ハッカーと監視は、DeFiを破壊しましたか

著者:ChainCatcher

 

2026年4月、セキュリティ災害の成功は、公共の観点からデファイを取り戻しました。 Kelp DAOとDriftプロトコルは、$ 575百万以上の損失を引き起こし、DeFiロックダウン(TVL)の合計値は、約$ 172億から$ 148億に急激に低下し、ボード上のTVLの値は$ 53億から$ 40億にしか崩壊しました。

過去数日間、既知のセキュリティ監査会社オープンゼプペリン共同創設者であるマヌエル・アラオスは、プラットフォームXに至りました。「すべてのDeFiが安全ではないと思います」。 彼は、親戚や友人に「低リスクブルース」として広く認められている合意を含むすべてのDeFiポジションをクリアするように指示しました。

この判断は、特に気まぐれですが、検討する価値があります。 結局のところ、OpenZeppelinはDeFiの世界で最も重要なセキュリティインフラビルダーの1つです。スマートコントラクトの基準と安全ツールは、ほとんど業界全体で実行されています。 スマートコントラクトのセキュリティシステムを知っている人でさえ、DeFiのリスクを疑って決定的に撤退し始めれば、これは間違いなくいくつかのより深い問題が現れていることを意味します。

過去数年間、DIF が一定した状態に陥ったとき、すぐに特定の原因を明らかにしました。 市場が抑圧されると、責任はマクロ環境に起因します。ハッカーの攻撃が起こると、それらは技術的なループホールの結果であると見なされます。そして規制当局が行動するとき、彼らは政策圧力に頼っています。

しかし、時間が長くなると、デファイが今日直面するジレンマが単一の攻撃によって引き起こされないこと、規制方針または失敗したプロジェクトによって、デファイが直面していることがますます明確に見つかりますが、もともと構築された2つのコアロジックが同時にチャレンジされているという事実によって。

コードが信頼を取り替えることができる技術の世界から来る論理のセット。 別の一連のロジックは、オープンネットワークが従来の金融システムを回避できるシステムの世界から来ています。

ハッカーとレギュレータは2つの柱を別々に打たれています。

 

I. DeFiセキュリティ危機の深層進化

DeFiセキュリティの領域のコアパラドックスは10年間変わらないままです。 Web3安全研究者は、この致命的な非対称性を識別しました。 防御力はあらゆるギャップを閉じ、攻撃者は1つのリンクだけを必要としなければなりません。

それに直面して、攻撃の手段は、クロスチェーン違反の通常のパターン、複数の署名ハイジャック、予言など以外のものではありません。 しかし、Kelp DAOとDriftプロトコルの2つのインシデントは、より残酷な傾向を明らかにしました。多くの場合、スマートコントラクトのコードの外で。

4 月 18 日、ケルプ DAO は、太極のモビリティに関する重い約束の合意によって攻撃されました。 LayerZero Trans-Cyber Bridge(分散認証ネットワーク)のDVNを使用して、攻撃者はクロス円錐情報を偽造し、Trans-Cyber Bridgeから116,500 rsETHを数時間以内に削除し、その時点で約$ 293百万を量ります。

災害の性質は、コード欠陥ではなく構成の誤りです。 Kelp DAO は、LayerZero のクロスリンク認証ネットワークで「1-of-1」を選択しました。1つの DVN ノードのみが、クロスチェーンのメッセージが法的であると確認する必要があります。 攻撃者が検証データを提供し、DDoS攻撃を開始した2つのRPCノードを攻撃したときに、ブリッジシステム全体が不当でした

4 月 1 日に, ドリフトプロトコル, ソルナ ' s 最大の生態持続契約の 1 つ, 攻撃されました。, 損失と $285 百万, 2026 で日付までの最大の 1 つの DeFi 攻撃と 2 番目の最大のハッカー ケース ソラナ ' s 歴史。

それはまた理性的な契約上のギャップではないです。 社会工学を通じて、攻撃者は財布に署名し、Solana の耐久性のあるnonce関数を使用していた3つの署名者の少なくとも2つを捕捉し、悪意のある取引を事前に署名するためにそれらを強制します。 攻撃者が管理者権限を付与されたとき、資金の盗難は12分以内に完了しました。

攻撃の根本的な原因は、OpSecの完全失敗でした。複数のウォレットの不適切な構成、キー管理のための盲目の領域の存在、および社会工学ラインの欠如。

これらの2つのインシデントは、DeFiセキュリティ危機の深い進化を明らかにします。攻撃のブレークスルーは、従来のスマートコントラクトコード違反から構成と人/OpSec層への系統的なシフトです。

マヌエル・アラオズは、問題の非常に中心を指しています。「知的契約のセキュリティは本質的に非常に非対称的なゲームであり、防御的なパーティーはすべてのループホールを修復し、攻撃的なパーティーはお金を盗むために1つだけを見つける必要があります。」 AIがインデックスレベルで攻撃の効率性を高め始めた後、この非対称性は急速に解明しています。

AI コーディングエージェントは、数週間にわたってトップホワイトハットチームを必要とする問題を圧縮して、自動的に数分で完了し、オープンプロトコルコードに基づいて自動で攻撃スクリプトを生成することができます。 OpenZeppelinの共同創設者、業界で最も優勢なセキュリティ監査会社の1つであるOpenZeppelinは、このような機能的な判断をし、より信号のようにしました。セキュリティ業界自体は、既存の防衛フレームワークがシステム障害に直面していることを認識しています。

 

II. 規制圧力の継続広がり

セキュリティ危機が深まる中、規制力はチェーンの下の2次元で圧力を発揮し続けています。

英国政府は、5月26日に、暗号化された通貨交換HTXをロシア制裁リストに追加し、最初の規制17Aを使用して、暗号化された資産交換に制裁を課します。 英国は、2025年に取引で$ 3.3兆ドルを処理するHTXを認可しました。これは、認可されたA7ペイメントネットワークとロシア為替Garantexに金融サービスを提供することを疑った。

SANCTIONS の RIPPLE 効果は急速に広がり、危険なアドレスのリストに HTX 交換アドレスを配置する複数の主流の AML 企業と、AML システムを使用して複数の取引所が HTX アドレスに関連する取引レビューを締め、他の取引所で自分の資産を考慮できない HTX ユーザーの数が多い。

HTXインシデントは、より深いジレンマを明らかにしました。複雑な地政的なコンテキストでは、規制が確立された制裁命令は、最終的には数え切れない普通のユーザーへの資金の送金に影響を及ぼす、チェーンに対する過度なリップ効果を引き起こす可能性があります。 1つのHTXユーザーは、プラットフォームの潜在的なコンプライアンスリスクのために、資産を完全に無実に保持していますが、他の取引所に提示したときにAML全体で「ファイアウォール」のインターセプション、凍結、または無期限の遅延が発生する可能性があります。

確かに、HTXインシデントは、規制圧力の氷山の先端だけだった。 DeFi のイノベーションは、規制当局による合意の最下操作モデルの法的特徴的です。

米国SECは、過去2年間に、Compund、Uniswap、Curveの「Blue Chip」 DeFi協定に関する一連の調査を開始しました。 トークンの収益ベースのフィールドからのより直接的なストライキ — ジェミニ・アワーズ・ショーなどの製品に対するSECの執行行動は、合意が預金に基づいてユーザー・パッシブ・利益を支払っている限り、それは投資契約として認識されることは非常に簡単です、したがって、証券法の登録および開示義務をトリガーします。

DeFiの最も想像力的かつ革新的な方向性を直接、曖昧さと圧力のこの法的特徴化:液体採掘から構造的に収益性の高い製品まで、開発者は自分の通貨経済モデルが赤線に踏み込むかどうかを常に心配する必要があります。

DeFiの初期は「許可不要」に重点を置いています。 この「ライセンス」は、会社または契約から来ませんが、規制遵守のチェーン内のすべてのリンクから:AMLリスト、交換の風力制御エンジン、有価証券法の長い腕管轄など。

3。 リアル主義に向かってデファイ

過去数年間にDeFiの沈黙を振り返り、DeFiのセキュリティディレンマと規制圧力は独立していません。 明確な規制枠組みの欠如は、安全基準に対する業界の合意を築くことは困難になります。セキュリティインシデントの頻度は、グローバル規制機関による緊密な執行のための最も直接的な正当性を提供します。そして、AI時代の加速的なセキュリティアシムネトリスは、コンプライアンスのしきい値を強化し、最終的には嵐の中心に無数の普通ユーザーをプッシュします。

本質的には、セキュリティ監査と規制遵守の境界の剛性は、DeFiが「コード、すなわち法律」と「許可のない自由」に基づいている2つのコアの仮定を消去し続けています。

今日、ユーザーは従来の金融よりも多くの技術的リスクを伴いますが、必ずしも伝統的な金融よりも多くの自由を持っていない。 今日は多くの市場参加者が混乱している理由です。 DeFiは、銀行として安全であったり、当初約束どおりに完全に開いていないことが判明しました。

そして、システムがセキュリティプレミアムと無料プレミアムの両方を失うと、その成長ロジックは自然に課題を解決します。 したがって、問題は「ハッキングと規制がDeFiを破壊するかどうか」ではないかもしれません。

より正確に、ハッカーや規制は、単に業界の顔の現実を作る。 ハッカーは、コードが自然の中で信頼を生み出さないことを人々に認識させます。 規制は、チェーンの世界が現実世界から動作する並列宇宙であることを認識しています。

DeFi が失敗したわけではありません。 逆に、実験は理想主義から現実主義に移ることを意味します。

DeFiはハッカーや規制のWebの手を破壊しませんでした。 それは生存の法則によって再定義されています。 未来のDeFiは、より厳しい産業安全自主規制とコンプライアンスの枠組みに向かって移動します。, 減衰の原則に妥協を強制します。; または市場の信頼性と不均衡に対する継続的な戦いにおける長期的マージンの段階的な損失。