「security auditing」タグの記事が 2 件 件あります

2026年 4月のわずか 18日間で、攻撃者は DeFi から 6億 606万ドルを流出させた。この期間だけで 2026年 第1四半期の損失額の 3.7倍を上回り、2025年 2月の Bybit ハッキング事件以来、最悪の月となった。被害の 95％ は、Solana 上の Drift と Ethereum 上の Kelp DAO の 2つのプロトコルによるものだった。両者とも監査済みであり、静的解析もパスしていた。どちらもルーチン的なアップグレードを行ったが、それが監査人が検証した前提条件を密かに無効にしてしまったのである。

これが DeFi リスクの新たな側面だ。2026年の壊滅的なエクスプロイトは、もはや CI のファザーが発見できるようなリエントランシー・バグや整数オーバーフローに関するものではない。それは、アップグレードによって導入された脆弱性である。ブリッジの設定、オラクル・ソース、アドミン・ロール、あるいはメッセージングのデフォルト設定に対する微妙な変更が、Solidity のコードに明らかな間違いが一行もなくとも、かつて安全だったコードを「開かれたドア」へと変えてしまうのだ。

DeFi で構築、カストディ、あるいは単に資産を保有しているなら、2026年 4月からの教訓は受け入れがたいものだ。3ヶ月前のクリーンな監査レポートは、もはやそのプロトコルが今日安全であるという証拠にはならない。

4月のパターン：コードではなく設定​

「アップグレード導入型」がなぜ独自のカテゴリーに値するのかを理解するために、2つの最大規模のエクスプロイトが実際にどのように展開されたかを見てみよう。

Drift Protocol — 2億 8,500万ドル、2026年 4月 1日。 Solana 最大の無期限先物 DEX（perp DEX）は、攻撃者がチームに対して 6ヶ月間にわたるソーシャル・エンジニアリング・キャンペーンを展開した後、TVL の半分以上を失った。信頼関係が構築されると、彼らは Solana の「デュラブル・ノンス（durable nonces）」機能（ユーザーが後で送信するためにトランザクションに事前署名できるように設計された UX 上の利便性）を悪用し、Drift セキュリティ評議会のメンバーを騙して、ルーチン的な運用署名だと思い込ませて承認させた。これらの署名は最終的に攻撃者に管理者権限を譲り渡し、攻撃者は偽の担保トークン（CVT）をホワイトリストに登録し、5億ユニットをデポジットして、2億 8,500万ドルの本物の USDC、SOL、ETH を引き出した。Solana の機能は設計通りに動作していた。Drift のコントラクトは管理者が指示した通りに動作していた。攻撃は、マルチシグの署名者が承認していると思っていた内容と、実際に承認していた内容の「隙間」に完全に存在していた。

Kelp DAO — 2億 9,200万ドル、2026年 4月 18日。 LayerZero によって北朝鮮の Lazarus Group によるものとされた攻撃者は、Kelp のクロスチェーン rsETH ブリッジを支える 2つの RPC ノードを侵害し、そこで実行されているバイナリを入れ替え、DDoS 攻撃を使用してベリファイアのフェイルオーバーを強制した。その後、悪意のあるノードは LayerZero のベリファイアに対し、不正なトランザクションが発生したと通知した。このエクスプロイトが成功したのは、Kelp が 1-of-1 のベリファイア設定 で運用されていたためである。つまり、単一の LayerZero が運営する DVN がクロスチェーン・メッセージを確認する一方的な権限を持っていた。LayerZero によると、その 1-of-1 の設定はクイックスタートガイドのデフォルトであり、現在 ネットワーク上のプロトコルの約 40％ で使用されている。46分間で、攻撃者は全流通量の約 18％ にあたる 116,500 rsETH を流出させ、20のチェーンにわたってラップされた担保を立ち往生させた。rsETH をリストしている Aave は、預金者が一斉に出口へ急いだため、流動性危機に追い込まれた。

どちらの攻撃もスマートコントラクトのバグを必要としなかった。どちらも、マルチシグの署名フロー、デフォルトの DVN 数、RPC の冗長性といった「設定」が、「運用の詳細」から「根幹的なセキュリティ上の前提条件」へと密かに昇格していたことを理解する必要があった。

なぜ静的監査はこの種のバグを見逃すのか​

従来の DeFi 監査は、誤った脅威モデルに対して最適化されている。Certik、OpenZeppelin、Trail of Bits、Halborn といった企業は、行ごとのコードレビューや、凍結されたコントラクトバージョンに対する不変条件（invariant）テストの実行に長けている。これにより、リエントランシー、アクセス制御のミス、整数オーバーフロー、OWASP スタイルの障害などは捕捉される。

しかし、アップグレードによって導入されるバグクラスには、そのワークフローを無効にする 3つの特性がある。

1. ソースコードではなく、複合的な実行時の挙動に存在する。 ブリッジの安全性は、メッセージング・レイヤーのベリファイア設定、DVN セット、それら DVN の RPC 冗長性、およびそれらオペレーターのスラッシング・リスクに依存する。オーディターが読む Solidity コードには、これらは一切含まれていない。

2. 初期デプロイ時ではなく、「変更」によって導入される。 Kelp のブリッジは、LayerZero v2 が最初に統合されたときは問題なかったと思われる。DVN の設定が危険になったのは、TVL が攻撃する価値があるほど大きくなり、Lazarus が RPC インフラの侵害に投資した後のことだ。

3. 「振る舞いの差分テスト（behavioral differential testing）」が必要である。 つまり、「新しいコードパスの下で不変条件 X は維持されているか？」という問いに答えることだが、主要な監査法人のいずれも、これを定期的なアップグレード後サービスとして製品化していない。バージョン 1.0 で一度限りの監査を受け、バージョン 1.1 で別の監査を受けることはあるが、1.0 から 1.1 へのアップグレードが、1.0 が依拠していた特性を損なわないか という継続的な証明は得られない。

2026年 第1四半期の統計はこのギャップを数値化している。DeFi は四半期全体で 34件のインシデント、1億 6,550万ドルの損失を記録した。しかし 4月だけで 12件のインシデントで 6億 606万ドルが発生した。デプロイ側は拡大し、第1四半期には 400億ドル以上の新規 TVL が追加されたが、監査能力、インシデント対応、およびデプロイ後の検証はほぼ横ばいのままだった。どこかに歪みが生じるのは避けられなかったのだ。

2026 年がこの問題が大規模に顕在化する年になる 3 つの要因​

1. あらゆるレイヤーでアップグレードの頻度が加速している​

すべての L1 および L2 のイテレーションが速まっています。 Ethereum の Pectra アップグレードは活発に展開されており、 Fusaka や Glamsterdam は設計段階にあります。また、 Solana 、 Sui 、 Aptos はすべて数週間サイクルで実行レイヤーの変更をリリースしています。各チェーンレベルのアップグレードは、ガスセマンティクス、署名スキーム、またはトランザクションの順序を微妙に変化させ、アプリケーションレイヤーの前提条件に波及効果をもたらす可能性があります。 Drift のエクスプロイトは分かりやすい例です。ユーザーエクスペリエンスの利便性を意図した Solana の機能（ durable nonces ）が、管理者権限の乗っ取りの媒体となりました。

2. リステーキングがアップグレードの攻撃対象領域を複合化させている​

EigenLayer （依然として市場の 80 パーセント以上を占める）、 Symbiotic 、 Karak 、 Babylon 、 Solayer といったリステーキングスタックは、この問題に第三の側面を加えます。 rsETH のような単一の LRT は EigenLayer の上に成り立ち、 EigenLayer はネイティブな ETH ステーキングの上に成り立っています。各レイヤーは独自のスケジュールで独自のアップグレードをリリースします。 EigenLayer のスラッシングセマンティクスの変更は、すべてのオペレーター、およびそのオペレーターの検証を利用するすべての LRT に暗黙的な影響を及ぼします。 Kelp のブリッジから資金が流出した際、その連鎖は即座に EigenLayer の TVL を脅かしました。なぜなら、同じ預金者が、これまでモデル化を強制されたことのない 3 レイヤーの再担保化（ rehypothecation ）にさらされていたからです。 EigenDA 、 EigenCompute 、 EigenVerify の拡張を目前に控えた EigenCloud のロードマップは、その対象領域をさらに広げるだけでしょう。

3. AI 駆動の DeFi アクティビティが人間のレビューよりも速く動く​

XION 、 Brahma Console 、 Giza といったエージェントスタックは、アップグレードされたコントラクトとマシンスピードでやり取りします。人間の財務担当者がコントラクトのアップグレード後、再開するまで数日間待つ可能性がある一方で、エージェントは数時間以内にバックテストを行い、統合し、資本を投入します。不変条件（ invariant ）を密かに壊すようなアップグレードは、人間の監査人が再レビューする前に、敵対的なフローによってストレスチェックを受けることになります。

出現しつつある防御的アーキテクチャ​

明るいニュースは、セキュリティ研究コミュニティが手をこまねいていたわけではないということです。 2026 年 4 月の損失をきっかけに、 4 つの側面から具体的な提案がなされています。

継続的な形式検証（ Continuous formal verification ） 単発の依頼ではなく継続的な検証助成金として資金提供されている、 Certora と Aave の長年にわたるコラボレーションが、現在のテンプレートとなっています。 Certora Prover は、コントラクトが変更されるたびに不変条件の証明を自動的に再実行し、マージ前に破損箇所を表面化させます。 Halmos や HEVM も、同じ目標に向けた代替のオープンソースパスを提供しています。形式検証が、従来の監査が見逃していた Ethereum の Electra アップグレードとの統合における脆弱性を最近発見したことは、例外的な出来事ではなく、今後のプレビューとなりました。

アップグレード差分監査サービス（ Upgrade-diff audit services ） Spearbit 、 Zellic 、 Cantina は、新しいバージョンを単独で監査するのではなく、 2 つのコントラクトバージョンの「差分」を監査する有料サービスの試行を開始しました。このモデルは、各アップグレードを新しい証明（ attestation ）として扱い、以前の不変条件が維持されているかどうかを明示的に検証します。 2026 年 4 月 14 日に開始された Ethereum Foundation の 100 万ドルの監査補助プログラム（ Certora 、 Cyfrin 、 Dedaub 、 Hacken 、 Immunefi 、 Quantstamp 、 Sherlock 、 Spearbit 、 Zellic 、 Zokyo を含むパートナー名簿）は、まさにこの種の作業の能力を拡大することを目的の一つとしています。

カオスエンジニアリングとランタイム監視 OpenZeppelin Defender や新しいツールは、フォークされたメインネットのシミュレーションを CI パイプラインに組み込み、プロトコルが提案されたすべてのアップグレードに対して敵対的なシナリオを再現できるようにしています。この規律は Web2 の SRE プラクティスから直接借用されたものであり、 DeFi においては導入が遅れていたものです。

タイムロック付きアップグレード・エスクロー ガバナンスで承認されたすべてのアップグレードが実行前に一定期間パブリックキューに置かれる Compound Timelock v3 パターンは、内部レビューが見逃した問題をコミュニティが発見するための時間を与えます。これはアップグレードによって導入されるバグを防ぐものではありませんが、悪用される前にそれらが発見されるまでの時間を稼ぐことができます。

伝統的金融（ TradFi ）との比較： DeFi 以外では継続的監査が標準​

伝統的金融は、数十年前に同様の問題を解決しました。ほとんどの機関サービスプロバイダーが準拠を求められる標準である SOC 2 Type II は、一回限りの証明ではなく、 6 か月から 12 か月の継続的な監査ウィンドウです。バーゼル III のカウンターパーティリスク・フレームワークは、銀行に対し、年次ではなくエクスポージャーが変化する「都度」、自己資本モデルを更新することを求めています。決済システムをアップグレードしたカストディ銀行が、「バージョン 1 を監査したのだから、バージョン 2 は小さな変更に過ぎない」という根拠で運営を許可されることはありません。

DeFi の現在の主流文化である「一度監査して永久にデプロイし、大幅な書き換え時のみ再監査する」という慣行は、 2008 年の危機の後に TradFi が明示的に拒絶したものです。現在の損失率では、業界は年間 20 億ドル以上のアップグレード関連のエクスプロイト損失に向かっています。これは、すでに DeFi の監査基準が不十分であると考えている規制当局の注目を集めるのに十分な規模であり、また、継続的な検証を機関投資家資本の前提条件にするのに十分な規模です。

開発者、預金者、インフラストラクチャにとっての意味​

プロトコルチームにとって、運用の義務は単純明快ですが、決して安くはありません。すべてのアップグレードは、セキュリティ保証を継承するのではなく、再導出する新しいリリースとして扱われなければなりません。それは、差分ベースでの定期的な再監査、すべてのガバナンス提案に付随する形式検証の仕様、および実行前の意味のあるタイムロックを意味します。また、 Aave のように、依存しているプロトコルと、それらが失敗した際のエクスポージャーを特定する、定量化されたカスケードリスク・フレームワークを公開することを意味します。

預金者にとっての教訓は、「このプロトコルは監査済みである」という言葉自体がもはや有用なシグナルではないということです。正しい質問は、「直近の継続的検証の実行はいつか、どの不変条件に対してか、そしてデプロイされたコードのどのバージョンに対してか」ということです。これに答えられないプロトコルは、相応の価格（リスク）として評価されるべきです。

インフラストラクチャプロバイダー（ RPC オペレーター、インデクサー、カストディアン）にとって、 Kelp のインシデントは直接的な警告です。侵害は、バイナリが密かに差し替えられた 2 つの RPC ノードで発生しました。クロスチェーン検証（ DVN 、オラクルノード、シーケンサー）に参加するインフラを運営している人は誰でも、同意したかどうかにかかわらず、今やセキュリティモデルの一部です。再現可能なビルド（ reproducible builds ）、証明済みバイナリ、 1-of-1 のデフォルトを超えるマルチオペレーターの定足数、および起動時の署名済みバイナリの検証は、もはやオプションではありません。

チェーンレベルのアップグレード（ Ethereum の Pectra と Fusaka 、 Solana と Aptos の並列実行の展開、 Glamsterdam のスループット目標）は、対象領域を広げ続けるでしょう。 2026 年を生き残るプロトコルとインフラオペレーターは、継続的な検証を早期に導入し、次の定期的なアップグレードが次の証明可能なセキュリティチェックポイントとなるようにした人々でしょう。

• BlockEden.xyz は、 Sui 、 Aptos 、 Ethereum 、 Solana 、およびその他の多数のチェーンにわたって、本番環境の RPC 、インデクサー、およびノードインフラストラクチャを運営しています。私たちは、チェーンレイヤーまたはアプリケーションレイヤーにおけるすべてのプロトコルアップグレードを、メンテナンス作業ではなく、新しいセキュリティイベントとして扱っています。 当社のエンタープライズインフラストラクチャを探索 して、これからのアップグレード頻度に耐えられるように設計された基盤の上に構築してください。*

情報源​

• 仮想通貨の 6 億 600 万ドルの 4 月の悪夢：12 件のハック、18 日間、Bybit 強奪事件以来最悪の月 — CryptoTimes
• 6 億 600 万ドルの損失：2026 年 4 月が仮想通貨エクスプロイトにとって最悪の月に — Blockonomi
• Kelp DAO が 2 億 9,200 万ドルのエクスプロイト被害、ラップドイーサが 20 のチェーンにまたがって立ち往生 — CoinDesk
• LayerZero、2 億 9,000 万ドルのエクスプロイトの原因は Kelp のセットアップにあるとし、北朝鮮の Lazarus によるものと断定 — CoinDesk
• Drift Protocol ハック：特権アクセスがいかにして 2 億 8,500 万ドルの損失を招いたか — Chainalysis
• Drift の攻撃者が利便性のために設計された Solana の機能を利用していかに 2 億 7,000 万ドル以上を流出させたか — CoinDesk
• 北朝鮮のハッカーが Drift Protocol を攻撃、2 億 8,500 万ドルの強奪事件に — TRM Labs
• 2026 年第 1 四半期 DeFi エクスプロイト パターン分析：1 億 3,700 万ドルの損失、すべての監査人が知っておくべき 5 つの攻撃パターン — DEV Community
• OWASP スマートコントラクト トップ 10：2026 年版 — DEV Community
• Aave-Certora-Secureum：DeFi セキュリティのコラボレーション — Secureum
• イーサリアム財団、スマートコントラクト開発者向けに 100 万ドルの監査プログラムに資金提供
• アップグレード可能なスマートコントラクト：プロキシ、パターン、落とし穴、および CI/CD セーフガード — Octane Security
• 2 億 9,200 万ドルの Kelp DAO rsETH ハックが Aave の流動性危機を誘発 — CCN
• 2026 年に DeFi エクスプロイトで 4 億ドル以上が消失 — CCN

未来志向のデザインと戦略的変革​

Web3エコシステムにおける監査は、単なる技術的保護策ではなく、プロジェクトの信頼性と安全性を示す重要なシグナルです。本研究は、ユーザーが監査情報をどのように取得・評価し、意思決定にどのように影響を受けるかを明らかにし、実務者向けの具体的なアクションプランを提示します。

1. 情報取得における「トンネルビジョン」効果​

ユーザーが監査情報にアクセスする主な、そしてしばしば唯一のチャネルはプロジェクトの公式ウェブサイトです。全てのインタビュー対象者がこの行動パターンを確認しました。

• 戦略的示唆：あなたのウェブサイトは監査の価値を伝える 主要な戦場 です。ユーザーが監査会社のウェブサイトを掘り下げたり、オンチェーンで情報を照合したりするとは想定しないでください。サイト上で監査情報がどのように提示されるかが、ユーザーの第一印象と信頼の基盤を直接形成します。

2. 認識された情報価値の二極化​

ユーザーは現在の監査レポートの情報価値が不足していると感じており、これは以下の二つの形で現れます：

• 専門家向けの価値不足：技術に精通したユーザーは、多くのレポートが「急ぎ足で、定型的で、繰り返し」だと感じ、深みや有意義な洞察に欠けていると指摘します。

• 初心者にとっての高いハードル：非技術的ユーザーは専門用語やコードに圧倒され、理解が困難です。監査会社のウェブサイトを外部で調査した結果、3社以上の1/3がサービスプロセスの詳細な説明を欠き、ほとんどが監査人の専門的な経験を十分に開示していないことが確認されました。

• 戦略的示唆：現在の一律PDFレポート形式は、異なるユーザー層のニーズを 満たせていません。プロジェクトと監査会社は、階層化されたインタラクティブな開示戦略—簡潔な要約、ビジュアルリスク評価、専門家向けの完全な技術詳細—を検討すべきです。

3. 信頼モデルの脆弱性：広範な懐疑の中での評判依存​

ユーザーは監査会社の「評判」を品質判断の主要基準として挙げますが、この信頼モデルは脆弱です。

• 評判の曖昧さ：多くのインタビュー対象者は1つ以上の監査会社を挙げられず、ユーザーの評判認識があいまいで影響を受けやすいことを示唆しています。

• 独立性への根本的な疑念：監査サービスはプロジェクトが支払うため、ユーザーはその公平性に広く疑問を抱きます。あるインタビュー対象者は次のように要約しました：「監査会社がクライアントを公然と批判したり『倒したり』することは考えにくい。」Redditの議論でも同様の懐疑が見られます。

• 戦略的示唆：ユーザーの信頼は技術的詳細ではなく、独立性と公平性 の認識に基づいて構築されます。単に技術レポートを公開するよりも、クライアントとのワークフローを開示するなど、監査プロセスの透明性を積極的に高めることが重要です。

4. 監査の真の価値：「努力の証明」​

有効性や公平性への疑念があるにもかかわらず、ほぼ全員が合意しています：監査を受けるという行為自体が、プロジェクトのセキュリティと責任へのコミットメントを示す強力なシグナルである。

• ある参加者は次のように説明しました：それは「アプリケーションがセキュリティを真剣に考えており、少なくとも監査に投資する意思がある」ことを示すと。
• 戦略的示唆：監査は単なる技術的保護策ではなく、重要な マーケティングおよび信頼構築ツール でもあります。その象徴的意味は、ユーザーが実際に理解できる内容の量をはるかに上回ります。チームはマーケティングやコミュニティコミュニケーションにおいて、独立監査への投資を強調すべきです。

5. ユーザーの意思決定行動：二元的かつ非対称的​

• 「存在」に焦点、 「品質」ではない：ユーザーは監査情報のレビューにほとんど時間を割かず、通常10分未満です。詳細よりも監査が存在するかどうかを重視します。
• 非対称的な影響：肯定的な監査結果はコミュニティの信頼を大幅に高めます。否定的な結果も懸念を生むものの、高リスクユーザーに対する抑止効果は限定的です。
• 戦略的示唆：二元的な「監査済み/未監査」ステータスは、ユーザーの意思決定において最も影響力のある変数です。プロジェクトはこのステータスを明確に表示すべきです。監査会社は、レポートの結論をユーザーの意思決定によりインパクトを与える形で設計できます。

未来志向のデザインと戦略的変革​

これらのインサイトに基づき、本研究は実務者向けの明確なアクションプランを提示します：

1. 監査会社向け：レポートとサービスモデルの再構築

   • 静的からインタラクティブへ：従来のPDFレポートから、階層化データ、クリック可能なコードスニペット、組み込みフィードバック機構を備えた インタラクティブなウェブプラットフォーム へ移行します。
   • 徹底的な透明性の採用：監査手法、主要プロセス、さらにはクライアントとのやり取り（核心的な機密情報を除く）を積極的に開示し、独立性と公平性を示します。
   • 業界標準化の推進：標準が欠如していることは業界の信頼性を損ないます。企業は統一された慣行、リスク分類、報告基準の策定を支援し、コミュニティに教育を行うべきです。

2. プロジェクトチーム向け：UXとコミュニケーション戦略に監査を統合

   • 情報提示の最適化：ウェブサイト上で監査情報を明確に表示します。フルレポートへのリンクを備えた簡潔な「監査サマリー」ページは、単純なPDFリンクよりも効果的です。
   • 「努力の証明」を活用：サードパーティ監査の完了を、マーケティング、コミュニティAMA、ホワイトペーパーにおける重要な信頼マイルストーンとして位置付けます。
   • 教育的役割の受容：監査会社と提携し、セキュリティ教育イベントを共同開催します。これにより認知度が高まり、プロジェクトと監査ブランド双方への信頼が向上します。

3. コミュニティ・エコシステム構築者向け：集合知の力を活用

   • コミュニティのエンパワーメント：技術専門家やKOLが監査レポートの第三者解釈やレビューを提供できるよう支援します。
   • DAOガバナンスの探索：監査を DAO が委託または監督するモデルを実験します。このアプローチは、コミュニティ投票とインセンティブを通じて独立性と信頼性を強化できます。

結論として、本研究は明確な警告を発しています：Web3業界は監査を孤立した技術的機能として扱い続けることはできません。実務者は現在の慣行とユーザー認識のギャップに直面し、ユーザー体験と信頼構築を中心に据える必要があります。透明性の向上、コミュニケーションの最適化、標準化の推進によってのみ、より安全で信頼性の高い分散型の未来を共に築くことができるでしょう。