スマートコントラクトの開発とセキュリティ
すべてのタグを見る
2026年3月12日、単一の Ethereum トランザクションにより、5,040万ドルの USDT が約36,000ドルの価値しかない 327 AAVE トークンに変わりました。この損失は、ハッキングやエクスプロイト、スマートコントラクトのバグによるものではありませんでした。Aave、CoW Swap、SushiSwap といった関与したすべてのプロトコルは、設計通りに正確に機能していました。ユーザーはモバイルデバイスで 99.9% の価格インパクト(price impact)の警告を確認し、チェックボックスにチェックを入れ、5,000万ドル近くが30秒足らずで MEV ボットへと消えていくのを目の当たりにしました。
この事件は DeFi 史上、最も高額な UX の失敗であり、不都合な問いを突きつけています。「設計通りに機能する」パーミッションレスなシステムがこれほどの価値を破壊できるのであれば、それを防ぐ責任は誰にあるのでしょうか?
8 wei。これは約 0.000000000000000008 トークンに相当し、ドル換算では実質的な価値を持たないほど極小の量です。しかし、2025 年 11 月 3 日、攻撃者はこの規模の丸め誤差を悪用して 1 億 2,800 万ドルの資産を奪い取り、30 分足らずの間に 9 つのブロックチェーンにわたる Balancer の Composable Stable Pool を枯渇させました。
Balancer V2 の脆弱性悪用は、単一の脆弱性に起因するマルチチェーン DeFi エクスプロイトとして史上最大のものとなりました。これにより一晩で Balancer の TVL(Total Value Locked)の 52% が消失しました。このコードは業界トップクラスの企業による 10 回以上のセキュリティ監査を通過しており、Berachain に至っては資金を回収するために緊急ハードフォークの実行を余儀なくされました。この脆弱性の正体は何だったのでしょうか?それは、計算の端数を間違った方向に丸めていた、たった 1 行のコードでした。
それは 1 時間もかかりませんでした。2026 年 1 月 31 日、攻撃者は CrossCurve のブリッジ・インフラストラクチャにおける単一のスマートコントラクト関数に、クリティカルな検証チェックが欠落していることを発見しました。そして、誰もが反応する前に、Ethereum、Arbitrum、およびその他のネットワーク全体で 300 万ドルを組織的に流出させました。巧妙なゼロデイ攻撃も、内部関係者のキーの漏洩もありません。ただ、偽造されたメッセージと、ブロックチェーン上の誰でも実行できる関数呼び出しがあっただけです。
CrossCurve の事件は、クロスチェーン・ブリッジが依然として分散型金融(DeFi)において最も危険な攻撃対象領域(アタックサーフェス)であることを痛感させる出来事です。多層的なセキュリティ・アーキテクチャを誇るプロトコルであっても、たった 1 つのコントラクトの不備によって崩壊する可能性があることを示しています。
2026 年 1 月、全ブロックチェーンにおいて ERC-8004 標準の下で登録された AI エージェントは 337 つでした。3 月半ばまでに、その数は 130,000 を超えて爆発的に増加しました。わずか 3 か月足らずで 39,000% の増加です。そして、この急増を牽引しているチェーンは Ethereum ではありません。BNB Chain です。
合計約 89,451 の ERC-8004 エージェントのうち、34,278 が現在 BNB Smart Chain 上に存在しています。Base が 16,549 で 2 位につけ、Ethereum メインネットは 14,000 強でそれに続いています。長年 DeFi を定義してきた「Ethereum が 1 位、その他が 2 位」という階層構造は、マシンエコノミーには当てはまりません。
開発者の 85% が日常的に AI コーディングツールを使用し、全プロダクションコードの 41% がマシンによって生成されている現在、プロトコルにとっての問いはもはや「ドキュメントがどれほど優れているか」ではありません。それは「AI エージェントが人間の助けを借りずに、あなたのプラットフォームで構築できるか」という問いです。
Circle は 2026 年 3 月 14 日、Circle Skills のリリースによってその問いに答えました。これは、Cursor 、 Claude Code 、 OpenAI Codex 、およびあらゆる Skills 互換エージェントが、即座に機能するステーブルコイン統合を生成できるようにする AI ネイティブな命令セットのオープンソースパッケージです。 npx skills add circlefin/skills という 1 つのコマンドだけで、AI アシスタントは開発者がドキュメントページを一度も開くことなく、USDC 決済の送信、トークンのクロスチェーンブリッジ、スマートコントラクトのデプロイ、ウォレットの管理を行うことができます。
これは小さなインストールステップですが、暗号資産プロトコルが開発者を惹きつけるために競い合う方法における地殻変動を象徴しています。
たった 1 つの丸め誤差 — Solidity の整数除算における 1 ペニー未満の精度損失 — により、Balancer から 9 つのブロックチェーンにわたり 30 分足らずで 1 億 2,800 万ドルが流出しました。これらのプールは数年間稼働していました。複数の監査がコードをレビューしていました。しかし、誰も気づきませんでした。これが 2026 年における DeFi セキュリティの現状です。実証的に、そして繰り返し失敗してきたパラダイムによって、何十億ドルもの資産が守られているのです。
現在、a16z crypto は根本的な再考を提案しています。2026 年の「Big Ideas」レポートの中で、同ベンチャーキャピタルは、業界は「Code Is Law(コードは法なり)」— デプロイされたスマートコントラクトのコードが最終的な権威であるという根本的な信念 — を捨て、「Spec Is Law(仕様は法なり)」— 数学的に定義された安全特性が強制的な標準となる — に置き換えるべきだと主張しています。この転換は、プロトコルがどのように構築、監査、防御されるかを根本的に再構築する可能性があ��ります。
どの銀行もこれらのローンを承認していません。取締役会でリスクを検討する信用委員会も存在しませんでした。しかし、2026 年 2 月までに、14 のブロックチェーン上で稼働するスマートコントラクト群は、累計貸付実行額で 1 兆ドル以上を記録しました。この数字は、Aave のスループットが中堅規模の国家銀行システムに匹敵することを示しています。2017 年にシンプルなピアツーピア貸付 dApp である「ETHLend」としてローンチされたプロトコルにとって、このマイルストーンは単なる象徴的なものではありません。これは、分散型信用市場が実験段階を超え、機関投資家レベルの金融インフラの領域に入ったという構造的な証明です。
ビットコインは 1.7 兆ドルの時価総額を誇りますが、その 1% 未満しか DeFi に参加していません。その理由は驚くほど単純です。BTC を運用するあらゆる方法において、カストディアン、ブリッジ運営者、またはマルチシグ委員会といった第三者に資産を預ける必要があったからです。2025 年 12 月、Babylon Labs と Aave Labs は、この状況を完全に変える可能性のあるパートナーシップを発表しました。その計画とは、ビットコインのブロックチェーン上にネイティブ・ビットコインをロックしつつ、世界最大の分散型貸付プロトコルである Aave V4 内で担保として利用可能にする「トラストレス・ヴォルト(信頼不要の保管庫)」です。
テストは 2026 年初頭に開始され、4 月の製品公開を目指しています。これが成功すれば、ラッピングやブリッジ、そして第三者への信頼を必要とすることなく、仮想通貨界で最大の休眠資産プールを生産的な DeFi 利用へと解放することになります。
2025 年 12 月、Anthropic の研究者たちは、405 件の実世界の脆弱なスマートコントラクトに AI エージェントを向けました。エージェントはそのうち 207 件(51%)で動作するエクスプロイトを生成し、シミュレーション上の資金 5 億 5,000 万ドルを流出させました。エクスプロイト 1 件あたりの成功コストは?わずか 1.22 ドルでした。
その単一のデータポイントは、2026 年に分散型金融(DeFi)が直面している存亡の危機を捉えています。2025 年に暗号資産ハッキングで失われた 34 億ドルは、努力の欠如によるものではありませんでした。攻撃されたプロトコルのほとんどは監査を受けており、中には複数回受けたものもありました。それはパラダイムの失敗でした。そして今、a16z Crypto は急進的な代替案を提案しています。「コードは法(Code is Law)」を捨て、「仕様は法(Spec is Law)」を受け入れることです。そこでは、数学的に証明された安全特性とリアルタイムのランタイム・ガードレールにより、ほとんど��のエクスプロイトが構造的に不可能になります。