Kelp後、DeFiは価格設定を始めていないAI問題に直面

分散型金融は記憶に残る最悪の2週間を経験したばかりだ。4月1日の2億8,500万ドルのDrift Protocolのエクスプロイトに続き、週末にKelp DAOの再ステーキングイーサリアムブリッジから2億9,200万ドルが流出したことで、4月の累積分散型金融損失は5億8,000万ドルを超え、預金者が出金に殺到したため、Aaveだけで60億ドルの出金が発生した。

一方、ビットコインは感染拡大の中、75,000ドル付近で取引されており、ほとんど動じていない。しかし、セクターの落ち着きはより深い問題を隠している。Kelpの攻撃者は暗号を破ったり、スマートコントラクトにゼロデイを見つけたりしたわけではない。彼らはクロスチェーン検証者の設定の選択を悪用し、LayerZeroのメッセージング層を騙して偽造された指示を通過させ、イーサリアム上で116,500 rsETHを無から作り出した。ある開発者向けの事後分析が指摘したように、コントラクトは壊れていなかった――検証レイヤーが壊れていたのだ。この区別は重要だ。なぜなら、次の攻撃者クラスは設定エラーを必要としないからだ。彼らはAIを持つことになる。

Aaveはニュースで下落、出典:BNC

敵対的な期間と薄れるエッジ

直近の状況は醜い。Kelpのエクスプロイトは現在2026年最大の分散型金融ハッキングとなり、Driftを約700万ドル上回った。CoW Swap、Zerion、Rhea Finance、Silo Financeでの小規模な流出がその間の週を埋めた。ブロックチェーンセキュリティ企業Cyversは、第1四半期の暗号資産総損失を約4億8,200万ドルとしたが、この数字はすでにひどく古くなっている。DefiLlamaによると、Aaveのロック総額は4月18日の264億ドルから米国取引時間の日曜日午前までに200億ドル未満に減少し、AAVEトークンは週末に18%以上下落した。預金者が凍結されたrsETH市場から借入で脱出しようとしたためだ。

Aaveの創設者であるStani Kulechovは、プロトコル自体のコントラクトは侵害されていないとすぐに指摘した。それは事実であり、また冷たい慰めでもある:Aaveは担保資産としてrsETHを受け入れ、その担保資産の裏付けはAaveが制御しないブリッジ上で蒸発し、約1億9,600万ドルの不良債権が現在分散型金融最大の貸し手に残っている。SparkLend、Fluid、LidoのearnETHを含むプロトコルは、エクスポージャーを検討する間、rsETH市場を停止するか新規入金を一時停止した。

構築者が得ているより広い教訓は構造的なものだ。柔軟でモジュール式のクロスチェーンセキュリティ――個々のプロジェクトが独自の検証者セットを選択する――は、設定がずれると単一障害点に崩壊する可能性がある。ブロックチェーンセキュリティ企業HackenのdApp監査技術リーダーであるStephen Ajayiは今月初めにDL Newsに対し、「複数のコントラクトで同時に繰り返される同一のエクスプロイト試行を観察している」と述べ、スクリプト化されたAIエージェント駆動の分散型金融コントラクトの調査と一致するパターンだと述べた。

AIがすでに研究室で行ったこと

Ajayiの言葉は重要だ。分散型金融セキュリティ界の恐怖は、もはや攻撃者が最終的に自動化するかどうかではない。彼らはすでに自動化しており、軍拡競争の経済性が静かに逆転したということだ。

Anthropicのレッドチームは昨年末に研究を発表し、その中でフロンティアモデル――Claude Opus 4.5、Claude Sonnet 4.5、OpenAIのGPT-5――が2020年から2025年の間に悪用された405の実世界のスマートコントラクトのベンチマークに解き放たれた。AIエージェントは集合的に、トレーニング期限後のコントラクトに対して460万ドル相当の動作するエクスプロイトを生成した。さらに押し進めると、同じモデルが既知の脆弱性のない2,849の新規展開コントラクトに向けられ、2つの新しいバグを発見し、推論費用3,476ドルで3,694ドル相当のエクスプロイトを生成した。研究者たちは、自律的で利益を生むエクスプロイトが技術的に実現可能であることの概念実証として結果を説明した。

AnthropicはAIモデルがますます多くの分散型金融エクスプロイトを発見していることを示す、出典:Anthropic

AIセキュリティ企業Cecuroによる別のベンチマークは、2024年末から2026年初頭にかけて悪用された90の分散型金融コントラクトをカバーしており、専用のセキュリティAIエージェントがそのうち92%で脆弱性を検出したのに対し、同じ基礎モデルを実行する汎用コーディングAIエージェントは34%だった。調査によると、AI搭載スキャンの平均コストは現在コントラクトあたり約1.22ドルだ。同じ尺度によるエクスプロイト能力は、約1.3ヶ月ごとに約2倍になっているように見える。

これが配分者を動揺させるべき数字だ。資金を保持するすべてのライブコントラクトが数セントで調査でき、ソフトウェアがどんどん良くなっている市場は、展開前の1回限りの監査が意味のある保護を提供する市場ではない。

Anthropicが販売しないモデル

リスクは理論的なものだけではない。研究室内にすでに存在するものがあるからだ。AnthropicのClaude Mythos Preview――今月初めに公開され、Project Glasswingの下で約40の精査された企業および政府パートナーの連合に制限されている――は、OpenBSDの27年前の欠陥を含む、すべての主要なオペレーティングシステムとすべての主要なブラウザで以前に検出されなかった数千のゼロデイをすでに特定している。これは数百万回の以前のスキャンを生き延びていた。BNCは当時、この能力が長年続く量子コンピューティング論争よりも分散型金融にとってより差し迫った懸念である理由を詳述した:分散型金融コードベースは設計上オープンソースであり、Mythosクラスモデルがマシン速度でエンドツーエンドで読み取れる正確なタイプのターゲットになっている。

Anthropic自身の枠組みは示唆的だ。同社はMythosの一般公開を拒否し、先週、Glasswing内に保持されているシステムよりもサイバーセキュリティタスクで「広範囲に能力が低い」と明示的に説明された商用モデルClaude Opus 4.7を出荷した。これは、一般公開が攻撃者と防御者のバランスを間違った方向にシフトするという譲歩だ。

非対称性の価格設定

分散型金融のセキュリティ体制は追いついていない。オンチェーン保険容量は数億ドルで測定されたままであり、ロック総額約1,000億ドルのセクターに対して設定されている。監査市場はコントラクト展開の量に追いつくことができず、構成可能性は防御者がカバーしなければならない表面を拡大し続けている。EUのMiCAを含む規制当局は開示要件を形式化し始めているが、高TVLプロトコルの継続的な敵対的テストやランタイム実行をまだ義務付けていない。

聞く価値のある構築者は同じ短いリストに収束している。すべてのアップグレードと統合を新しい攻撃面として扱う。敵対的テストを1回限りの監査マイルストーンではなく継続的なものにする。単一の侵害――Kelpのように誤設定された検証者であろうと、明日のモデル支援エクスプロイトであろうと――が貸出スタック全体にカスケードできないように信頼境界をセグメント化する。そして、信用マネージャーがデフォルトリスクを価格設定する方法で、セキュリティ体制を配分決定に価格設定する。

Kelpの余波は何らかの形で解決されるだろう。盗まれたイーサリアムの一部はまだ回収される可能性があり、AaveのUmbrellaリザーブは赤字を吸収することを余儀なくされるかもしれない。預金者は最終的に戻ってくるだろう。逆転しないのはコスト曲線だ。初めて、有能な敵対者は分散型金融プロトコルを枯渇させるために研究チーム、ゼロデイ、6桁の予算を必要としなくなった。彼らは数百ドルの推論クレジットとターゲットのリストを必要とするだけだ。

2026年の残りの業界の問題は、その防御がその能力よりも速く複利できるかどうかだ。