「DeFi」タグの記事が 414 件 件あります

2 年前、Solana でミームコインをローンチすることは、ある種の「儀式」を受け入れることを意味していました。950 ドルを支払って Raydium に移行し、最初のブロックでボットにスナイプされ、ボンディングカーブが完了した瞬間に作成者が売り抜けるのを見届け、次へと進む。しかし 2026 年 4 月までに、その儀式は死に絶えました。Pump.fun はバイバックを通じて約 2 億 1,300 万ドルの PUMP トークンを回収し、LetsBonk は 1 年足らずでローンチパッドの市場シェアの 64% を獲得しました。そして両プラットフォームは、アンチスナイパー保護、クリエイター収益分配、レピュテーションゲート（評判に基づく制限）付きのローンチを中心に、ミーム経済を静かに再構築しています。

67 億ドル規模の Solana ミーム市場は、ついに成熟期を迎えようとしています。それは規制当局が強制したからではなく、競合する 2 つのローンチパッドが「信頼のインフラなき投機はいずれ自滅する」ということに気づいたからです。

2026 年 4 月 21 日、世界最大の 2 つの予測市場は、予測市場のふりをするのをやめました。わずか数時間の間隔で、Polymarket と Kalshi の両社は暗号資産の無期限先物（Perpetual Futures）を発表しました。これは、Hyperliquid を取引高 2,080 億ドルの巨大プラットフォームへと押し上げ、オフショア取引所を暗号資産取引の重力の中心へと変えた、レバレッジが効いた期限のないデリバティブです。Polymarket が先行し、10 倍レバレッジの BTC および NVDA コントラクトのウェイティングリストを公開しました。Kalshi もそれに続き、「Timeless」と題されたティザーを公開し、4 月 27 日にニューヨークでのデビューを予定しています。

これは同じ海岸への組織的な上陸でした。そして Coinbase、Robinhood、Hyperliquid へのメッセージは同一でした。すなわち、予測市場というパッケージは、常により大きな何かのためのトロイの木馬であったということです。

予測市場が予測市場であることをやめた日​

5 年間、Polymarket と Kalshi の売り文句は単純でした。現実世界の出来事に対するバイナリ（YES / NO）コントラクトです。トランプは勝つか？ FRB は利下げするか？ レイカーズはハンディキャップを克服するか？ 各コントラクトは決まった時間に決済され、1 ドルまたは 0 ドルが支払われます。明快で、個別的で、法的にも証券やコモディティとは区別されていました。

無期限先物はこのメンタルモデルのあらゆる部分を打ち砕きます。有効期限はありません。バイナリの結果もありません。継続的な時価評価（マーク・トゥ・マーケット）、資金調達率（ファンディングレート）、そして 2026 年初頭までにオンチェーンのパーペチュアル DEX の 1 日あたりの取引高を 100 億ドルに押し上げたものと同じレバレッジ清算メカニズムが存在します。プロモーション資料に収められた Polymarket のローンチインターフェースには、ビットコイン、Nvidia、金などの資産に対して 7 倍から 10 倍のレバレッジセレクターが表示されています。これらは、同プラットフォームを有名にした選挙賭博とは似ても似つかない製品です。

戦略的な論理は冷徹です。予測市場はエピソード的（一時的）です。選挙、スーパーボウル、マーチ・マッドネス（全米大学バスケットボールトーナメント）の時期に急増し、その後は 150 億ドルや 220 億ドルという評価額が示唆するよりもはるかに小さなビジネスを支える基本レートに戻ります。無期限先物はその逆です。継続的なフロー、経常的なファンディング支払い、そして予測市場カテゴリー全体が生み出す年間 100 億 〜 200 億ドルのバイナリコントラクトの取引高ではなく、数兆ドル単位で測定される TAM（獲得可能な最大市場規模）が存在します。

両社は現在、デリバティブへの拡大を要求されるほどの倍率で評価されています。この転換は選択肢ではなく、必然なのです。

転換を余儀なくさせた数字​

2026 年の成長物語は本物です。2026 年 3 月、予測市場はこれまでのあらゆる基準を超えました。

• Kalshi: 月間取引高 123.5 億ドル
• Polymarket: 105.7 億ドル — 初めて 100 億ドルを突破し、2024 年の選挙時のピークの 2 倍以上に達しました
• 業界全体: 全プラットフォーム合計で約 245 億ドル
• Polymarket アクティブユーザー数: 3 月は 768,476 人で、前月比 14.4% 増

マーチ・マッドネスがその一部を牽引しました。残りは暗号資産と政治市場が支えました。歴史的などの尺度で見ても、予測市場はもはやニッチではありません。

しかし、評価額は取引高よりもさらに先行しています。Polymarket は、NYSE（ニューヨーク証券取引所）の親会社であるインターコンチネンタル取引所（ICE）が、2025 年 10 月の当初の 10 億ドルの出資に加えて新たに 6 億ドルを注入し、すでに計 16 億ドルを投じている中で、150 億ドルの評価額で 4 億ドルの資金調達を行う交渉を進めています。Kalshi は、220 億ドルの評価額で約 10 億ドルの資金調達を完了させようとしており、2026 年後半または 2027 年の IPO 計画も報じられています。

これらの数字を正当化するために、両プラットフォームはバイナリコントラクトを超えてウォレットシェアを拡大する必要があります。最も手っ取り早い方法は、既存のユーザーベースを、すでに 1 日 100 億ドルを生み出している製品、つまり無期限先物へとクロスセルすることです。

勝敗を分ける規制の非対称性​

Polymarket が先行してローンチできたのは、2025 年 7 月に 1 億 1,200 万ドルを投じて、CFTC（米商品先物取引委員会）公認のデリバティブ取引所および清算機関である QCEX を買収したからです。2025 年 9 月までに、CFTC は Polymarket を指定契約市場（DCM）として認める修正命令を発行しました。2025 年 11 月には、さらなる修正により仲介取引が許可され、Polymarket は CME 先物を管理するのと同じ連邦枠組みの下で、FCM（先物取次業者）、ブローカー、機関投資家のフローを取り込むことが可能になりました。

Kalshi はより長く CFTC 指定の DCM でした。しかし、同社は別の難題を乗り越えなければなりません。それは、無期限先物を、歴史的に別途 CFTC の認可を必要としてきたレバレッジの効いた暗号資産デリバティブとしてではなく、イベントコントラクト（同社の本来の規制カテゴリー）として位置づけることです。CFTC のマイケル・セリグ委員長は 2026 年 3 月、同委員会が米国内でデジタル資産の「真の無期限先物」を許可する意向であることを示唆しました。これは、両プラットフォームがスタートの合図として受け取ったと思われる青信号です。

既存企業に対する規制の非対称性は甚大です。

• Hyperliquid, dYdX, GMX: オフショアまたは規制のグレーゾーンで運営。米国小売（リテール）への提供なし。FCM のレールなし。
• Binance, OKX, Bybit: 2023 年から 2024 年の法執行措置を受け、米国の無期限先物市場から永久に追放。
• Coinbase, Kraken, Robinhood: 暗号資産の現物取引を提供し、予測市場の機能も追加したが、無期限先物に関する CFTC DCM のステータスを欠いている。
• Polymarket と Kalshi: 生粋の CFTC DCM であり、競合他社が米国の小売顧客に合法的に提供できないコントラクトを上場する許可を持っている。

2017 年の ICO 時代以来初めて、CFTC 規制下の 2 つの取引所が、暗号資産ネイティブな無期限先物エコシステム全体が国内で提供を阻まれてきたものを、提供しようとしています。それは、銀行グレードのレールと FCM による保管を伴う、米国の小売顧客向けのレバレッジを効かせたパーペチュアルです。

Hyperliquid が警戒すべき理由 — そして、（まだ）そうではない理由​

Hyperliquid の 2026 年の数字は驚異的です。このプラットフォームは、全パーペチュアル DEX 取引高の約 44 % を占めており、1 月の 36.4 % から上昇しています。一方で、主要な競合他社は軒並みシェアを落としています。Aster は 30.3 % から 20.9 % に下落しました。dYdX、GMX、Jupiter、Drift はそれぞれ 3 % 未満に留まっています。Hyperliquid は 30 日間の取引高で 2,080 億ドルを記録し、1 日あたりの取引高は定期的に 80 億ドルを超え、229,000 人以上のアクティブ・トレーダーと 62 億ドルの TVL を誇っています。いかなる基準で見ても、世界で最も支配的なオンチェーン・パーペチュアル取引所です。

Polymarket と Kalshi が来四半期までに Hyperliquid に取って代わることはないでしょう。Hyperliquid の強みは技術面にあります。HFT スタイルのマーケットメイカーによって構築された深いオーダーブック、独自の L1 上でのミリ秒未満のマッチング、そして中央集権型取引所にヴァンパイア攻撃を仕掛ける手数料体系です。ほとんどのリテール暗号資産パーペチュアル・トレーダーは何よりも流動性とスリッページを重視しており、Hyperliquid はその両方で勝利しています。

しかし、長期戦は異なります。Polymarket と Kalshi は、既存の暗号資産パーペチュアル・トレーダーを追いかけているわけではありません。彼らは、パーペチュアル先物を 2 つの全く新しいオーディエンスに提供しようとしています：

1. 政治に関心の高いリテール層：選挙をきっかけに参入し、スポーツのために留まった人々。Coinbase Pro のアカウントを開設したことも、ましてやパーペチュアル DEX で取引するために USDC を Arbitrum にブリッジしたこともない数百万人ものユーザーです。
2. 株式に興味がある一般層：NVDA のようなティッカーは認識しているが、分散型パーペチュアルは理解不能だと感じている人々。

もし Polymarket の月間アクティブ・ユーザー 768,000 人のわずか 5 % が週に一度 10 倍の BTC パーペチュアルを取引し始めれば、それは前四半期には存在しなかった数十億ドルの新しいフローとなります。そして、それは Hyperliquid の既存の顧客層から来るものではありません。パーペチュアル DEX というカテゴリーがこれまで到達できなかった層から来るのです。

Hyperliquid への脅威は「取って代わられること」ではありません。より緩やかで、より危険な問題です。それは、CFTC 公認の競合他社が、テレビで広告を出し、FCM と統合し、ACH 預金を受け入れながら、Hyperliquid が海外 IP や暗号資産ネイティブ・ユーザーという規制の「ゲットー」に提供しているものと同じ製品を提供することです。

Robinhood の教訓 — そして Polymarket がそれを繰り返さない理由​

懐疑論者は、2024 年の Robinhood によるイベント・コントラクトへの進出を教訓として挙げるでしょう。Robinhood はイベント駆動型の予測取引を開始しましたが、すでに熱心なオーディエンスとより鋭いプロダクトマーケットフィット（PMF）を持っていた Polymarket や Kalshi に対して、意味のある牽引力を得ることはできませんでした。Crypto.com、Gemini、Coinbase も 2025 年に予測市場部門を立ち上げましたが、同様に芳しくない結果に終わっています。

その逆のピボット — 予測市場のネイティブがパーペチュアルに進出すること — には、Robinhood の動きにはなかった構造的な利点があります：

• ユーザーベースがすでに投機を行っている。 Polymarket の平均的なユーザーは、0.30 ドルのコントラクトが 1 ドルを支払うようなレバレッジ感のあるポジションに慣れています。10 倍の BTC パーペチュアルへのステップアップは、Robinhood の株式購入者にアイオワ州の党員集会の投票結果に賭けるよう求めるよりも、心理的なハードルが低いのです。
• ブランドの許容範囲がすでに存在する。 Polymarket と Kalshi は、不確実な結果に実際のお金を投じる場として知られています。これこそが、パーペチュアル取引所が必要とするブランドイメージです。
• 規制インフラが同一である。 イベント・コントラクトを上場できる DCM（指定契約市場）は、比較的少ない追加承認で、他の CFTC 認可デリバティブを上場できます。Polymarket と Kalshi は 2 年間、この方向に向けて構築を進めてきました。

これが、Coinbase や Crypto.com の予測市場の立ち上げがうまくいかなかった理由でもあります。スポット（現物）暗号資産取引所がユーザーに突然バイナリの結果を取引するよう求めるのは、ブランドの拡張として方向が間違っています。一方で、予測市場の会場がレバレッジ取引を提供することは、ブランドの矛盾ではなく、ブランドの拡大なのです。

真の競争マップ：3 つの階層と 3 つの異なるエンドゲーム​

4 月 21 日の発表により、1 週間前には存在しなかった 3 つの階層の市場が形成されました：

ティア 1 — オフショアの暗号資産ネイティブ・パーペチュアル： Hyperliquid、Aster、edgeX、Lighter、dYdX。最も深い流動性、最低の手数料、米国の規制保護なし、広告面なし。ウォレット・ネイティブなトレーダー人口というハードルに直面しています。

ティア 2 — 米国規制下の CFTC DCM： Polymarket と Kalshi。初期流動性は小さく、手数料は高いが、米国のリテールへの完全なアクセス、FCM/ブローカーとの統合、そして暗号資産ネイティブな会場が法的に使用できない従来のマーケティングチャネルを通じてユーザーを獲得できる能力を持っています。

ティア 3 — ハイブリッド型中央集権取引所： Coinbase、Robinhood、Kraken、CME。現物暗号資産、先物、またはその両方を持っていますが、ネイティブな予測市場製品はなく、Polymarket や Kalshi が開始したばかりのレバレッジ型暗号資産パーペチュアルを提供する許可もまだ得ていません。

各階層は異なるエンドゲームをターゲットにしています。ティア 1 は、世界中の洗練されたトレーダーにとっての目的地であり続けることを望んでいます。ティア 2 は、デリバティブ界の Robinhood — 米国のリテール層が初めてレバレッジ暗号資産に出会う場所 — になることを目指しています。ティア 3 は、同様のパーペチュアル提供の許可を得るために積極的にロビー活動を行い、その間に買収や提携を通じて予測市場レイヤーへの参入を試みるでしょう。

興味深い問いは、誰が全体で勝つかではなく、これら 3 つの階層が分かれたままなのか、それとも 1 つが他を統合するのかという点です。

ビルダーとインフラにとっての意味​

もしあなたが予測市場やデリバティブのスタックで何かを構築しているなら、4 月 21 日の発表は戦略的展望をリセットするものです：

• バイナリ市場とパーペチュアル市場にまたがる流動性ルーティングが、現実的な製品領域となります。洗練されたユーザーは、Polymarket のバイナリ、パーペチュアル・ポジション、あるいはその両方のうち、より優位性のある手段を通じて同じ見解（例：6 ヶ月後のビットコイン価格）を表現したいと考えるでしょう。
• **サービスとしての CFTC-DCM（CFTC-DCM-as-a-service）**がボトルネックになっています。これを持っている企業は少なく、誰もがそれを求めています。M&A が加速することが予想されます。
• 決済およびオラクル・インフラが、イベントの解決と継続的な時価評価（マーク・トゥ・マーケット）の両方で収束しつつあります。Polymarket のバイナリ・コントラクトを解決するのと同じデータフィードが、パーペチュアル・ポジションの評価のために転用されています。
• オフチェーンの規制対象会場とオンチェーン・ウォレットの間のブリッジの価値は、低下するどころか高まっています。Polymarket を通じてパーペチュアルを知った米国のリテール層であっても、ステーブルコインの担保をセルフカストディしたいというニーズはますます高まり、オンチェーンとオフチェーンのレールにまたがる預託要件が発生するでしょう。

決定的な技術的課題は、Polymarket と Kalshi が Hyperliquid グレードの執行を提供できるかどうかです。もし、流動性が浅く、スリッページがひどく、ファンディング・メカニズムが暗号資産ネイティブなトレーダーに予測可能な裁定取引の機会を与えるだけであれば、このピボットは技術的なメリットの欠如により失敗し、予測市場のピボットはカテゴリーの破壊ではなく、単なる教訓に終わるでしょう。

結論：ピボットか、それともプレミアムか？​

両プラットフォームの強気シナリオ：レバレッジ型パーペチュアルにより、年間 100 億 〜 200 億ドルのバイナリー契約取引高から、1 兆ドルを超えるグローバルなデリバティブ市場へと移行することです。そのフローのわずか 1% を獲得するだけでも、パーペチュアル取引の活発化がもたらす予測市場へのクロスセルを考慮せずとも、それだけで 150 億ドルまたは 220 億ドルの評価額を正当化するのに十分です。

弱気シナリオ：Hyperliquid の流動性の堀（moat）は本物であり、暗号資産ネイティブのトレーダーは手数料の高い CFTC 規制下の取引所へは移行せず、Polymarket や Kalshi が獲得する新たな米国リテール層の取引頻度は、パーペチュアル取引がコアビジネスではなく低利益のサイドショーになるほど低いというものです。

正直な答えはその中間にあります。Polymarket と Kalshi が Hyperliquid としての Hyperliquid に勝つことはないでしょう。彼らが賭けているのは、Hyperliquid が法的に不可能な存在になることです。それは、2024 年から 2025 年の規制強化によってオフショアに追いやられたレバレッジ暗号資産取引のための、米国で規制され、ブランドとして信頼され、リテール向けにマーケティングされた場となることです。プロダクトを確実に実行し、避けられない最初の清算と苦情の波を乗り越えることができれば、彼らは次の 1,000 万人の米国暗号資産デリバティブトレーダーがオンボーディングする場所を再定義することになるでしょう。

2026 年 4 月 21 日は、予測市場がニッチなカテゴリーを脱し、あらゆるものへの玄関口となった日として記憶されることになります。

---

BlockEden.xyz は、デリバティブ取引所、予測市場、およびオンチェーン取引プラットフォームが依存するデータと実行インフラストラクチャを支えています。Sui、Aptos、Ethereum、Solana、および 25 以上の他のチェーンにおいて、オーダーブック、オラクルフィード、または決済レールを構築しているかどうかにかかわらず、機関投資家クラスのフローが求める信頼性を備えた API マーケットプレイスを探索 してください。

参考文献​

• Polymarket が高レバレッジの「パーペチュアル」契約の取引を開始 — CNBC
• Kalshi と Polymarket、暗号資産パーペチュアル先物のローンチを競う — Unchained
• Polymarket、評価額 150 億ドルで 4 億ドルの資金調達を協議中 — Decrypt
• インターコンチネンタル取引所、Polymarket への新たな 6 億ドルの投資を発表
• Kalshi、暗号資産パーペチュアル先物提供の新計画で Coinbase や Robinhood に対抗 — CoinDesk
• Polymarket、2026 年 3 月に初めて月間取引高 100 億ドルを突破 — BitKE
• Polymarket、CFTC ライセンス取得済みの取引所および清算機関 QCEX を 1 億 1,200 万ドルで買収
• Polymarket、指定命令の修正案について CFTC の承認を受理
• Hyperliquid、全パーペチュアル DEX 取引高の 44% に到達 — Yellow.com
• 2026 年、DEX パーペチュアル先物取引が日次 100 億ドルに接近 — Phemex News
• 2026 年に予測市場が月間取引高 210 億ドルに拡大した経緯 — TRM Labs

2026年 4月のわずか 18日間で、攻撃者は DeFi から 6億 606万ドルを流出させた。この期間だけで 2026年 第1四半期の損失額の 3.7倍を上回り、2025年 2月の Bybit ハッキング事件以来、最悪の月となった。被害の 95％ は、Solana 上の Drift と Ethereum 上の Kelp DAO の 2つのプロトコルによるものだった。両者とも監査済みであり、静的解析もパスしていた。どちらもルーチン的なアップグレードを行ったが、それが監査人が検証した前提条件を密かに無効にしてしまったのである。

これが DeFi リスクの新たな側面だ。2026年の壊滅的なエクスプロイトは、もはや CI のファザーが発見できるようなリエントランシー・バグや整数オーバーフローに関するものではない。それは、アップグレードによって導入された脆弱性である。ブリッジの設定、オラクル・ソース、アドミン・ロール、あるいはメッセージングのデフォルト設定に対する微妙な変更が、Solidity のコードに明らかな間違いが一行もなくとも、かつて安全だったコードを「開かれたドア」へと変えてしまうのだ。

DeFi で構築、カストディ、あるいは単に資産を保有しているなら、2026年 4月からの教訓は受け入れがたいものだ。3ヶ月前のクリーンな監査レポートは、もはやそのプロトコルが今日安全であるという証拠にはならない。

4月のパターン：コードではなく設定​

「アップグレード導入型」がなぜ独自のカテゴリーに値するのかを理解するために、2つの最大規模のエクスプロイトが実際にどのように展開されたかを見てみよう。

Drift Protocol — 2億 8,500万ドル、2026年 4月 1日。 Solana 最大の無期限先物 DEX（perp DEX）は、攻撃者がチームに対して 6ヶ月間にわたるソーシャル・エンジニアリング・キャンペーンを展開した後、TVL の半分以上を失った。信頼関係が構築されると、彼らは Solana の「デュラブル・ノンス（durable nonces）」機能（ユーザーが後で送信するためにトランザクションに事前署名できるように設計された UX 上の利便性）を悪用し、Drift セキュリティ評議会のメンバーを騙して、ルーチン的な運用署名だと思い込ませて承認させた。これらの署名は最終的に攻撃者に管理者権限を譲り渡し、攻撃者は偽の担保トークン（CVT）をホワイトリストに登録し、5億ユニットをデポジットして、2億 8,500万ドルの本物の USDC、SOL、ETH を引き出した。Solana の機能は設計通りに動作していた。Drift のコントラクトは管理者が指示した通りに動作していた。攻撃は、マルチシグの署名者が承認していると思っていた内容と、実際に承認していた内容の「隙間」に完全に存在していた。

Kelp DAO — 2億 9,200万ドル、2026年 4月 18日。 LayerZero によって北朝鮮の Lazarus Group によるものとされた攻撃者は、Kelp のクロスチェーン rsETH ブリッジを支える 2つの RPC ノードを侵害し、そこで実行されているバイナリを入れ替え、DDoS 攻撃を使用してベリファイアのフェイルオーバーを強制した。その後、悪意のあるノードは LayerZero のベリファイアに対し、不正なトランザクションが発生したと通知した。このエクスプロイトが成功したのは、Kelp が 1-of-1 のベリファイア設定 で運用されていたためである。つまり、単一の LayerZero が運営する DVN がクロスチェーン・メッセージを確認する一方的な権限を持っていた。LayerZero によると、その 1-of-1 の設定はクイックスタートガイドのデフォルトであり、現在 ネットワーク上のプロトコルの約 40％ で使用されている。46分間で、攻撃者は全流通量の約 18％ にあたる 116,500 rsETH を流出させ、20のチェーンにわたってラップされた担保を立ち往生させた。rsETH をリストしている Aave は、預金者が一斉に出口へ急いだため、流動性危機に追い込まれた。

どちらの攻撃もスマートコントラクトのバグを必要としなかった。どちらも、マルチシグの署名フロー、デフォルトの DVN 数、RPC の冗長性といった「設定」が、「運用の詳細」から「根幹的なセキュリティ上の前提条件」へと密かに昇格していたことを理解する必要があった。

なぜ静的監査はこの種のバグを見逃すのか​

従来の DeFi 監査は、誤った脅威モデルに対して最適化されている。Certik、OpenZeppelin、Trail of Bits、Halborn といった企業は、行ごとのコードレビューや、凍結されたコントラクトバージョンに対する不変条件（invariant）テストの実行に長けている。これにより、リエントランシー、アクセス制御のミス、整数オーバーフロー、OWASP スタイルの障害などは捕捉される。

しかし、アップグレードによって導入されるバグクラスには、そのワークフローを無効にする 3つの特性がある。

1. ソースコードではなく、複合的な実行時の挙動に存在する。 ブリッジの安全性は、メッセージング・レイヤーのベリファイア設定、DVN セット、それら DVN の RPC 冗長性、およびそれらオペレーターのスラッシング・リスクに依存する。オーディターが読む Solidity コードには、これらは一切含まれていない。

2. 初期デプロイ時ではなく、「変更」によって導入される。 Kelp のブリッジは、LayerZero v2 が最初に統合されたときは問題なかったと思われる。DVN の設定が危険になったのは、TVL が攻撃する価値があるほど大きくなり、Lazarus が RPC インフラの侵害に投資した後のことだ。

3. 「振る舞いの差分テスト（behavioral differential testing）」が必要である。 つまり、「新しいコードパスの下で不変条件 X は維持されているか？」という問いに答えることだが、主要な監査法人のいずれも、これを定期的なアップグレード後サービスとして製品化していない。バージョン 1.0 で一度限りの監査を受け、バージョン 1.1 で別の監査を受けることはあるが、1.0 から 1.1 へのアップグレードが、1.0 が依拠していた特性を損なわないか という継続的な証明は得られない。

2026年 第1四半期の統計はこのギャップを数値化している。DeFi は四半期全体で 34件のインシデント、1億 6,550万ドルの損失を記録した。しかし 4月だけで 12件のインシデントで 6億 606万ドルが発生した。デプロイ側は拡大し、第1四半期には 400億ドル以上の新規 TVL が追加されたが、監査能力、インシデント対応、およびデプロイ後の検証はほぼ横ばいのままだった。どこかに歪みが生じるのは避けられなかったのだ。

2026 年がこの問題が大規模に顕在化する年になる 3 つの要因​

1. あらゆるレイヤーでアップグレードの頻度が加速している​

すべての L1 および L2 のイテレーションが速まっています。 Ethereum の Pectra アップグレードは活発に展開されており、 Fusaka や Glamsterdam は設計段階にあります。また、 Solana 、 Sui 、 Aptos はすべて数週間サイクルで実行レイヤーの変更をリリースしています。各チェーンレベルのアップグレードは、ガスセマンティクス、署名スキーム、またはトランザクションの順序を微妙に変化させ、アプリケーションレイヤーの前提条件に波及効果をもたらす可能性があります。 Drift のエクスプロイトは分かりやすい例です。ユーザーエクスペリエンスの利便性を意図した Solana の機能（ durable nonces ）が、管理者権限の乗っ取りの媒体となりました。

2. リステーキングがアップグレードの攻撃対象領域を複合化させている​

EigenLayer （依然として市場の 80 パーセント以上を占める）、 Symbiotic 、 Karak 、 Babylon 、 Solayer といったリステーキングスタックは、この問題に第三の側面を加えます。 rsETH のような単一の LRT は EigenLayer の上に成り立ち、 EigenLayer はネイティブな ETH ステーキングの上に成り立っています。各レイヤーは独自のスケジュールで独自のアップグレードをリリースします。 EigenLayer のスラッシングセマンティクスの変更は、すべてのオペレーター、およびそのオペレーターの検証を利用するすべての LRT に暗黙的な影響を及ぼします。 Kelp のブリッジから資金が流出した際、その連鎖は即座に EigenLayer の TVL を脅かしました。なぜなら、同じ預金者が、これまでモデル化を強制されたことのない 3 レイヤーの再担保化（ rehypothecation ）にさらされていたからです。 EigenDA 、 EigenCompute 、 EigenVerify の拡張を目前に控えた EigenCloud のロードマップは、その対象領域をさらに広げるだけでしょう。

3. AI 駆動の DeFi アクティビティが人間のレビューよりも速く動く​

XION 、 Brahma Console 、 Giza といったエージェントスタックは、アップグレードされたコントラクトとマシンスピードでやり取りします。人間の財務担当者がコントラクトのアップグレード後、再開するまで数日間待つ可能性がある一方で、エージェントは数時間以内にバックテストを行い、統合し、資本を投入します。不変条件（ invariant ）を密かに壊すようなアップグレードは、人間の監査人が再レビューする前に、敵対的なフローによってストレスチェックを受けることになります。

出現しつつある防御的アーキテクチャ​

明るいニュースは、セキュリティ研究コミュニティが手をこまねいていたわけではないということです。 2026 年 4 月の損失をきっかけに、 4 つの側面から具体的な提案がなされています。

継続的な形式検証（ Continuous formal verification ） 単発の依頼ではなく継続的な検証助成金として資金提供されている、 Certora と Aave の長年にわたるコラボレーションが、現在のテンプレートとなっています。 Certora Prover は、コントラクトが変更されるたびに不変条件の証明を自動的に再実行し、マージ前に破損箇所を表面化させます。 Halmos や HEVM も、同じ目標に向けた代替のオープンソースパスを提供しています。形式検証が、従来の監査が見逃していた Ethereum の Electra アップグレードとの統合における脆弱性を最近発見したことは、例外的な出来事ではなく、今後のプレビューとなりました。

アップグレード差分監査サービス（ Upgrade-diff audit services ） Spearbit 、 Zellic 、 Cantina は、新しいバージョンを単独で監査するのではなく、 2 つのコントラクトバージョンの「差分」を監査する有料サービスの試行を開始しました。このモデルは、各アップグレードを新しい証明（ attestation ）として扱い、以前の不変条件が維持されているかどうかを明示的に検証します。 2026 年 4 月 14 日に開始された Ethereum Foundation の 100 万ドルの監査補助プログラム（ Certora 、 Cyfrin 、 Dedaub 、 Hacken 、 Immunefi 、 Quantstamp 、 Sherlock 、 Spearbit 、 Zellic 、 Zokyo を含むパートナー名簿）は、まさにこの種の作業の能力を拡大することを目的の一つとしています。

カオスエンジニアリングとランタイム監視 OpenZeppelin Defender や新しいツールは、フォークされたメインネットのシミュレーションを CI パイプラインに組み込み、プロトコルが提案されたすべてのアップグレードに対して敵対的なシナリオを再現できるようにしています。この規律は Web2 の SRE プラクティスから直接借用されたものであり、 DeFi においては導入が遅れていたものです。

タイムロック付きアップグレード・エスクロー ガバナンスで承認されたすべてのアップグレードが実行前に一定期間パブリックキューに置かれる Compound Timelock v3 パターンは、内部レビューが見逃した問題をコミュニティが発見するための時間を与えます。これはアップグレードによって導入されるバグを防ぐものではありませんが、悪用される前にそれらが発見されるまでの時間を稼ぐことができます。

伝統的金融（ TradFi ）との比較： DeFi 以外では継続的監査が標準​

伝統的金融は、数十年前に同様の問題を解決しました。ほとんどの機関サービスプロバイダーが準拠を求められる標準である SOC 2 Type II は、一回限りの証明ではなく、 6 か月から 12 か月の継続的な監査ウィンドウです。バーゼル III のカウンターパーティリスク・フレームワークは、銀行に対し、年次ではなくエクスポージャーが変化する「都度」、自己資本モデルを更新することを求めています。決済システムをアップグレードしたカストディ銀行が、「バージョン 1 を監査したのだから、バージョン 2 は小さな変更に過ぎない」という根拠で運営を許可されることはありません。

DeFi の現在の主流文化である「一度監査して永久にデプロイし、大幅な書き換え時のみ再監査する」という慣行は、 2008 年の危機の後に TradFi が明示的に拒絶したものです。現在の損失率では、業界は年間 20 億ドル以上のアップグレード関連のエクスプロイト損失に向かっています。これは、すでに DeFi の監査基準が不十分であると考えている規制当局の注目を集めるのに十分な規模であり、また、継続的な検証を機関投資家資本の前提条件にするのに十分な規模です。

開発者、預金者、インフラストラクチャにとっての意味​

プロトコルチームにとって、運用の義務は単純明快ですが、決して安くはありません。すべてのアップグレードは、セキュリティ保証を継承するのではなく、再導出する新しいリリースとして扱われなければなりません。それは、差分ベースでの定期的な再監査、すべてのガバナンス提案に付随する形式検証の仕様、および実行前の意味のあるタイムロックを意味します。また、 Aave のように、依存しているプロトコルと、それらが失敗した際のエクスポージャーを特定する、定量化されたカスケードリスク・フレームワークを公開することを意味します。

預金者にとっての教訓は、「このプロトコルは監査済みである」という言葉自体がもはや有用なシグナルではないということです。正しい質問は、「直近の継続的検証の実行はいつか、どの不変条件に対してか、そしてデプロイされたコードのどのバージョンに対してか」ということです。これに答えられないプロトコルは、相応の価格（リスク）として評価されるべきです。

インフラストラクチャプロバイダー（ RPC オペレーター、インデクサー、カストディアン）にとって、 Kelp のインシデントは直接的な警告です。侵害は、バイナリが密かに差し替えられた 2 つの RPC ノードで発生しました。クロスチェーン検証（ DVN 、オラクルノード、シーケンサー）に参加するインフラを運営している人は誰でも、同意したかどうかにかかわらず、今やセキュリティモデルの一部です。再現可能なビルド（ reproducible builds ）、証明済みバイナリ、 1-of-1 のデフォルトを超えるマルチオペレーターの定足数、および起動時の署名済みバイナリの検証は、もはやオプションではありません。

チェーンレベルのアップグレード（ Ethereum の Pectra と Fusaka 、 Solana と Aptos の並列実行の展開、 Glamsterdam のスループット目標）は、対象領域を広げ続けるでしょう。 2026 年を生き残るプロトコルとインフラオペレーターは、継続的な検証を早期に導入し、次の定期的なアップグレードが次の証明可能なセキュリティチェックポイントとなるようにした人々でしょう。

• BlockEden.xyz は、 Sui 、 Aptos 、 Ethereum 、 Solana 、およびその他の多数のチェーンにわたって、本番環境の RPC 、インデクサー、およびノードインフラストラクチャを運営しています。私たちは、チェーンレイヤーまたはアプリケーションレイヤーにおけるすべてのプロトコルアップグレードを、メンテナンス作業ではなく、新しいセキュリティイベントとして扱っています。 当社のエンタープライズインフラストラクチャを探索 して、これからのアップグレード頻度に耐えられるように設計された基盤の上に構築してください。*

情報源​

• 仮想通貨の 6 億 600 万ドルの 4 月の悪夢：12 件のハック、18 日間、Bybit 強奪事件以来最悪の月 — CryptoTimes
• 6 億 600 万ドルの損失：2026 年 4 月が仮想通貨エクスプロイトにとって最悪の月に — Blockonomi
• Kelp DAO が 2 億 9,200 万ドルのエクスプロイト被害、ラップドイーサが 20 のチェーンにまたがって立ち往生 — CoinDesk
• LayerZero、2 億 9,000 万ドルのエクスプロイトの原因は Kelp のセットアップにあるとし、北朝鮮の Lazarus によるものと断定 — CoinDesk
• Drift Protocol ハック：特権アクセスがいかにして 2 億 8,500 万ドルの損失を招いたか — Chainalysis
• Drift の攻撃者が利便性のために設計された Solana の機能を利用していかに 2 億 7,000 万ドル以上を流出させたか — CoinDesk
• 北朝鮮のハッカーが Drift Protocol を攻撃、2 億 8,500 万ドルの強奪事件に — TRM Labs
• 2026 年第 1 四半期 DeFi エクスプロイト パターン分析：1 億 3,700 万ドルの損失、すべての監査人が知っておくべき 5 つの攻撃パターン — DEV Community
• OWASP スマートコントラクト トップ 10：2026 年版 — DEV Community
• Aave-Certora-Secureum：DeFi セキュリティのコラボレーション — Secureum
• イーサリアム財団、スマートコントラクト開発者向けに 100 万ドルの監査プログラムに資金提供
• アップグレード可能なスマートコントラクト：プロキシ、パターン、落とし穴、および CI/CD セーフガード — Octane Security
• 2 億 9,200 万ドルの Kelp DAO rsETH ハックが Aave の流動性危機を誘発 — CCN
• 2026 年に DeFi エクスプロイトで 4 億ドル以上が消失 — CCN

DeFi の短い歴史の大部分において、「機関投資家の採用」はピッチデックのスライド上の話に過ぎませんでした。2026年 4月、それはダッシュボード上の数値となりました。プロトコルのコンプライアンス準拠型リアルワールドアセット（RWA）市場である Aave Horizon は、現在、約 5億 5000万ドルの純預託額 を保持しており、わずか 9ヶ月前にはほとんど存在しなかった製品でありながら、10億ドルへの道を進んでいます。

これは 260億ドルを超えるトークン化 RWA 市場において無視できない規模であり、ポイントプログラムで作り出せるような TVL（預かり資産）ではありません。Horizon の担保は、トークン化された米国財務省証券、トークン化されたクレジットファンド、および短期政府証券です。その借り手は適格機関投資家です。貸し手は、ますますそれ以外のすべての人々になりつつあります。このモデルが維持されれば、Aave は 2020年以来、すべての「TradFi のための DeFi」というピッチが探し求めてきたテンプレートに偶然にも辿り着いたことになります。

2026年 1月、Solana 上の単一の DEX が、トップ 20 の中央集権型取引所（CEX）のほとんどを上回る 1 日あたりの取引量を記録しました。

その数週間後、SEC（証券取引委員会）と CFTC（商品先物取引委員会）の委員長が共にステージに登壇し、管轄権争いに終止符を打つことを約束する覚書に署名しました。そしてその間に、DEX 対 CEX の現物取引量の比率は、誰もが超えることはないだろうと信じていた一線を静かに越えていました。

クリプトの歴史の大部分において、「DEX 対 CEX」は同じ結末にたどり着く思考実験でした。すなわち、CEX が流動性を握り、個人投資家はクリーンなアプリを求め、機関投資家は法定通貨の出入り口（フィアット・レール）を必要とする、というものです。DeFi はイデオロギー信奉者のためのものでした。2026年、その議論はもはや机上の空論ではありません。中央集権型取引所の構造的なアンバンドリング（分断・再構築）が進行しており、それは「チェーン抽象化されたウォレット」、「インテントベースの実行」、そして中堅 CEX に匹敵する「オンチェーン流動性の厚み」という、ようやく揃った 3 つの力によって推進されています。

DeFi において、7 日間は永遠に等しい。それは、ほとんどのミームコインのライフサイクルよりも長く、平均的なレバレッジ・ポジションの保持期間よりも長く、そして間違いなく、トレーダーがステーブルコインを Arbitrum から Ethereum メインネットに移動させるために待ちたい時間よりも長い。しかし、オプティミスティック・ロールアップ（Optimistic Rollup）に組み込まれた 7 日間のチャレンジ・ウィンドウは、L2 の普及における最大の UX（ユーザー・エクスペリエンス）上の「税」であり続けてきた。この税は、失われた資本効率、流動性の断片化、そしてネイティブ・レールが提供できない部分を補うサードパーティの流動性プール・ブリッジの際限ない増殖という形で支払われている。

Curve Finance の FastBridge は、この税を単に手数料の裏に隠すのではなく、プロトコル・レイヤーで解決しようとするこれまでで最も野心的な試みである。LayerZero のメッセージングを「ボルト・アンド・ミント（vault-and-mint）」設計に組み込むことで、FastBridge は Arbitrum、Optimism、Fraxtal からの crvUSD 転送を約 15 分にまで短縮する。しかも、流動性プールのリスクや、ブリッジ資産のラッパー、あるいは多くの「高速」ブリッジに付きまとう信頼の前提なしに、である。また、図らずも、これはアプリケーション・レイヤーのブリッジとメッセージング・レイヤーの中立性の境界を試すストレス・テストにもなっている。この境界線は、2026 年 4 月中旬の rsETH エクスプロイトによって、突如として避けられない課題となった。

2026 年 4 月 18 日に KelpDAO から 1 ドルが盗まれるごとに、別の 45 ドルが DeFi から流出しました。これこそが事後分析が繰り返し指摘する比率です。2 億 9,200 万ドルのエクスプロイトが、わずか 2 日間で 130 億〜 140 億ドルの TVL（預かり資産）の流出を爆発的に引き起こしました。これにより、DeFi セクター全体がこの 1 年で最低の TVL にまで引き下げられ、機関投資家の買い手側の間では、「ブルーチップ DeFi」はインフラなどではなく、最初の相関ショックで破れる再帰的な流動性の膜に過ぎないという認識が広まりました。

攻撃自体は数分で終了しました。その余波は、開発者、監査人、そしてアロケーターがクロスチェーンの信頼についてどう考えるかを今も再構築し続けています。そして、LayerZero の予備的な属性特定が正しければ、その 18 日前に Drift Protocol から 2 億 8,500 万ドルを流出させたのと同じ北朝鮮のユニットが、2026 年の収穫にさらに 2 億 9,200 万ドルを加えたことになります。これにより、ラザルス（Lazarus）による 4 月の確定被害額は、2 つの構造的に異なる攻撃ベクトルを通じて 5 億 7,500 万ドルを超えました。

2026年 3月 22日、攻撃者が 100,000ドルの USDC を持って Resolv Labs に入り、2,500万ドルの ETH を持って立ち去りました。スマートコントラクトにバグがあったわけではありません。オラクルが嘘をついたわけでもありません。デルタニュートラルなヘッジ戦略は、設計通りに機能していました。その代わりに、ブロックチェーンの外に存在していた単一の AWS Key Management Service (KMS) クレデンシャル（1つの署名キー）が、侵入者に 10万ドルの預金に対して 8,000万の裏付けのない USR トークンを発行する権限を与えてしまったのです。17分後、USR は 1.00ドルから 0.025ドルへと 97.5% 急落し、イーサリアム全域のレンディングプロトコルがその衝撃を吸収していました。

Resolv の事件は、それが巧妙だったから注目されているのではありません。巧妙ではなかったからこそ注目に値するのです。最大ミントチェックの欠如、クラウドキー管理における単一障害点、そしてデペグしたステーブルコインに 1ドルの価格を付けたオラクル —— DeFi はこれまでにも、これらの失敗を何度も経験してきました。このハックが明らかにしているのは、不都合な事実です。現代のステーブルコインの攻撃対象領域（アタックサーフェス）は、Solidity から AWS コンソールへと静かに移行しており、業界のセキュリティモデルがそれに追いついていないということです。

3 年間、アメリカの DeFi 開発者は毎朝同じ問いを自分に投げかけてきました。「私は今日、ブローカー・ディーラーなのだろうか？」 2026 年 4 月現在、SEC は事実上の回答を提示しました。それは規則や法令ではなく、演説、スタッフの声明、そして終結した調査という形でです。 950 億ドルのパーミッションレス・プロトコル TVL が、規制当局の「黙認」に等しい非公式なセーフハーバーの下で運営されている、そんな時代へようこそ。

SEC のポール・アトキンズ委員長は、その目的地について明示してきました。 2025 年 7 月 31 日に開始された彼の「プロジェクト・クリプト」イニシアチブは、アメリカの金融市場をオンチェーンに移行させることを目的としています。 彼の提案する「イノベーション免除」は今年発効予定です。 また、彼の取引市場局（Division of Trading and Markets）は、フロントエンド開発者に対し、少なくとも今後 5 年間はブローカー・ディーラーとして登録することなく、セルフカストディ型インターフェースを構築し続けることができるとすでに伝えています。 係属中の CLARITY 法はこれらすべてを制定法に組み込む予定ですが、2030 年まで法案が棚上げされるリスクを回避するための上院の期限が 2026 年 4 月 25 日に迫る中、業界は不都合な真実に気づきつつあります。それは、現在暗号資産において最も強力な規制体制には、法的な裏付けが全くないということです。