppelin、Trail of Bits、CertiK、Halborn はそれぞれ、Web3 セキュリティが実践される上での主要な柱を代表しており、それぞれが特定の時点での監査から継続的なセキュリティへと拡大しています。

AI の統合は、セキュリティの両側面で加速しています。Anthropic の AI エージェントは 460 万ドル相当のスマートコントラクトの脆弱性を発見したと報告されており、AI 支援による監査がセキュリティレビューの能力を大幅に拡大できる可能性を示唆しています。OpenZeppelin の AI 駆動型ツールは、一般的な開発者でも形式検証を利用できるようにしています。

それでも、根本的な脆弱性は依然として一貫しています。アクセス制御の不備、入力検証の失敗、リエントランシー・バグは、長年セキュリティリストのトップを占めています。OWASP スマートコントラクト・トップ 10 が存在するのは、まさにこれらのパターンが繰り返され続けているからです。セキュリティ・ファーストの開発が例外ではなくデフォルトになるまで、数十億ドルの損失は続くでしょう。

安全な未来を築く

開発者にとって、今後の道筋は、セキュリティをローンチ前の通過点ではなく、継続的な慣行として採用することを求めています。セキュリティ上重要なコンポーネントを再実装するのではなく、OpenZeppelin の監査済みライブラリを使用してください。Slither や Echidna を CI/CD パイプラインに統合してください。重要なコードパスには形式検証の予算を割り当ててください。そして、プロトコルを運用する人間が最大の弱点になり得ることを認識してください。

プロトコルにとってのメッセージも同様に明確です。包括的なセキュリティプログラムのコストは、悪用(エクスプロイト)された際のコストと比較すれば誤差の範囲に過ぎません。CertiK の継続的な監視、Sherlock の監査カバレッジ、Trail of Bits の研究レベルのレビューは、攻撃が発生した際に何倍にもなって報われる投資です。

2025 年に盗まれた 34 億ドルは、正当なユーザーから攻撃者への大規模な価値の移転を意味しており、その多くは兵器プログラムの資金源となっている国家主導のハッカーに流れています。より優れた監査、形式検証、および運用セキュリティを通じて守られたすべてのドルは、金融の未来を構築するエコシステムに留まるドルとなります。

ツールは存在します。専門知識も存在します。フレームワークも存在します。欠けているのは、それらを使用するという業界全体のコミットメントです。

BlockEden.xyz は、セキュリティ・ファーストの原則に基づいて設計された安全なブロックチェーン・インフラストラクチャを提供します。スマートコントラクトのセキュリティが Web3 の未来を定義する課題となる中で、信頼性の高いノードサービスと API アクセスは、安全なアプリケーション開発の基盤となります。API マーケットプレイスを探索して、大規模なセキュリティを考慮して設計されたインフラストラクチャ上で構築を開始しましょう。

Share on Twitter