サイバーセキュリティ、スマートコントラクト監査、ベストプラクティス
すべてのタグを見る
書類を一切提示せずに、年収が 100,000 ドル以上であること、有効なパスポートを所持していること、または FICO 信用スコアが 800 点であることを証明できたらどうでしょうか?それが zkTLS の約束であり、2026 年、それは暗号理論からプロダクション・インフラへと急速に移行しています。
ゼロ知識トランスポート層セキュリティ (zkTLS) は、現在アクセスするほぼすべてのウェブサイトを保護している暗号化プロトコルを拡張したものです。zkTLS は、単に通信中のデータを保護するだけでなく、基礎となる情報を一切公開することなく、特定のデータが検証済みのソースから取得されたものであるという数学的証明を生成します。その結果、Web2 データのロックされた保管庫と、Web3 のコンポーザブルでパーミッションレスな世界の間の架け橋となります。
1 つの認可チェックの欠落。17 日間も気づかれず。78 個のブルーチップ NFT — Art Blocks、Doodles、Beeple の作品を含む — が、一度もトランザクションを開始していないウォレットから流出した。2026 年 3 月 9 日の Gondi エクスプロイトは、「便利な機能」がいかに攻撃対象(アタックサーフェス)になり得るか、そしてなぜ NFT レンディング・セクターが代替可能トークン(ファンジブル・トークン)の DeFi にはなかったセキュリティ上の課題に直面しているのかを示す典型的な事例である。
2026年3月12日、単一の Ethereum トランザクションにより、5,040万ドルの USDT が約36,000ドルの価値しかない 327 AAVE トークンに変わりました。この損失は、ハッキングやエクスプロイト、スマートコントラクトのバグによるものではありませんでした。Aave、CoW Swap、SushiSwap といった関与したすべてのプロトコルは、設計通りに正確に機能していました。ユーザーはモバイルデバイスで 99.9% の価格インパクト(price impact)の警告を確認し、チェックボックスにチェックを入れ、5,000万ドル近くが30秒足らずで MEV ボットへと消えていくのを目の当たりにしました。
この事件は DeFi 史上、最も高額な UX の失敗であり、不都合な問いを突きつけています。「設計通りに機能する」パーミッションレスなシステムがこれほどの価値を破壊できるのであれば、それを防ぐ責任は誰にあるのでしょうか?
8 wei。これは約 0.000000000000000008 トークンに相当し、ドル換算では実質的な価値を持たないほど極小の量です。しかし、2025 年 11 月 3 日、攻撃者はこの規模の丸め誤差を悪用して 1 億 2,800 万ドルの資産を奪い取り、30 分足らずの間に 9 つのブロックチェーンにわたる Balancer の Composable Stable Pool を枯渇させました。
Balancer V2 の脆弱性悪用は、単一の脆弱性に起因するマルチチェーン DeFi エクスプロイトとして史上最大のものとなりました。これにより一晩で Balancer の TVL(Total Value Locked)の 52% が消失しました。このコードは業界トップクラスの企業による 10 回以上のセキュリティ監査を通過しており、Berachain に至っては資金を回収するために緊急ハードフォークの実行を余儀なくされました。この脆弱性の正体は何だったのでしょうか?それは、計算の端数を間違った方向に丸めていた、たった 1 行のコードでした。
それは 1 時間もかかりませんでした。2026 年 1 月 31 日、攻撃者は CrossCurve のブリッジ・インフラストラクチャにおける単一のスマートコントラクト関数に、クリティカルな検証チェックが欠落していることを発見しました。そして、誰もが反応する前に、Ethereum、Arbitrum、およびその他のネットワーク全体で 300 万ドルを組織的に流出させました。巧妙なゼロデイ攻撃も、内部関係者のキーの漏洩もありません。ただ、偽造されたメッセージと、ブロックチェーン上の誰でも実行できる関数呼び出しがあっただけです。
CrossCurve の事件は、クロスチェーン・ブリッジが依然として分散型金融(DeFi)において最も危険な攻撃対象領域(アタックサーフェス)であることを痛感させる出来事です。多層的なセキュリティ・アーキテクチャを誇るプロトコルであっても、たった 1 つのコントラクトの不備によって崩壊する可能性があることを示しています。
トークンを自律的に取引し、DeFi ポジションをリバランスし、自身の計算リソース費用を支払う AI エージェントは革命的に聞こえます。しかし、プロンプトインジェクションによって、あなたの全財産が攻撃者に送金されてしまうまでは。Google Cloud が新たに公開した MCP Web3 セキュリティフレームワークは、まさにこの悪夢に対処し、ブロックチェーンと相互作用する Model Context Protocol(MCP)エージェントを保護するためのエンタープライズグレードの設計図を提示しています。
ここでは、このフレームワークが推奨する内容、その重要性、そして Coinbase、Ledger、および台頭しつつある x402 支払い標準などの競合アプローチとの比較について解説します。
セキュリティ監査は数ヶ月前に、まさにこの攻撃ベクトルを指摘していました。しかし、チームはそれを退けました。日曜日に、攻撃者は 370 万ドルを持ち去りました。
BNB Chain で支配的なレンディングプラットフォームであり、預かり資産総額(TVL)が約 14.7 億ドルに達する Venus Protocol は、2026 年 3 月 15 日、壊滅的な価格操作エクスプロイトに見舞われました。攻撃者は、分散型取引所 Thena のネイティブトークンである THE を標的にし、入金、借入、購入を綿密に構成されたループによって、その価格を 0.27 ドルから 5 ドル近くまで吊り上げました。その結果、BTC、CAKE、USDC、BNB で 370 万ドル以上が流出し、約 215 万ドルが回収不能な不良債権として残りました。
この攻撃が注目に値するのは、その規模だけでなく、背後にある忍耐強さ、そして脆弱性が公然と隠されていたという事実です。
2026年、毎週のように新たなスタートアップが、暗号資産の取引、DeFi ポジションの管理、あるいは DAO の運営が可能な「自律型 AI エージェント」を発表しています。しかし、ここには誰も答えたがらない問いがあります。なぜ、本物のお金をソフトウェアに預けて信頼できるのでしょうか?
業界の答えは、驚くほどエレガントなスタックへと集約されつつあります。それは、信頼実行環境 (TEE)、オンチェーン ID レジストリ、そしてプログラマブルなガードレールです。これらにより、「エージェントを信頼する」ことが「エージェントを検証する」ことへと変わります。わずか3か月の間に、Coinbase は Agentic Wallets をリリースし、MoonPay は AI エージェント向けの Ledger ハードウェア署名を統合しました。さらに、イーサリアム財団は2つの新規格 (ERC-8004 と ERC-8183) を承認しました。これらは共に、マシンネイティブな信頼レイヤーの骨組みを形成しています。この記事では、自律型エージェントを静かに「信頼に足る (bankable)」存在へと変えているアーキテクチャを紐解きます。
たった 1 つの丸め誤差 — Solidity の整数除算における 1 ペニー未満の精度損失 — により、Balancer から 9 つのブロックチェーンにわたり 30 分足らずで 1 億 2,800 万ドルが流出しました。これらのプールは数年間稼働していました。複数の監査がコードをレビューしていました。しかし、誰も気づきませんでした。これが 2026 年における DeFi セキュリティの現状です。実証的に、そして繰り返し失敗してきたパラダイムによって、何十億ドルもの資産が守られているのです。
現在、a16z crypto は根本的な再考を提案しています。2026 年の「Big Ideas」レポートの中で、同ベンチャーキャピタルは、業界は「Code Is Law(コードは法なり)」— デプロイされたスマートコントラクトのコードが最終的な権威であるという根本的な信念 — を捨て、「Spec Is Law(仕様は法なり)」— 数学的に定義された安全特性が強制的な標準となる — に置き換えるべきだと主張しています。この転換は、プロトコルがどのように構築、監査、防御されるかを根本的に再構築する可能性があ��ります。