設定ミスがコードの脆弱性を凌駕する
攻撃者は 8 USDC を担保として預け入れ、187 ETH(約 390,000 ドル)を持ち去りました。スマートコントラクトは設計通りに動作しました。オラクルもその役割を果たしました。しかし、誰かが USDC 用のスロットに BTC/USD の Chainlink 価格フィードを設定してしまったのです。そのたった一行の設定ミスが、正常に機能していたレンディング・プロトコルを「無料の現金自動払い機」に変えてしまいました。
DeFi セキュリティの新たな最前線へようこそ。ここでは、最も致命的な脆弱性は Solidity のバイトコードの中に隠れているのではなく、管理ダッシュボード、デプロイスクリプト、そしてパラメータファイルの中に潜んでいます。
7 日間で 1,300 万ドルが消失
2026 年 2 月 23 日から 3 月 1 日の間、7 つのブ�ロックチェーン・セキュリティ・インシデントにより、複数のチェーンにわたるプロトコルから約 1,300 万ドルが流出しました。この特定の週が注目に値したのは、金額の大きさ(2026 年 1 月だけで 8,600 万ドルが失われました)ではなく、その根本原因にありました。損失の大部分は、新しいコードのエクスプロイトではなく、設定エラーに起因していたのです。
BlockSec の週間まとめは明確な全体像を示しています。オラクルの設計および設定の欠陥、暗号学的検証のミス、そして運用上の見落としが、被害の大部分を占めていました。
YieldBlox DAO:単一のオラクル・パスから 1,020 万ドルが流出
最大のインシデントは 2 月 22 日に始まりました。攻撃者は Stellar の Blend V2 プロトコル上で運用されていた YieldBlox DAO のレンディング・プールを標的にしました。基盤となるスマートコントラクトは健全でした。Blend V2 のコードベースには悪用可能なバグはありませんでした。
その代わりに攻撃者は、YieldBlox DAO が Stellar 分散型取引所(SDEX)からの USTRY/USDC 価格設定を受け入れるように Reflector オラクルを設定していたことを特定しました。SDEX は操作可能なほど流動性が低い市場でした。攻撃者は一回の取引で USTRY の価格を約 1.05 ドルから 100 ドル以上に吊��り上げ、過大評価された USTRY を担保にして 6,100 万 XLM と 100 万 USDC(合計 1,020 万ドル以上)を借りました。
Stellar のバリデーターはハッカーが制御するアドレスにある 4,800 万 XLM(750 万ドル相当)を凍結しましたが、被害は発生した後でした。教訓は非常にシンプルです。レンディング・プロトコルの価格依存関係は、慎重に選択し監視されなければならない ということです。Blend V2 のコードをいくら監査してもこれを見つけることはできなかったでしょう。なぜなら、コードは決して問題ではなかったからです。
Ploutos Protocol:間違ったフィード、間違ったチェーン、すべてが間違い
4 日後、Ethereum 上の Ploutos プロトコルは、セキュリティ企業の BlockSec が「内部犯行のように見えるほど悪質なオラクルの設定ミス」と指摘した問題により、390,000 ドルを失いました。このプロトコルのオラクルは、USDC の価値を決定するために BTC/USD の Chainlink 価格フィードを使用するように設定されていました。
その計算結果は壊滅的です。BTC は約 50,000 ドルで取引されていました。USDC の価値は 1 ドルです。攻撃者は 8 USDC(設定ミスのあるオラクルによって、各トークンが数万ドルの価値があるかのよう�に評価された)を預け入れることで、187 ETH を借りました。
このエクスプロイトは、設定ミスが反映された直後のブロックで正確に実行されました。これは、異常なほどの監視が行われていたか、あるいは事前に知識があったことを示唆しています。数時間以内に Ploutos のウェブサイトとソーシャルメディアアカウントは消滅しました。BlockSec はそのタイミングを疑わしいとフラグを立て、暗号資産コミュニティの多くはこの事件を「設定ミスを装った出口詐欺(Exit Scam)」であると分類しました。
Foom Cash:230 万ドルの価値があるデプロイ・チェックリストの不備
3 月 2 日、zkSNARK 暗号技術に基づいて構築されたプライバシー・プロトコルである Foom Cash は、デプロイ時の手順漏れに起因するエクスプロイトにより 226 万ドルを失いました。このプロトコルのフェーズ 2 トラスティッド・セットアップ・プロセスでは、2 つの暗号パラメータ(gamma と delta)をランダム化する必要がありました。しかし、そのステップは完了していませんでした。両方の値がデフォルトのプレースホルダー(G2 ジェネレーター)のままになっていたため、攻撃者はゼロ知識証明を偽造してコントラクトから資金を引き出すことが可能になって��いました。
救いとなったのは対応の速さでした。ホワイトハット・ハッカーの Duha 氏が脆弱性を特定し、悪意のある攻撃者が残りの資金をブリッジする前に、Base 上で 184 万ドルを確保しました。セキュリティ企業の Decurity が Ethereum 上の回収を担当しました。Foom Cash はホワイトハットに 320,000 ドルの報奨金を、Decurity に 100,000 ドルの手数料を支払いました。これは、迅速で倫理的な介入がなければ失われていたであろう金額のほんの一部に過ぎません。
これは Solidity のバグではありませんでした。デプロイ手順の失敗であり、本番サーバーに工場のデフォルトパスワードを残したままにするのと同等の暗号学的なミスでした。
広がるパターン:2026 年 2 月の設定ミス・エピデミック
2 月の最終週は特異な例ではありませんでした。その月の初めには、Base 上の Moonwell プロトコルが、また別のオラクル設定ミスによって約 178 万ドルを失いました。Base の cbETH オラクルに、ETH/USD 価格を組み込んだ複合オラクルではなく、cbETH/ETH の為替レート・フィードが割り当てられていたのです。その結果、cbETH は実際の市場価格である約 2,200 ドルではなく、約 1.12 ドルと報告されました。
2026 年 2 月全体で、Halborn は 4 つの主要なプロトコルハックを通じて 2,350 万��ドルの損失を記録しました。これらのうち、設定関連のインシデント(オラクルの設定ミスやデプロイパラメータのエラー)が不当に大きな割合を占めていました。
このパターンは DeFi レンディングにとどまりません。ブロックチェーン調査官の ZachXBT 氏によって指摘された Trust Wallet ブラウザ拡張機能のブリーチでは、数百人のユーザーから 600 万ドル以上の BTC、ETH、SOL が流出しました。根本原因はサプライチェーンの設定ミスでした。悪意のあるコードが、一見日常的なアップデート・パイプラインを通じて拡張機能バージョン 2.68 に紛れ込みました。そのコードはルーチン的な分析機能に偽装し、リカバリーフレーズを攻撃者が制御するドメインに送信していました。Binance の創設者である Changpeng Zhao 氏は、影響を受けたユーザーへの全額補償を承認しました。
なぜ設定エラーはコードのバグよりも発見が困難なのか
スマートコントラクトの監査は大きく進歩しました。Trail of Bits、OpenZeppelin、Certora といった企業は、プロトコルのコードベースに対して形式検証、シンボリック実行、ファジングを導入しています。Coinlaw の 2026 年の統計によると、監査済みのプロトコルは、未監査のものと比較して、エクスプロイトによる損失が 80% 減少しています。
しかし、監査は特定の時点でのコードを検査するものです。デプロイ プロセス、プール オペレーターによるオラクル パラメータの選択、またはローンチ後の運用上の決定までは監査されません。設定は、「コードが機能する」ことと「システムが機能する」ことの間の死角に存在します。
いくつかの構造的要因により、設定エラーは特に危険なものとなっています。
監査の対象外となる。 プロトコルがすべての監査に満点で合格したとしても、致命的なパラメータの選択でデプロイされる可能性があります。YieldBlox DAO の Blend V2 はアーキテクチャ的には健全でしたが、設定ミスはオペレーター レベルで発生しました。
エクスプロイトされるまで見えないことが多い。 ファジングがトリガーする可能性のあるリエントランシーの脆弱性とは異なり、誤ったオラクル フィードは静的解析では正しいものと同一に見えます。市場の状況によってエクスプロイトが利益を生むようになったときに初めて失敗が露呈します。
パーミッションレスな設計と組み合わさる。 誰でもプールやマーケットを作成できるプロトコル(これはバグではなく機能です)は、本質的に、コア開発チームのようなセキュリティの専門知識を持たないオペレーターに設定の責任を分散させます。
即座に最大の影響を与えるエクスプロイトを生む。 コードの脆弱性は、多くの場合、複雑で多段階の攻撃を必要とします。設定ミスのあったオラクルは、単一のトランザクションで攻撃者に無料の資金を提供してしまいます。
実際に効果のある防御策
業界は静観しているわけではありません。設定のギャップを埋めるために、いくつかの手法が登場しています。
パラメータ検証レイヤー。 プロトコルは、オラクル設定のオンチェーン サニティ チェックを実装し始めています。例えば、価格フィードの報告値が他の参照フィードと比較して妥当な範囲内にあることを要求してから、それを担保評価に採用します。
タイムロックされたパラメータ変更。 オラクルやパラメータの即時更新を許可するのではなく、監視システムやコミュニティ メンバーが不審な変更を指摘できる時間を確保するために、強制的な待機期間を導入しています。
AI による自動監視。 BlockSec の Phalcon や同様のツールは、現在、異常な担保評価を検出し、アラートや自動停止をトリガーできるリアルタイムのトランザクション監視を提供しています。2026 年 2 月の Coindesk のレポートによると、特化型の AI システムは現在、現実世界の DeFi エクスプロイトの 92% を検出できるとされています。
ホワイトハット インフラストラクチャ。 Foom Cash の資産回収は、組織化された迅速な対応チームの価値を証明しました。Immunefi のようなプラットフォームはバグバウンティ プログラムを公式化しており、プロフェッショナルなホワイトハット ネットワークの出現により、倫理的なハッカーが悪意のあるアクターと脆弱なコントラクトをめぐって競争することが多くなっています。
デプロイ チェックリストとセレモニーの検証。 暗号プロトコルにおいて、Foom Cash の事件は、トラステッド セットアップ セレモニーが正しく完了したことの自動検証の導入を加速させました。つまり、パラメータがデフォルトのままではなく、実際にランダム化されているかを確認することです。
数字が物語る真実
この変化は数値化可能です。アクセス制御のエクスプロイトが依然として総損失額の大部分を占めていますが(2025 年上半期だけで 18.3 億ドル、全損失の 59%)、コードのセキュリティが向上しているからこそ、設定関連のインシデントが増加カテゴリとなっています。
スマートコントラクトの監査、形式検証、OpenZeppelin のような実績のあるフレームワークによって従来のコードの脆弱性の範囲が縮小するにつれ、運用セキュリティ(デプロイ手順、パラメータ管理、管理者機能のアクセス制御)の相対的な重要性が高まっています。
2026 年 2 月、上位 5 つのインシデントのうち 4 つは、斬新なコードのエクスプロイトではなく、設定または運用上の失敗によるものでした。2 月 23 日から 3 月 1 日の週は、これまでで最も顕著な例でした。1,300 万ドルが失われ、その大部分はオラクルの設定ミスとデプロイ パラメータのエラーに起因していました。
これが今後の DeFi にとって何を意味するか
DeFi セキュリティの成熟は、従来のソフトウェアで馴染みのあるパターンを辿っています。簡単なバグが修正されるにつれ、困難な問題は上流工程へと移行します。Web アプリケーションでは、SQL インジェクションや XSS が、主要な攻撃ベクトルとしてのクラウド設定ミスや API キーの漏洩に取って代わられました。DeFi も同じ移行期にあります。
プロトコル チームにとって、これはセキュリティが監査レポートで終わるものではないことを意味します。運用セキュリティ(誰がパラメータを変更できるか、オラクル フィードがどのように検証されるか、デプロイ手順が自動化され検証されているか)は、スマートコントラクトのコードと同様の厳格さで扱われるべきです。
ユーザーや投資家にとって、これは異なる質問をすることを意味します。「このプロトコルは監査されているか?」ではなく、「誰が設定を制御しているのか? たった一つの設定ミスによってプールが空になるのを防ぐために、どのようなチェックが行われているか?」という質問の方が適切です。
コードは向上しています。リスクが現在潜んでいるのは設定の方です。
BlockEden.xyz は、モニタリングおよびアラート機能を内蔵したエンタープライズ グレードのブロックチェーン API およびノード インフラストラクチャを提供します。信頼性の高いオラクル統合と運用の可視性を必要とする DeFi プロトコルを構築しているチームは、API マーケットプレイスを探索して、プロダクション グレードのセキュリティを考慮して設計された基盤の上に構築してください。