北朝鮮が60億ドルを盗んだ理由。初心者が知るべき「安全なDeFiプロトコルの選び方」

正直に言って、この数字には呆れるしかありません。TRM Labsの報告によると、2026年（※原文ママ）のハッキング被害額の76%を北朝鮮が支配しているとのことです。世の中のニュースは、機関投資家の参入やウォール街の「安全な」到来ばかりを強調していますが、その裏ではシステム的なセキュリティ危機が起きています。もしあなたが、初心者向けに安全なDeFiプロトコルの選び方を探しているなら、危険なのは単なるコードのバグだけではなく、プロトコルの「管理方法」そのものだということを理解する必要があります。

実際に何が起きたのか

DriftやWasabi Protocolなどの最近の窃盗事件には、ある共通の恐ろしいパターンがあります。ハッカーは単にパスワードを推測したり、スマートコントラクトの偶然の不備を探したりしているわけではありません。彼らが狙っているのは「管理キー（Admin Keys）」です。

簡単に言うと、管理キーは建物のマスターキーのようなものです。開発者はこれを使ってプロトコルを更新したり、パラメータを変更したり、バグを修正したりします。しかし、もし北朝鮮のハッカーがこのキーを手に入れれば、伝統的な意味での「ハッキング」は必要ありません。ただプロトコルに「すべての資金を自分のウォレットに送れ」と命じるだけです。プロトコル側は、所有者が命令を出したと思い込み、そのまま従います。

2025年2月にBybitで起きた15億ドルのETH流出事件も、まさにこれです。Lazarus GroupがSafe{Wallet}のマルチシグ・インターフェースを侵害しました。Bybitは損失をカバーする準備金を持っていましたが、これほど巨大な組織ですら被害に遭うということは、誰も完全に安全ではないということを示しています。

DeFiユーザーにとっての悪夢である理由

問題は、多くのDeFiプロジェクトがセキュリティよりもスピードや「機動力」を優先していることです。競争力を維持するために、アップデートを迅速に反映させたい。そのために、管理キーを有効なままにしておきます。

私は長年これらのプロトコルを追ってきましたが、いつも同じ間違いを繰り返しているのを目の当たりにしてきました。プロジェクトが立ち上がり、高い利回りを約束し、「コードは監査済みだ」と謳います。でも、監査がチェックするのはコードだけです。開発者のノートPCがフィッシング詐欺に遭ったり、チームメンバーが脅迫されて秘密鍵を渡したりすることを、監査は防げません。

プロトコルに資金を預けるとき、あなたは単にコードを信頼しているのではなく、そのコードの鍵を握っている「人間」を信頼していることになります。もしその鍵が中央集権的に管理されていたり、ガードが甘かったりすれば、あなたの資金は「管理人がドアマットの下に鍵を置いている金庫」に入っているようなものです。

初心者が安全なDeFiプロトコルを見極める方法

統計上の被害者になりたくないのであれば、プロジェクトの評価基準を変える必要があります。APY（年換算利回り）を見るのはやめて、ガバナンス（統治体制）に注目してください。

まず、「タイムロック（Timelocks）」があるかを確認してください。タイムロックとは、管理者が変更を提案してから実際に適用されるまで、一定の遅延（通常24〜72時間）を強制するコードのことです。これにより、コミュニティは悪意ある更新を事前に察知し、ハッキングが実行される前に資金を回収する時間を確保できます。

次に、本当の意味での分散化が進んでいるかを確認してください。少人数のグループが単一のマルチシグウォレットで管理しているプロジェクトは、私にとってレッドフラッグ（危険信号）です。私は、トークンホルダーによる広範な投票で変更が決まるDAO（分散型自律組織）へ移行したプロトコルを好みます。

ただ、どんなに優れたプロトコルを使っていても、入り口となる自分の管理がリスクになります。多くの人が、インターネットに接続された「ホットウォレット」ですべてを済ませているのを何度も見てきました。まとまった金額を動かすなら、ハードウェアウォレットは必須です。私は個人的に Ledger Stax を勧めています。トランザクションチェック機能があり、自分が何に署名しようとしているのかを分かりやすい言葉で確認できるため、うっかりウォレットを空にするような詐欺に気づきやすくなります。

今のセキュリティ状況に対する私の考え

ETFが登場したからといって、「大きすぎて潰れない（Too big to fail）」というナラティブにはもう飽き飽きしています。機関投資金の流入は流動性をもたらしますが、多くのDeFiプロトコルのガバナンスにある根本的な欠陥を修正してくれるわけではありません。

現在は「ビットコインシーズン」で、BTCドミナンスが60%に達し、アルトコインシーズン指数は16という低水準にあります。つまり、資金は最も安全で確立された資産に流れています。私の経験上、こういう時こそ「実験的」なDeFiプロジェクトが焦り、ユーザーを惹きつけるためにセキュリティを軽視して近道を選びがちです。

Fear & Greedインデックスが「中立」の40だからといって、リスクが低いと思い込まないでください。リスクは変わっていません。変わったのはプレイヤーだけです。透明性があり、タイムロックを備えたガバナンス構造を持たないプロトコルは、「安全な」投資先ではありません。それは、開発者がフィッシングメールに騙されないことに賭けるギャンブルです。北朝鮮が60億ドルをかっさらった現状を考えれば、私はそんな賭けには乗りたくありません。