DeFi セキュリティを永遠に変えた 4,500 万ドルの AI エージェント悪用事件
2026 年初頭、自律型 AI トレーディングエージェントが DeFi プロトコルから 4,500 万ドルを流出させたとき、その攻撃はスマートコントラクトのコードを一行も悪用しませんでした。その代わりに、攻撃者は AI エージェントが盲目的に信頼していたオラクルデータフィードを汚染し、エージェント自身のスピードと自律性を、それらが保護するために設計されたプロトコルに対する武器へと変えたのです。暗号資産における最も危険な脆弱性がコードの中にあるのではなく、AI の中にあるという時代の到来です。
自律型エージェントの台頭 — そしてその盲点
2026 年第 1 四半期までに、オンチェーンの 1 日あたりのアクティブ AI エージェント数は 250,000 を超え、前年比 400% 以上の増加を記録しました。新規 DeFi プロトコルの約 68% が、トレード、清算、およびイールドの最適化のために自律型 AI エージェントを統合していました。世界の AI エージェント市場は 78.4 億ドルから 526.2 億ドルへと成長すると予測されており、暗号資産セクターはその採用の最先端にありました。
しかし、この猛烈な成長には重大な見落としがありました。従来のスマートコントラクト監査はコードの正しさを検証します。つまり、関数が記述通りに実行されるかどうかをチェックします。しかし、監査できないのは、検証済みのスマートコントラクトと AI 推論の間に位置する統計的推論レイヤーです。AI エージェントは単に指示に従うだけではありません。データを解釈し、確率的な決定を下し、人間には不可能なスピードでトレードを実行します。その解釈レイヤーこそが、誰も監視していなかった攻撃対象領域(アタックサーフェス)となったのです。
4,500 万ドルの流出事件の全貌
2026 年 4 月に世間を騒がせたこの悪用事件は、AI エージェントが価格発見のために依存していたデータフィードという、一見単純なものを標的にしていました。攻撃者は、著名な複数の AI トレーディングエージェントが、十分な懐疑心を�持たずにオラクルの価格データを消費し、すべてのデータポイントを「真実(Ground Truth)」として扱っていることを見抜いたのです。
攻撃は 3 つの段階で展開されました:
-
オラクル汚染(Oracle Poisoning): 攻撃者は流動性の低いペアの価格フィードを操作し、実際の市場状況とは異なる人工的な価格シグナルを作り出しました。スマートコントラクトのロジックを標的にする従来のオラクル攻撃とは異なり、この悪用は AI の意思決定パイプラインを直接標的にしました。
-
決定論的な悪用(Deterministic Exploitation): AI エージェントは予測可能でパターンに基づいたロジックで価格シグナルに反応するため、攻撃者はエージェントが特定の価格の歪みにどのように反応するかを正確に予測できました。彼らは特定のトレーディングシーケンスを誘発するように設計されたインプットを作成しました。これは、金融インフラに適用された敵対的機械学習(Adversarial Machine Learning)の一種です。
-
連鎖的な実行(Cascading Execution): AI エージェントは、人間のトレーダーやサーキットブレーカーが介入できるよりも早く動作しました。最初のエージェントが操作された価格でトレードを実行すると、その結果として生じたオンチェーンの状態変化が下流のエージェントの反応を誘発し、数分以内に複数のプールにわたって流動性を流出させる連鎖を引き起こしました。
被害総額:誰も対応できないうちに 4,500 万ドル以上が抽出されました。
孤立した�事件ではない
4,500 万ドルの悪用事件は最も劇的でしたが、決して唯一の事例ではありません。2026 年上半期には、AI 特有のセキュリティ障害が不穏なパターンとして現れました:
-
Step Finance(2026 年 1 月): AI 支援による侵害により、Solana の DeFi ポートフォリオマネージャーから約 4,000 万ドルが流出しました。エージェントは、プロトコルが適切な隔離なしに過剰な権限を許可していたため、261,000 SOL を超える不正送金を実行しました。
-
Lobstar Wilde トークン流出: AI トレーディングエージェントが数量のパースエラーにより、誤って 5,243 万 LOBSTAR トークンすべてを送金しました。これは伝統的な意味でのハッキングではなく、AI 実行レイヤーの壊滅的な失敗でした。
-
Makina Finance(500 万ドル、2026 年第 1 四半期): 攻撃者は Aave のフラッシュローン、Uniswap のスワップ、Curve の価格操作、およびイールドプロトコルの流出を連鎖させました。これはプロトコルをまたいだ推論を必要とする多段階の悪用であり、AI エージェントが可能にすると同時に、脆弱でもある複雑な攻撃の典型例です。
これらの事件に共通しているのは、脆弱性がスマートコントラクトにあったのではないということです。それは、データを解釈し意思決定を行う AI レイヤーにありました。
10:1 の攻撃・防御の非対称性
おそらく最も憂慮すべき発見は、学術研究からもたらされています。イリノイ大学アーバナ・シャンペーン校の 2025 年の論文は、重要な経済的閾値を確立しました。AI 駆動の悪用エージェントは、抽出可能な価値が約 6,000 ドルになると収益性が向上します。一方、防御側は、同じクラスの攻撃に対して損益分岐点に達するのに約 60,000 ドルを必要とします。
攻撃者に有利なこの 10:1 の非対称性は、DeFi セキュリティにおいて前例のないものです。その経済性は衝撃的です:
-
管理された研究において、研究者らは以前に悪用された 50 の DeFi コントラクトをテストネットワークにデプロイしました。脆弱性のヒントなしにコントラクトアドレスと ABI のみを与えられた AI エージェントは、フラッシュローン攻撃パス、リエントランシーチェーン、およびオラクル操作シーケンスを独自に発見し、それらはオリジナルの人間による悪用と一致、あるいはそれを改善するものでした。
-
最近デプロイされた 2,849 の Binance Smart Chain コントラクトに対して AI 悪用エージェントを実行するコストは、わずか 3,476 ドルでした。両方のエージェントが、以前は知られていなかった 2 つのゼロデイ脆弱性を独自に発見しました。
-
AI モデルがより安価で高性能になるにつれて、コントラクトのデプロイから潜在的な悪用までの猶予期間はゼロに近づいています。
新しいカテゴリーの攻撃対象領域(アタックサーフェス)
AI エージェントの脆弱性が従来のスマートコントラクトのバグと根本的に異なる点は、従来のセキュリティアプローチが通用しないことです。
監査不可能な実行レイヤー: スマートコントラクトの監査は、コードが宣言通りに動作することを確認します。しかし、AI エージェントの動作はモデルの重み、トレーニングデータ、実行時のコンテキストから生じるものであり、Solidity コードのように形式的に検証することは不可能です。「安全」なエージェントであっても、トレーニング中に遭遇したことのない敵対的入力が与えられると、予測不可能な挙動を示す可能性があります。
メモリポイズニング(記憶汚染): セッション終了時に終了するプロンプトインジェクション攻撃とは異なり、メモリポイズニングはエージェントの長期ストレージに悪意のある指示を植え付けます。これらの「スリーパーエージェント」は、特定の市場条件、日付、価格水準などのトリガーが作動するまで、数週間も休止状態で潜伏し続ける可能性があります。シミュレーション環境では、単一の侵害されたエージェントが 4 時間以内に下流の意思決定の 87% を汚染しました。
クロスプロトコル推論のギャップ: AI の最も強力な能力は、同時に最大の脆弱性でもあります。プロトコル A の状態変化がプロトコル B のセキュリティ前提にどのように影響するかを理解できるほど高度なエージェントは、同じクロスプロトコルの力学を理解している攻撃者によって悪用される可能性があります。攻撃者は特定のマルチステップ攻撃シーケンスを誘発するように入力を巧みに構成できるのです。
負債としてのスピード: AI エージェントは、人間の監視やインシデント対応チームが反応できるよりも速く実行されます。人間のトレーダーであれば食い止められたはずのミスも、AI エージェントが汚染された入力に基づいて毎秒数百件のトランザクションを処理すると、連鎖的なプロトコルの失敗へと発展します。
保険のギャップ
このセキュリティ危機は、DeFi のリスクインフラにおける重大なギャップを露呈させました。Nexus Mutual や InsurAce のような既存の保険プロトコルは、スマートコントラクトの失敗、つまり決定論的に実行されるコードのバグをカバーするために構築されました。AI エージェントの意思決定エラーは、彼らの補償モデルの完全に範囲外です。
これにより、推定 180 億ドルの AI 管理下の暗号資産が、実質的な損失保護を受けられない状態にあります。保険のギャップは単なる補償の問題ではなく、構造的な問題です。AI エージェントのリスクを引き受けるには、敵�対的な条件下でのモデルの挙動を評価する必要がありますが、伝統的な保険業界も DeFi ネイティブな保険業界も、そのための価格算出モデルをまだ開発できていません。
OWASP の対応:エージェンティック Top 10
セキュリティコミュニティも手をこまねいていたわけではありません。OWASP は 2026 年、100 人以上の業界エキスパートと共に開発した「エージェンティック・アプリケーションのための Top 10」をリリースしました。このフレームワークは、自律型 AI システムを特に対象とした 10 の重要なリスクカテゴリーを特定しています。
- エージェントのゴールハイジャック — 敵対的入力によるエージェント目標の書き換え
- ツールの誤用と意図しない実行 — エージェントによる有害な形でのツール呼び出し
- ID と権限の濫用 — 過剰な権限でのエージェントの運用
- ガードレールの欠如または脆弱性 — エージェントの自律性に対する不十分な制約
- 機密データの漏洩 — エージェントによる機密情報の流出
- データポイズニング — トレーニングデータまたは参照データの汚染
- リソース枯渇 — エージェントによる過剰な計算リソースの消費
- サプライチェーンの脆弱性 — エージェントのツールチェーンにおける依存関係の侵害
- 高度なプロンプトインジェクション — エージェントの推論に対する巧妙な攻撃
- 自律的な意思決定への過度な依存 — 不十分な人間による監視
このフレームワークは、段階的な自律性の展開を強調しています。まず範囲を限定した実装から開始し、その後、より高いエージェンシーレベルへと進むべきだとしています。OWASP は、実装においては 80% をガバナンス(データエンジニアリング、ステークホルダーの調整、ワークフローの統合)に集中させ、テクノロジーへの注力は 20% に留めることを推奨しています。
次に来るもの:AI 耐性のある DeFi の構築
4,500 万ドルの不正流出とその余波は、次世代の DeFi セキュリティに向けたいくつかの新たな要件を示唆しています:
-
エージェント実行監査: スマートコントラクトの監査に加え、プロトコルは AI エージェントが敵対的入力をどのように解釈し反応するかを正式に評価する必要があります。これには、操作された市場条件下でエージェントの挙動をテストする新しい監査手法が必要です。
-
推論検証: エージェントの推論のオンチェーン検証。エー�ジェントが取引決定を行うために使用したロジックが、単に結果のトランザクションが正当であるだけでなく、独立して検証可能であることを保証します。
-
オラクル冗長性の義務化: エージェントが単一のオラクルソースに依存してはなりません。異常検知機能を備えたマルチオラクルコンセンサスにより、4,500 万ドルの不正流出を可能にしたような単一フィードの汚染を防ぐことができます。
-
段階的な自律性: OWASP のガイダンスに従い、プロトコルは階層的な自律性を実装すべきです。エージェントは狭い権限と限定された取引規模から開始し、回復力を実証した後にのみ、より広範な権限を得るようにします。
-
AI 特化型保険商品: 市場は AI エージェントの行動リスクを引き受けることができる保険商品を必要としています。これには、敵対的テストの結果を組み込んだ新しいアクチュアリーモデル(保険数理モデル)が必要になるでしょう。
4,500 万ドルの不正流出は警鐘を鳴らしましたが、それによって明らかになった構造的な課題は、単一の事件よりも深いところにあります。AI エージェントが DeFi における主要な実行レイヤーになるにつれ、業界は根本的な問いに直面しています。セキュリティフレームワークは、それが保護すべき自律型システムと同じ速さで進化できるのでしょうか?
その答えが、自律型 AI エージェントが DeFi の最大の資産になるか、あるいは最も危険な負債になるかを決定することになります。
セキュリティと信頼性を優先したブロックチェーンインフラを��構築していますか? BlockEden.xyz は、自律型エージェントを展開するあらゆるプロトコルにとって不可欠な基盤となる、監視機能と異常検知機能を内蔵したエンタープライズグレードの RPC および API サービスを提供しています。API マーケットプレイスを探索して、自律型金融の時代に設計されたインフラ上で構築を開始しましょう。