メインコンテンツまでスキップ

1.22 ドルのハッキング:Ledger の CTO、AI が仮想通貨セキュリティの経済性を破壊したと警告

· 約 19 分
Dora Noda
Dora Noda
Software Engineer

現在、実行可能なスマートコントラクトのエクスプロイトを生成するための費用は、API クレジット換算でわずか 1.22 ドル程度です。2025 年後半に Anthropic のレッドチームによって明らかにされ、1 回の攻撃で最大 859 万ドルを搾取した学術的なエクスプロイト生成ツールによって裏付けられたこの数字は、Ledger の CTO である Charles Guillemet 氏が 2026 年 4 月 5 日に発した警告の背景となっています。その警告とは、「人工知能(AI)は暗号技術を破壊しているのではない。AI はクリプトセキュリティの『経済性』を破壊しており、業界の従来の防御策は、このような体制を想定した価格設定にはなっていなかった」というものです。

2024 年が AI によって開発者のコード提供方法が書き換えられた年だったとすれば、2026 年は攻撃者がエクスプロイトを提供する手法を AI が書き換えた年です。この非対称性は非常に急速に逆転したため、10 年間ハードウェアウォレットを構築してきた企業でさえ、信頼モデル全体を書き換える必要があるのではないかと自問しています。

Guillemet 氏が実際に語ったこと

4 月初旬、Ledger の最高技術責任者であり、長年ハードウェアセキュリティの研究に携わってきた Guillemet 氏は、公の場で不都合な論説を展開しました。クリプトに対する攻撃コストの曲線が崩壊しているのは、大規模言語モデル(LLM)が攻撃者の業務の中で最も困難な部分、すなわち「見慣れない Solidity コードの読解」、「ステートマシンの推論」、「もっともらしいエクスプロイト・トランザクションの生成」、そして「攻撃が成功するまでオンチェーンのフォークに対して試行を繰り返すこと」を十分に遂行できる能力を持っているからです。

彼の主張は意図的に経済的な視点に立ったものでした。暗号技術自体は 2024 年当時よりも弱くなっているわけではありません。ハッシュ関数は依然としてハッシュ化を行い、楕円曲線は依然として曲線を描いています。変化したのは、攻撃を成功させるために必要だった労働投入量(シニア監査人の目や、数ヶ月に及ぶ忍耐強いリバースエンジニアリング)が、Anthropic や OpenAI のたった 1 枚の請求書に収まるほどの予算項目に圧縮されたことです。「設計段階から安全ではないコードが大量に生成されることになるだろう」と Guillemet 氏は警告し、開発者が AI 生成の Solidity コードをレビュー担当者が読み切れないほどの速さでリリースすることによる二次的な影響を指摘しました。

昨年の損失に関する Ledger の集計では、直接的なハッキングやエクスプロイトに起因するものは約 14 億ドルに上り、どの統計を採用するかによりますが、より広範な詐欺や不正を含めるとその総額ははるかに高くなります。Chainalysis は 2025 年の盗難資金総額を 34 億ドルと推定しています。CoinDesk による 2026 年 1 月の回顧録では、より広範な詐欺やなりすましの被害額を 170 億ドルにものぼると見積もっています。どの数字を信頼するにせよ、トレンドラインは誤った方向に向かっており、Guillemet 氏の主張は、その軌道が今や AI によって形作られているということです。

対話の流れを変えた Anthropic の衝撃的な数字

2025 年 12 月、Anthropic のレッドチームは、2020 年から 2025 年の間に実際にエクスプロイトされた 405 個のスマートコントラクトのベンチマークである「SCONE-bench」の結果を公表しました。その主要な統計結果は衝撃的なものでした。405 件すべての問題において、現代の最先端モデルはそのうち 207 件で「ターンキー・エクスプロイト(即実行可能な攻撃コード)」を生成し、51.11% の的中率を記録しました。シミュレーション上の盗難総額は 5 億 5,010 万ドルに達しました。

さらに懸念すべきことに、既知の脆弱性がない 2,849 件の新規デプロイ済みコントラクトに対して同じエージェントを稼働させたところ、Claude Sonnet 4.5 と GPT-5 の両方が 2 件の本物のゼロデイ脆弱性を発見し、3,694 ドル相当の実行可能なエクスプロイトを生成しました。これにかかった API 費用はわずか約 3,476 ドルでした。この収支比率は計算上かろうじて損益分岐点にある程度ですが、「ゼロデイ脆弱性の発見には人間のチームが必要である」という前提を覆すものです。

独立した学術研究も、別の側面から同じ事実を物語っています。2025 年に arXiv で発表され、2026 年初頭まで更新された「A1」システムは、任意の LLM を 6 つのドメイン固有ツール(バイトコード・逆アセンブラ、フォーク・エグゼキュータ、残高トラッカー、ガス・プロファイラ、オラクル・スプーファー、ステート・ミューテータ)とパッケージ化し、ターゲットとなるコントラクトに振り向けます。A1 は VERITE エクスプロイト・データセットにおいて 62.96% の成功率を記録し、従来のファジングの基準(ItyFuzz の 37.03%)を大幅に上回りました。1 回あたりの試行コストは 0.01 ドルから 3.59 ドルで、モデル化された単一の攻撃での最大利益は 859 万ドルでした。

これらは理論上の数字ではありません。エクスプロイトを実行するための投入コストです。そして、その投入コストがファストフードの食事代程度の価格になれば、問いは「攻撃者にその余裕があるか」ではなく、「防御側は一点のミスも許されない状況に耐えられるか」へと変わります。

1000:1 というスループットの圧倒的な不一致

ここに、監査法人がいまだに明確に説明できずに苦労している側面があります。監査人は案件ごとに料金を請求します。彼らは一度に 1 つのコードベースを、多くの場合数週間かけてレビューし、AI ツールを使用する場合でも、それは人間が介在し請求書を発行するワークフローに組み込まれた補助的なものに過ぎません。対照的に、攻撃者は同じモデルをレンタルし、何千ものコントラクトに対して並列に稼働させることができ、何かが成功したときにのみ費用を支払えばよいのです。

2026 年初頭の Frontiers in Blockchain の論文は、この非対称性を一文で表現しています。「攻撃者は約 6,000 ドルの搾取可能な価値があれば利益を出せるのに対し、防御側の損益分岐点は 60,000 ドルに近い」。この 10 倍の格差は、防御が技術的に難しいからではなく、防御は「完全」でなければならないのに対し、攻撃は「一度だけ正解」すればよいためです。

これをボリュームの不一致(攻撃者がスキャンできるコントラクト数と監査法人がレビューできるコントラクト数の比、およそ 1000:1)と重ね合わせれば、Guillemet 氏の結論にほぼ機械的にたどり着きます。いかなる監査予算もこのギャップを埋めることはできません。経済的に単純に成り立たないのです。

2026 年の重大な被害がすでに物語っていること

2026 年に実際に発生したハッキング事件は、表面上はすべてが「AI エクスプロイト」の物語として語られているわけではありません。今年これまでに発生した 2 つの最大規模の損失は、LLM(大規模言語モデル)支援型の攻撃ツールが、より古く、より退屈な手法の上に重ねられていることを突きつける冷徹な教訓となっています。

2026 年 4 月 1 日、Solana 上の Drift Protocol は 2 億 8,500 万ドル(TVL の半分以上)を失いました。TRM Labs と Elliptic はともに、この攻撃を北朝鮮の Lazarus Group によるものと断定しました。その仕組みは Solidity のバグではなく、ソーシャルエンジニアリングでした。攻撃者は数ヶ月かけて Drift チームとの信頼関係を築き、Solana の「デュラブルノンス(durable nonce)」機能を悪用して、セキュリティ評議会のメンバーに、その効果を理解していないトランザクションに事前署名させました。管理権限が入れ替わると、攻撃者は価値のないトークン(CVT)を担保としてホワイトリストに登録し、それを利用して本物の USDC、SOL、ETH を引き出しました。

その 18 日後、Kelp DAO は LayerZero を活用したブリッジを通じて 2 億 9,200 万ドルの被害を受けました。これは現在、2026 年で最大の DeFi エクスプロイトとなっています。攻撃者は LayerZero のクロスチェーンメッセージングレイヤーに対し、別のネットワークから有効な指示が届いたと誤認させ、Kelp のブリッジは忠実に 116,500 rsETH を攻撃者が制御するアドレスに放出しました。これも、ほとんどの帰属分析で Lazarus によるものとされています。

これが AI とどう関係しているのでしょうか? 2 つの理由があります。第一に、ロングテールなソーシャルエンジニアリングを可能にする「偵察(reconnaissance)」——プロフィールのマッピング、メッセージのトーン合わせ、ターゲットのカレンダーにおける最適な瞬間の選択——は、まさに LLM が得意とすることです。CertiK の 2026 年の予測では、フィッシング、ディープフェイク、サプライチェーン侵害が今年の主要な攻撃ベクトルとして挙げられており、2025 年 12 月から 2026 年 1 月のわずか 1 ヶ月間でフィッシングによる損失が 207% 急増したと指摘しています。第二に、AI は「並行」オペレーションの障壁を下げます。2024 年には Lazarus 級のチームでも一度に数件のキャンペーンしか実行できませんでしたが、AI ツールの活用により、はるかに小規模なクルーでも数十件を同時に実行できるようになっています。

これがどれほどきめ細かくなっているかを示す事例が 2026 年 4 月にありました。人気のウォレットアプリである Zerion は、攻撃者が AI 駆動のソーシャルエンジニアリングを使用して、ホットウォレットから約 10 万ドルを流出させたことを公表しました。2026 年の基準からすればこの金額は小さいものです。しかし、AI がなりすましの台本を生成し、AI が偽のサポートページを生成し、AI がフィッシングメールを生成するというその「手法」こそが、Guillemet(ギルメ)氏が警告していることなのです。

なぜ「監査を強化するだけ」では解決にならないのか

業界の直感的な反応は、より多くの監査に資金を投じることです。しかし、その対応は問題の本質を見失っています。

監査の規模は、監査人の作業時間に比例して線形に拡大します。対して、攻撃の規模は現在、API クレジットに応じて拡大します。たとえすべてのティア 1 監査法人が明日から人員を倍増させたとしても、攻撃対象領域は依然として 10 倍速く拡大し続けるでしょう。なぜなら、API キーと Solidity の基礎知識さえあれば、誰でもデプロイ済みのコントラクト全域に対して継続的な攻撃スキャンを実行できるようになったからです。

さらに悪いことに、監査は特定の時点におけるコードをレビューするものです。AI 生成のコードは継続的にリリースされており、ギルメ氏の「設計上の脆弱性(insecure by design)」という警告は、バグの混入率が下がるどころか上がっていることを示唆しています。ブロックチェーンセキュリティコミュニティが引用した 2026 年の調査によると、LLM 支援による Solidity 開発は、微妙なリエントランシーやアクセス制御のミスと相関があることが判明しました。機械的にフォーマットされたコードを読むことに疲弊した人間のレビュー担当者は、人間が書いたコードのバグよりも高い確率で、これらのミスを見逃してしまうのです。

正直なところ、監査は依然として必要ですが、それだけでは不十分です。ギルメ氏が推進し、Anthropic(アンスロピック)自社のレッドチームも同調する実際の答えは、構造的なものにあります。

これを生き抜くための防御スタック

AI によって加速された攻撃に対してスケールする可能性のある防御策には 3 つのカテゴリーがあり、そのすべてが、リリースのスピードを最適化してきた業界の一部にとっては受け入れがたいものです。

形式検証(Formal verification)。 Certora、Halmos、そして Move(Sui、Aptos)や Cairo(Starknet)にバンドルされている検証スタックなどは、正確性をレビューの問題ではなく数学の問題として扱います。ある特性が証明されれば、どれほど AI がファジングを行ってもそれを突破することはできません。トレードオフとなるのはエンジニアリングの労力です。意味のある不変条件(invariants)を書くことは難しく、時間がかかり、妥協が許されません。しかし、これはコストが攻撃者の計算リソースに比例しない数少ない防御策の一つです。

ハードウェア・ルート・オブ・トラスト(Hardware roots of trust)。 Ledger 自身の製品ラインは明白な例ですが、より広いカテゴリーにはセキュアエンクレーブ、MPC カストディ、そして台頭しつつあるゼロ知識アテステーション・プリミティブが含まれます。原理は同じです。トランザクションの署名という最も重大なアクションを、LLM 駆動のフィッシングキャンペーンが到達できない基盤に強制的に通すことです。ギルメ氏の「システムは故障する可能性があり、実際に故障すると想定せよ」という考え方は、本質的に署名権限を汎用コンピュータから切り離すべきだという主張です。

AI 対 AI の防御(AI-on-AI defense)。 Anthropic の 2025 年 12 月の論文では、エクスプロイトを生成できるエージェントと同じものを、パッチを生成するためにも配備すべきだと主張しています。実際には、メムプール、デプロイ済みコントラクト、管理キーの挙動を継続的に AI で監視し、伝統的な銀行の不正検知システムのように異常をフラグ立てすることを意味します。経済性は不完全(依然として防御側のコストが攻撃側のコストを上回る)ですが、少なくとも双方が同じ計算曲線上に立つことになります。

これら 3 つすべてに共通するパターンは同じです。セキュリティの「速い」部分において人間に頼るのをやめ、人間の判断は「遅く、高価で、構造的な」部分のために取っておくということです。

今、開発者にとってこれが意味すること

2026 年にプロダクトをリリースするチームにとって、Guillemet 氏の警告はいくつかの具体的な変化を意味します。

  • AI 生成コードはデフォルトで信頼できないものとして扱う。 見た目がどれほど綺麗であっても、メインネットにデプロイする前に、形式検証(Formal Verification)やプロパティベースのテストを実行してください。
  • 管理者キーをハードウェアに移行する。 ホットな署名者によるマルチシグは、トレジャリー級のコントラクトにおいて、もはや許容可能なセキュリティ体制ではありません。Drift の事件は、「信頼された」チームメンバーであっても、破壊的なトランザクションに事前署名するようにソーシャルエンジニアリングされる可能性があることを証明しました。
  • フィッシング攻撃の対象範囲は、コードの脆弱性よりも広いと想定する。 Zerion の流出(10 万ドル)や、フィッシング攻撃の 207% 急増という広範な傾向は、攻撃者のコストが依然として Solidity ではなく人間に向けられていることを示唆しています。
  • 継続的かつ自動化されたモニタリングに予算を割く。 週次の監査ペースでは、SCONE-bench グレードのツールを 24 時間年中無休で稼働させる攻撃者に対する防御にはなりません。

これらは新しいアイデアではありません。変わったのは緊急性の曲線です。LLM 以前の時代であれば、他の分野が強力であれば、これらのいずれか一分野での欠落があっても組織は生き残ることができました。2026 年には、コストの非対称性が大きすぎて、そのような緩みは許されません。

正直な見解

Guillemet 氏の警告を、ハードウェアウォレットベンダーである Ledger が自社製品を売り込むためのポジショントークとして捉えたくなるかもしれません。しかし、その読み方は間違いです。Anthropic のレッドチーム、A1 や SCONE-bench の背後にある学術グループ、CertiK の 2026 年予測、そして毎月のハッキング総額を監視しているチェーン分析企業も、独立して同じ主張をしています。業界のコンセンサスは一つの点に収束しています。それは、有能なエクスプロイトのコストが 1 桁から 2 桁低下しており、防御側のスタックもそれに応じて進化しなければならないということです。

真に新しいのは、これが 2020 年初頭の DeFi サマーによる監査需要の波以来、暗号資産セキュリティにおける最初の大きな非対称的な変化であるということです。あの波は、一世代の監査法人、バグバウンティプラットフォーム、形式検証のスタートアップを生み出しました。2026 年の波は別のものを生み出すでしょう。それは、継続的に AI が監視するインフラ、デフォルトとしてのハードウェアベースの署名、および「レビューで見つける」というセキュリティモデルに依存し続けるコントラクトに対する、より厳しい懐疑心です。

Guillemet 氏が挙げた 1.22 ドルという数字は(たとえその正確な数値が Ledger ではなく Anthropic のものであったとしても)、一つの時代を終わらせる種類の統計です。終わる時代とは、攻撃者の労働力がボトルネックであった時代です。始まる時代とは、防御側がまだ「自動化していないもの」がボトルネックとなる時代です。

BlockEden.xyz は、Sui、Aptos、Ethereum、Solana、および 20 以上のネットワークにわたるブロックチェーン RPC およびインデックス作成インフラを運営しており、リクエストパスに AI 支援による異常監視を組み込んでいます。ポスト LLM の脅威環境に合わせてセキュリティ体制を再構築される場合は、弊社の インフラストラクチャサービスを検討 するか、プロトコルの継続的なモニタリングについて お問い合わせ ください。

ソース

Share on Twitter