OpenZeppelinの警告は警鐘だ：AIがDeFiハッキングの常識を変えてしまう

ここ数年、私はDeFiが単純な流動性プールから、複雑に組み合わさった「金融のレゴブロック」へと進化していく様子をずっと見てきました。でも、スマートコントラクトセキュリティの業界標準とも言えるOpenZeppelinのCEOが出した最近の警告は、これまでの話の流れを完全に変えるものです。彼は要するに、「超人的なAIコーディングエージェントが登場したため、今のDeFiはすべて危険だ」と言っています。DeFiプロトコルはAIから安全なのかと疑問に思う人がいるでしょうが、正直な答えは「ゴールポストが動いた」ということです。私たちはもう人間のハッカーだけと戦っているのではなく、1万行のコードの中から針の穴ほどの隙を数秒で見つけ出すアルゴリズムと戦っているんです。以前、AIとクリプトの安全性について触れましたが、背景を理解したい方はそちらを読んでください。

超人的なエクスプロイトという現実

長い間、私たちは信頼できる企業の厳格な監査を受けていれば、それが安全の証明になると信じてきました。私も、プロジェクトが3つの監査を受けてバグバウンティ（脆弱性報告の報酬）を設けていれば、「十分安全だ」と考えていた時期があります。でも、StablRのエクスプロイトや、最近韓国で相次いでいる巧妙なラグプル（資金持ち逃げ）を見ていると、攻撃対象となる範囲がどんどん広がっているのがわかります。

ここで怖いのは、単にチャットボットが優れたスクリプトを書くことではありません。AIエージェントが何百万通りものトランザクションの組み合わせをシミュレーションし、トレジャリー（資金庫）を空にするための極めて限定的で曖昧なルートを見つけ出してしまうことです。以前、DeFiの複雑性リスクがプロトコルを脆弱にすると書きましたが、AIはその脆弱性を即座に大惨事へと変える起爆剤になります。

DeFiプロトコルはAIから安全なのか（あるいは、なぜ安全ではないのか）

少しでも安心したいなら、「AIは善い側にも役立っている」という理屈があるかもしれません。実際に、コードをデプロイする前にAIが脆弱性を特定したケースもあります。でも、私の経験上、攻撃者側が常に優位に立ちます。開発者はすべての入り口を完璧に塞がなければなりませんが、ハッカーはたった一つの穴を見つければいいだけですから。

今の市場状況とAIの脅威を組み合わせると、かなり緊張感のある状況に見えます。Fear & Greed Indexは37で、完全に「恐怖（Fear）」の領域にあります。総時価総額は約2.83兆ドルですが、注目すべきはボリュームです。24時間の取引高は960億ドル近くに達していますが、一方でイーサリアムのガス代は信じられないほど低いです。これは、大金は取引所で回転しているけれど、実際のオンチェーンDeFi活動は停滞しているという奇妙な乖離を示しています。この活動の少なさは、人々が「リスクがリターンを上回っている」ことに気づき始めた兆候かもしれません。

監査と現実のギャップ

ホワイトペーパーを読みすぎてわかりましたが、「監査済み」は「ハッキング不可能」という意味ではありません。単に「ある特定の期間に、人間がバグを見つけられなかった」という意味に過ぎないんです。AIは疲れませんし、セミコロン一つを見落とすこともありません。ましてや「調子の悪い日」なんてありません。

だからこそ、私は高利回りのプロトコルに対してどんどん懐疑的になっています。APY 50%なんていう数字を見たとき、もうそれを金鉱だとは思えません。AIエージェントにとっての「巨大な標的」に見えます。コードが複雑で報酬が高ければ、アルゴリズムが欠陥を見つけるのは時間の問題です。

資産を本当に守る方法

プロトコルが完璧に安全だと信じられない以上、論理的な唯一の選択肢は、リスクをプロトコルから切り離して自分自身の管理下に置くことです。私はずっとセルフカストディ（自己管理）を推奨してきましたが、今求められるセキュリティレベルは2019年当時よりもずっと高いです。

特にETHやSOLをまとまった量持っているなら、自分が何に署名しているのかを正確に確認できるハードウェアサインナーが必要です。多くの人はMetaMaskのポップアップで何も考えずに「確認」をクリックしますが、AIを悪用したフィッシング攻撃の多くはこの隙を突いてきます。私はLedger Staxを好んで使っています。大きなE Inkタッチスクリーンがあり、署名前に詐欺を検知するTransaction Check機能があるからです。399ドルと高価ですが、ボットにポートフォリオを丸ごと盗まれるよりはずっと安上がりです。

AIの脅威に対する私の結論

DeFiを完全にやめろと言いたいわけではありません。ただ、それを「貯金口座」のように扱うのはもうやめてください。ここはハイリスクな実験場です。「設定して放置」で稼げたイールドファーミングの時代は終わりました。捕食者（AI）が開発者よりも速くなったからです。

今後数ヶ月のプロトコルのアップデートを注意深く見ていくつもりです。もしAIによるリアルタイム監視や形式検証への大幅な移行が見られないなら、2022年の暴落が準備運動に思えるほどの「ブラックスワン」イベントが連鎖的に起こると思います。それまでは、資産をオフラインで管理し、使っているプロトコルにはすでにAIが見つけた穴があると考えて行動してください。

最新のニュースを取引したい方は、編集部が選んだ取引所 MEXC をチェックしてみてください。