メインコンテンツまでスキップ

イーサリアムの 1 兆ドル規模のセキュリティ転換:オンチェーン 1 兆ドルが「目標」ではなく「運用基準」になった理由

· 約 14 分
Dora Noda
Dora Noda
Software Engineer

イーサリアムのセキュリティに関するナラティブは、その最初の10年間の大部分において、「金融の未来を支えるのに十分な安全性を備えている」という野心的なものでした。2026年、その未来は予定より早く到来し、イーサリアム財団(Ethereum Foundation)はもはや仮定の話をすることをやめました。

2026年2月5日、財団は6つのエンジニアリング領域にわたるネットワークの防御状況を追跡するライブの「1兆ドル・セキュリティ・ダッシュボード(Trillion Dollar Security Dashboard)」を公開しました。その4日後、ウォレット・ドレイナー(wallet drainers)を追跡・排除するために、Security Alliance (SEAL) との正式なパートナーシップを発表しました。そして4月14日までに、Nethermind、Chainlink Labs、Areta、および20社以上のトップクラスの監査法人とともに、100万ドルの監査助成金プールを設立しました。これら3つの動きに通底する考え方は共通しており、異例なほど率直です。イーサリアムはすでに約1,750億ドル以上のステーブルコイン、125億ドル以上のトークン化された現実資産(RWA)、そして数千億ドル規模の DeFi スタックを保護しています。そして今や「1兆ドルの閾値(しきいち)」は、単なるマーケティングのスローガンではなく、運用のための仕様(スペック)となったのです。

これは静かながらも深遠な再定義です。長年、イーサリアム財団のセキュリティ資金調達は断片的でした。プロジェクトごとのバグバウンティ、ESP グラント、そして時折行われる監査評議会(Audit Council)による救済などです。2026年のイニシアチブは、「1兆ドルの保護」を単一のシステムレベルのエンジニアリング課題として扱い、以前のアプローチがリスクにさらされている価値に対して構造的に不足していたことを、暗黙のうちに認めています。

「クリプト・ネイティブに十分」から「規制資本向けに実証された設計」へ

イーサリアムのメインネットで保護されている資産額は、長年にわたりイーサリアム自体のセキュリティ支出を上回ってきました。Tether の1,850億ドル以上の米国債準備金、BlackRock の22億ドルの BUIDL 法人債トークン化、JPMorgan のトークン化マネー・マーケット・ファンド、および2026年末までに3,000億ドルに達すると予測されるトークン化 RWA 市場は、すべて「機関投資家レベルの規模におけるイーサリアム・メインネットのセキュリティ」をカストディの根拠として明示的に挙げています。しかし、2026年まで、イーサリアム関連の全チームにおけるセキュリティ支出は、年間でわずか数千万ドル程度にとどまっていました。

比較のために、伝統的金融(TradFi)の清算機関である DTCC 単体でも、2024年に4億ドル以上のサイバーセキュリティ支出を報告しています。SWIFT や連邦準備制度(Federal Reserve)の決済システムは、それぞれ数十億ドル規模の専用セキュリティ組織を運営しています。保護されている価値とセキュリティ投資の間のミスマッチは、小さな隔たりではありませんでした。それは、従来の金融インフラの文脈であれば不適格とされるほどの、桁違いのギャップだったのです。

「1兆ドル・セキュリティ(Trillion Dollar Security)」イニシアチブは、平たく言えば、イーサリアム財団がそのギャップを認め、それに見合った予算を計上したことを意味します。

ダッシュボード:Solidity を読まない人々にもセキュリティを可視化する

この発表の中で最も過小評価されているものの、クリプト・ネイティブな聴衆にとって最も馴染みがないのが、trilliondollarsecurity.org で公開されたダッシュボードです。これは、ユーザー体験、スマートコントラクト、インフラとクラウドのセキュリティ、コンセンサス・プロトコル、モニタリングとインシデント対応、およびソーシャルレイヤーとガバナンスの6つの次元でイーサリアムを格付けしています。

各領域には、現在のリスク、進行中の緩和策、および進捗指標が表示されます。その目的は秘密を明らかにすることではなく、機関投資家のリスク管理責任者がコンプライアンス委員会に提示できる一貫した成果物を提供することにあります。「イーサリアムは安全である」というのは感覚(バイブス)に過ぎません。しかし、「イーサリアムはコンセンサス・クライアントの多様性で X 点、インシデント対応時間で Y 点、監査済み TVL シェアで Z 点を獲得している」というのは、CISO(最高情報セキュリティ責任者)が署名できるメモになります。

このコミュニケーション・レイヤーが重要なのは、イーサリアムの実際のセキュリティ状態には、市場がこれまでは好意的に見過ごしてきたような、ムラがあるからです。以下の3つの数字がその実態を物語っています。

  • Geth の実行クライアント・シェアは約41% であり、単一クライアントのバグがファイナリティを脅かす可能性のある33%の閾値に不気味なほど近い状態です。Nethermind (38%) や Besu (16%) がシェアを伸ばしていますが、多様性はまだ構造的なものにはなっていません。
  • Lighthouse がコンセンサス・クライアントの52.65% を占めており、Prysm は17.66%です。2025年12月の Prysm のリソース枯渇バグでは、42エポックにわたり248個のブロックが失われ、参加率が75%まで低下し、バリデーターに約382 ETH の損失をもたらしました。これは少額の損失ですが、クライアントの集中が理論上のリスクではなく、ファイナリティ(確定性)に対する現実のリスクであることを明確に示しています。
  • 2025年だけで、ウォレット・ドレイナーによってイーサリアム・ユーザーから8,385万ドルが抽出されました。これはスマートコントラクトの監査では決して触れられない、ソーシャルレイヤーの攻撃対象領域です。

ダッシュボードの役割は、これらの数字を可視化し続けることで、財団、クライアント・チーム、およびインフラ・プロバイダーに対し、それらを正しい方向に動かすための継続的な圧力をかけることです。公開されたスコアカードは、非公開のものよりも効果的に機能します。

SEAL と、誰も負担できなかったウォレット・ドレイナー問題

SEAL との提携は、ダッシュボードにおける最初の具体的な成果です。イーサリアム財団は現在、SEAL のインテリジェンス・チームに専任のセキュリティ・エンジニアを配置するための資金を提供しています。その目的は、フィッシング・キット、署名を餌にしたサイト、アドレス・ポイズニング・キャンペーンなど、個人ユーザーに対する支配的な攻撃手法となっているウォレット・ドレイナーのインフラを特定し、阻止することです。

ウォレット・ドレイナーは、クリプトの世界にとって厄介な問題です。これらはスマートコントラクトのバグではないため、従来の監査法人は解決できません。また、プロトコルのバグでもないため、クライアント・チームがパッチを当てることもできません。これらは、MetaMask、ENS、署名の UX、および人間の注意力の隙間にある「ソーシャルレイヤー」に存在しており、これまで単一の組織が対策の予算や権限を持っていませんでした。

財団が SEAL に直接資金を提供することは、静かではありますが重要な前例となります。これは「ソーシャルレイヤーもプロトコルの脅威モデルの一部であり、オンチェーンの成果物がリリースされない場合であっても、財団はその防衛のために資金を投じる」という意思表示です。傍観している機関投資家の発行体にとって、これこそが彼らが決済レイヤーに期待する「スタック全体に責任を持つ」という姿勢そのものです。

これは戦術的な賭けでもあります。ドレイナーは、攻撃者の反復速度と防御側の対応時間の非対称性を利用して繁栄します。キャンペーンを特定し、数週間ではなく数時間以内にインフラを無効化できる専任のインテリジェンス・チームがあれば、その計算式は変わるはずです。

100 万ドルの監査助成金:公共財としてのセキュリティの価格設定

4 月 14 日、イーサリアム財団は 100 万ドルの監査助成金プログラムを発表しました。これは、承認されたプロジェクトの監査費用の最大 30% をカバーするもので、資金が尽きるまで毎月新しいコホートが選出されます。パートナーには委員会メンバーとして Nethermind、Chainlink Labs、Areta が名を連ね、供給側には 20 以上の監査法人が参加しています。

資格設計が興味深い点です。規模に関わらず、すべてのイーサリアム・メインネットのビルダーが申請可能ですが、財団の「CROPS」原則(検閲耐性、オープンソース、プライバシー、セキュリティ)を推進するプロジェクトが優先されます。つまり、財団は収益抽出型のプロトコルよりも先に、公共財となるインフラに助成金を提供します。これは、監査コストによって、小規模ながらもアーキテクチャ上重要なチームが専門的なレビューを受けられなくなっているという現状を、財団が個別のリスクではなくネットワークレベルのリスクとして明示的に認めたことを意味します。

この設計には構造的な洞察が隠されています。スマートコントラクトの監査は「正の外部性」です。普及しているライブラリに対するクリーンな監査結果は、その上に構築(コンポーズ)するすべての人に利益をもたらします。市場は正の外部性を体系的に過小評価するため、監査供給の均衡点は社会的最適点よりも低くなります。助成金はまさに教科書通りの介入です。財団は慈善事業を行っているのではなく、四半期ごとにイーサリアムユーザーに損害を与えている市場の失敗を是正しているのです。

これで解決できないこと、そして次にくるもの

限界については正直になる必要があります。100 万ドルでカバーできるのは、おそらく 20 件程度の中規模な監査に過ぎません。2026 年第 1 四半期だけで、60 件以上のインシデントにより 4 億 5,000 万ドル以上の DeFi 損失が発生しました。2 億 8,600 万ドルの Drift エクスプロイト、2,500 万ドルの Resolv AWS-KMS ブリーチ、そして KelpDAO での LayerZero 関連の一連の問題は、純粋なスマートコントラクトのバグよりも、管理キー、クラウドの認証情報、サプライチェーンの侵害といったインフラへの攻撃が現在支配的であることを思い出させます。

監査は助けになります。しかし、監査はこれら 4 つの損失ベクトルのどれ一つとして直接解決するものではありません。

「1 兆ドル規模のセキュリティ(Trillion Dollar Security)」イニシアチブが行っていること、そしてこれがより深いポイントですが、それは「イーサリアムのコードは安全か?」という問いから、「イーサリアムの運用体制は 1 兆ドル規模において安全か?」という問いへと制度的な枠組みを再定義することです。この 2 番目の問いには、クライアントの多様性、監視 SLA、インシデント対応の調整、ソーシャルレイヤーの防御、および退屈なエンジニアリング文化の構築といった、大きな見出しにはならないものの重要な作業が含まれます。ダッシュボード、SEAL との提携、および監査プールは、イーサリアムが真に 1 兆ドル超のインフラとして機能するために必要な、数年間にわたる数億ドル規模のプログラムの最初の 3 項目に過ぎません。

財団は今後も強化を続ける意向を示しています。Devconnect の「Trillion Dollar Security Day」は今や恒例行事となりました。2026 年のプロトコル優先事項アップデート(Protocol Priorities Update)では、これまでのロードマップを定義していた拡散的な「分散化第一(decentralization-first)」の枠組みに代わり、L1 セキュリティをスケーリングや UX と並ぶ 3 つの最優先目標として掲げています。

開発者やインフラストラクチャ・プロバイダーにとって、その一貫したメッセージは明確です。セキュリティへの投資はもはやオプションのポーズではなく、イーサリアムが現在構造的に勝利を収めている市場の制度的セグメントで活動するためのコストなのです。BlockEden.xyz は、イーサリアムおよび 15 以上のチェーンにわたり、プロダクショングレードの RPC およびインデックス・インフラストラクチャを提供しています。これらは、機関レベルのビルダーが現在必要としている稼働率とセキュリティの期待に応えるよう設計されています。当社の API マーケットプレイスを探索して、1 兆ドル時代のために設計された基盤の上で構築を始めましょう。

Sources

Share on Twitter