Back to Blog

DeFiセキュリティの現状:注目すべき50のキープレイヤー

August 30, 2024
13 min read

要点

  • DeFiにおけるセキュリティは、毎年数十億ドルが失われる、依然として重要かつ継続的な課題です。
  • DeFiプロトコルのセキュリティ対策は、ローンチ前、ローンチ後を通じて、プロトコルの本質的および運用上の両側面を保護する、そのライフサイクル全体にわたる必要があります。潜在的な攻撃を軽減するための予防戦略と緊急時対応計画の実施が不可欠です。
  • コード監査を中心としたローンチ前セキュリティは、コミュニティの共通認識となっています。しかし、ローンチ後セキュリティソリューション(例:攻撃監視・ブロック)が登場しているにもかかわらず、その重要性はまだコミュニティに十分に認識されていません。
  • ユーザー資産を保護し、エコシステムへの信頼を高めるためには、セキュリティ対策の継続的な改善と、セキュリティ・ファーストの文化への移行が不可欠です。

はじめに

DeFiが金融のあり方を革新し続ける中、セキュリティはエコシステムにおける重大な懸念事項であり続け、毎年数十億ドルもの損失が発生しています。

Chainalysisのデータによると、2023年のDeFiハッキングによる損失は11億ドルを超えました。この数字は2022年と比較して減少しましたが、2023年のDeFiハッキングには複数の新しい傾向が見られました。例えば、長年安全に運用されていたCurveKyberSwapのような評判の良いプロトコルがハッキングされました。さらに、Flashbotsリレーのようなインフラストラクチャの脆弱性を狙った高度なハッキングも露呈しました。

Security Incident Dashboardによると、2024年前半には10万ドルを超える損失をもたらすハッキングが50件以上発生しました。

Security Incident Dashboard にある最近のハッキング例 ](https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/_0cfb94e1b9.jpg)

セキュリティは、DeFiアプリケーションの繁栄と大規模な普及にとって重要な要素です。なぜなら、DeFiプロトコルは数十億ドル相当のユーザー資産を管理しており、これらのプロトコルを標的とするハッキングは、影響を受けたユーザーに多大な損失をもたらす可能性があるからです。ハッキングされた資金が(部分的に)回収できる場合(Eulerセキュリティインシデントなど)もありますが、常にそれに頼ることはできません。各攻撃は人々のDeFiへの信頼を損なうものです。

DeFiのセキュリティを強化するために多くの方法が提案されていますが、改善の余地はまだたくさんあります。

  • ポジティブな側面としては、コード監査がセキュリティ確保のためのコミュニティの共通認識となっています。ほとんどのプロトコルはローンチ前にコード監査を受けており、これによりスマートコントラクトの脆弱性に起因する攻撃対象領域を減らすことができます。
  • しかし、コード監査だけでは、すべてのセキュリティ問題を解決するには程遠いです。スマートコントラクトのアップグレード、設定変更、および異なるプロトコル間のランタイム依存関係で導入された脆弱性に起因するハッキングを防ぐことはできません。

これらの制約のため、運用監視や攻撃検知システムなどの、よりプロアクティブなソリューションが登場し、一部のプロトコルで採用されています。

このブログでは、プロトコルのセキュリティジャーニーを、ローンチ前の段階から、運用段階、そして攻撃対応まで、各段階を追跡することで、DeFiセキュリティの状況を掘り下げていきます。さまざまな種類のセキュリティ対策を詳述し、各段階の主要なベンダー(製品)をハイライトし、それぞれの長所と短所について議論します。 私たちの洞察が、コミュニティが最先端の状況をより良く理解するのに役立ち、さらに重要なことに、将来の革新的なソリューションを刺激することを願っています。

DeFiセキュリティの状況

DeFiプロトコルのセキュリティ対策は、ローンチ前の段階からローンチ後の段階まで、そのライフサイクル全体を網羅し、プロトコルの本質的および運用上の両方のセキュリティを確保する必要があります。さらに、潜在的な攻撃に対処するために、予防策と緊急時対応計画を講じることが不可欠です。読者が利用可能なソリューションを理解できるように、DeFiセキュリティベンダー(製品)を以下のカテゴリに分類します。

ローンチ前セキュリティ

このカテゴリには、コード監査、形式検証、セキュリティテストなど、プロトコルのローンチ前に行われるセキュリティ対策が含まれます。

コード監査サービスとコンテスト

コード監査は、プロトコルを保護するためのコミュニティで広く受け入れられているセキュリティプラクティスです。このプロセス中に、コードはセキュリティ企業によって半自動的にレビューされます。つまり、一般的な脆弱性についてコードを自動的にスキャンし、複雑なものについては手動でコードをレビューします。代表的な企業には、OpenZeppelinChainSecurityBlockSecなどがあります。

さらに、監査コンテストプラットフォームもあります。これらは、監査の実行方法においてセキュリティ監査会社とは異なります。これらのプラットフォームは監査コンテストを開始し、コミュニティのセキュリティ研究者を参加させて監査コンテストを実施し、問題を発見した人に報酬を分配します。もちろん、プラットフォームは、重大度の評価方法、報酬分配アルゴリズム、およびセキュリティ研究者の参加基準において、微妙な違いがある場合があります。そのようなプラットフォームには、Code4renaSHERLOCKCantinaSecure3などがあります。

コード監査(およびコンテスト)は、プロトコルセキュリティの第一線です。しかし、多くの評判の良い会社によって監査されたプロトコルがいまだにハッキングされている理由を説明する、実用的な制限があります。

  • 第一に、静的コード監査では、特にDeFiプロトコルのコンポーザビリティによる、プロトコルの依存関係によって引き起こされるセキュリティ問題を完全に評価することはできません。
  • 第二に、一部の問題のセキュリティへの影響は、コード監査中に過小評価されました。例えば、精度損失は一般的な問題であり、監査人やプロトコルによって見過ごされる可能性があります。そのセキュリティへの影響は、Hundred FinanceChannels Financeのインシデントまで、コミュニティには十分に認識されていませんでした。
  • 最後になりましたが、質の高いコード監査は、セキュリティ、金融、コンピューターサイエンスに精通した学際的な才能を必要とする、名誉ある希少なリソースであり続けます。現在、これを一貫して大規模に提供できる大学はほとんどありません。したがって、プロトコルは、そのビジネスに適格でない会社によって監査される可能性があります。

形式検証

形式検証とは、数学的な形式手法を用いて、特定の形式仕様またはプロパティに関してシステムの正しさを証明または反証することです。」システムが正しいことを証明できるため、形式検証はDeFiプロトコルに適用されています。具体的には、DeFiプロトコルの動作が形式仕様を満たすことを保証できます。DeFiプロトコル向けの形式検証製品の代表は、Certoraによって開発されたProverです。開発者はルール(仕様)を提供し、Proverは結果をルールと比較して、あらゆる可能なプログラム状態を探索することでバグを特定します。

形式検証の最も有望な側面は、DeFiプロトコルの正しさを数学的に証明できることです。しかし、実際には、広範な採用を妨げるいくつかの制限がまだあります。

  • 第一に、仕様は開発者によって提供される必要があり、開発者はプロトコルの期待される動作の文書化された仕様を持つ必要があります。ほとんどの開発者はこの分野の専門家ではないことを考えると、これは容易ではありません。
  • 第二に、プロトコルの頻繁なアップグレードは、仕様の更新とプロトコルの再評価を必要とする場合があります。一部のプロトコルは、時間と労力を負担できない場合があります。

それでもなお、形式検証は、特にまだ実戦でテストされておらず、多額のユーザー資産を管理している新しいプロトコルによって実施されるべきです。しかし、形式検証の使いやすさを向上させ、採用率を向上させることは、継続的な課題です。

セキュリティテスト

セキュリティテストとは、テストケースを使用してプロトコルのバグを見つけるプロセスを指します。プロトコルの正しさを数学的に証明する形式検証と比較して、セキュリティテストは通常、形式検証のシンボリック入力ではなく具体的な入力を利用するため、はるかに効率的ですが、サウンド性は低くなります。

  • Foundryは、スマートコントラクト向けの人気の開発およびテストフレームワークの1つです。開発者はFoundryでテストを実行できます。また、DeFiプロトコルに対してファズテスト、不変テスト、差分テストを実行する機能も提供します。
  • その他のセキュリティテストツールには、TenderlyHardhatがあります。

ローンチ後セキュリティ

このカテゴリには、バグバウンティ、攻撃検知、運用監視など、プロトコルがローンチ(またはメインネットで稼働)した後に行われるセキュリティ対策が含まれます。

バグバウンティ

バグバウンティプログラムは、プロトコルとセキュリティ研究者の間の橋渡しをします。基本的な考え方は、研究者にゼロデイ脆弱性を報告するインセンティブを与えることです。具体的には、プロトコルはバグバウンティプラットフォームにリストを掲載し、バウンティの範囲と報告されたバグに対する報酬額を詳述することができます。Immunefiは、代表的なWeb3バグバウンティプラットフォームの1つです。

攻撃検知

攻撃検知プラットフォームは、トランザクションをスキャンして悪意のあるものを特定します。具体的には、これらのプラットフォームは、プロトコルとやり取りされたトランザクションを悪意のある動作について検証します。そのようなトランザクションが発生した場合、アラートがトリガーされます。

  • 例えば、BlockSec Phalconはトランザクションをスキャンし、行動ベースの検出エンジンを使用して悪意のあるアクティビティ(悪意のあるコントラクトや提案など)を検出します。これは、金融取引の各ステップを監視し、疑わしい動作を探す仮想セキュリティガードのようなものです。探偵が手がかりを分析するように、トランザクションから行動パターンを抽出し、銀行が詐欺を検出するために使用するものと同様の金融モデルを使用して、潜在的な攻撃を特定します。
  • 同様のシステムには、HypernativeHexagateが提供する製品があります。
  • さらに、IronblocksVenn Security networkは、複数のソースからの検出結果を統合するための分散型インフラストラクチャを提供します。

運用監視

運用監視フレームワークは、DeFiプロトコルの運用セキュリティを実装する方法を提供します。例えば、DeFiプロトコルは、管理者キーの変更、スマートコントラクトのデプロイとアップグレードの実行、およびセキュリティ脆弱性に対するプルリクエストの自動スキャンを知る必要があります。

  • OpenZeppelin Defenderは、開発者がスマートコントラクトを安全にコーディング、デプロイ、および運用できるプラットフォームを提供します。
  • BlockSec Phalconは、コントラクトのアップグレード、Safeウォレットトランザクションの作成、新しい署名と実行、アクセス制御、およびガバナンスに関連するリスクを監視できます。
  • Forta Networkは、ユーザーがプロトコルを監視するための独自のボットを構築したり、フィッシングや脅威アラートのために既存のボットを購読したりするためのインフラストラクチャを備えています。

攻撃対応

このカテゴリには、攻撃が発生したときにトリガーされる、攻撃ブロック、自動アクション、ウォー・ルーム、根本原因分析、攻撃者の資金フロー追跡などのセキュリティ対策が含まれます。

攻撃対応の5つの対策の中で、攻撃ブロックは特に注目に値します。なぜなら、プロジェクトチームが事前に予防策を講じ、攻撃を正常にブロックして損失をゼロにできるからです。自動応答プラットフォームも、攻撃による損害を軽減するのに役立ちます。

ウォー・ルームの設立、根本原因分析の実施、盗難資金の追跡は、攻撃発生後に取られる対応ステップです。これらの戦略は一部の損害を軽減し、同様の攻撃を将来防ぐのに役立つ可能性がありますが、損失はすでに発生している可能性があり、回収が困難になる可能性があります。さらに、プロジェクトの評判への損害とそれに伴うユーザー信頼の喪失は、深刻なものとなる可能性があります。

リスクはどこにでもあり、しばしば制御不能ですが、先制的な防御策を展開することを選択することは、容易に実行可能であり、強く推奨されます。

攻撃ブロック

実際には、ハッキングと戦う上で、攻撃検知だけでは不十分です。なぜなら、ハッキングを自動的にブロックする能力がない場合、手動の応答は十分に速くないからです。一部のケース(以下の表のKyberSwap、Gamma Strategies、Telcoin)では、プロトコルが手動アクションを実行するのに数分、さらには数時間かかることがあり、プロトコル内の資産を救うには手遅れになります。最近のVelocoreとRhoのハッキングでは、LineaScrollチェーン全体がそれぞれ一時停止され、L2チェーンの分散化に関する懸念が生じています。

攻撃ブロックは、自動的にハッキングを防ぐ能力であり、2つの主要な技術が必要です:早期検知と攻撃の自動フロントランニング

  • 早期検知とは、システムがブロックチェーンで最終化される前に、特にまだメモリプールで保留中の攻撃トランザクションを特定できることを意味します。
  • 攻撃のフロントランニングとは、攻撃トランザクションの前にチェーンにトランザクションを配置してプロトコルを一時停止し、実行される前に事実上攻撃を停止することを含みます。

このカテゴリでは、BlockSec Phalconがこれらの主要技術を持つ唯一の製品です。ハッカーが攻撃トランザクションを開始した後、Phalconの攻撃監視エンジンは直ちにこのトランザクションを検出し、ユーザーに攻撃アラートを送信し、プロトコルを一時停止するために自動的にフロントランニングを行い、損失をゼロに減らします。その主要技術は、2,000万ドル以上の20件以上の救助で実戦テストされています。

自動アクション

PhalconHexagateHypernativeのようなプラットフォームも、攻撃発生時に自動的に応答できます。

これらのプラットフォームを購読した後、ユーザーはさまざまなプロトコルのリスクに対して監視および応答策を設定できます。トランザクションが監視ルールを満たした場合、システムはユーザーが事前に設定した応答アクション(プロトコルの一時停止など)を自動的に開始し、それによって損失を削減します。

ただし、一部のプラットフォームには攻撃検知エンジンがなく、システムは直接攻撃トランザクションを認識してユーザーに通知できません。代わりに、ユーザーがどの条件でトランザクションを攻撃と見なすかをカスタマイズする必要があります。攻撃トランザクションの特性は非常に複雑であり、ユーザー(多くはコントラクト開発者)が十分なセキュリティ知識を持っていない場合があるため、これは彼らにとってかなりの課題となります。

ウォー・ルーム

プロトコルが攻撃を受けている場合、ウォー・ルームの設立が必要です。これにより、プロトコルは何が起こっているかを理解し、コミュニティで情報を共有し、さらなるアクションのためにリソースを活用することができます。これには通常、さまざまな視点からの専門家が関与します。

SEAL 911は、「緊急時に、ユーザー、開発者、およびセキュリティ研究者が、非常に信頼されている少数のセキュリティ専門家と接続するためのアクセス可能な方法を提供する」プロジェクトです。SEAL 911 Telegram Botからアクセスできます。プロジェクトがハッキングされた場合、ウォー・ルームを設立してプロトコルを支援できます。

根本原因分析

攻撃が発生した場合、プロトコルはスマートコントラクト内の脆弱性やその悪用方法など、根本原因を理解する必要があります。これには、攻撃トランザクションを分析するための有用なツールが必要です。Phalcon ExplorerOpenChainTenderlyなどをこの目的に使用できます。

資金フロー追跡

資金フロー追跡とは、攻撃者の初期資金と攻撃利益をブロックチェーン上で追跡し、関連するアドレスとエンティティを特定することです。資産が中央集権的なエンティティ(中央集権型取引所やその他の機関レベルのエンティティなど)に流れている場合、法執行機関に連絡して資金を凍結するのを支援できます。

このカテゴリには、ChainalysisTRM Labs、ARKHAM、ELLIPTIC、MetaSleuthなどが含まれます。

  • 例えば、BlockSecによって開発されたMetaSleuthは、豊富なウォレットアドレスラベルを使用して、異なるチェーン間で資金を自動的に追跡できます。
  • ARKHAMには、プロトコルが調査に懸賞をかけることができるコミュニティがあり、コミュニティが攻撃者の資金追跡を支援するインセンティブを与えます。

セキュリティ教育リソース

情報通な minds は、より強固な防御を構築します。上記のセキュリティベンダーや製品に加えて、DeFiセキュリティにはもう1つの重要な要素があります:教育プラットフォームです。

これらのプラットフォームは、DeFiの実務家やユーザーがセキュリティの洞察を理解し、意識を高め、セキュリティスキルを開発するための不可欠なリソースを提供します。DeFiセキュリティの進歩において重要な役割を果たしています。これらの教育プラットフォームに感謝の意を表し、いくつかの注目すべき例を挙げます。

  • SΞCURΞUM:イーサリアムセキュリティに焦点を当てたDiscordコミュニティ。毎月、スマートコントラクトセキュリティクイズ「Secureum RACE」も開催しています。
  • Security Incidents Dashboard:10万ドルを超える損失をもたらしたすべての攻撃インシデントを収集し、損失、影響を受けたチェーン、脆弱性、根本原因、PoCを詳述するプラットフォームです。
  • Rekt:DeFiジャーナリズムのダークウェブとして知られるRektは、エコシステム内のエクスプロイト、ハッキング、詐欺に関する詳細な分析を提供します。
  • RugDoc:プロジェクトリスクを評価するDeFiの安全性と教育コミュニティ。RugDocWiKiというプラットフォームも備えており、DeFiエコシステムとテクノロジーを紹介しています。
  • DeFiHackLabs:2,600人以上のメンバーと約200人のホワイトハットハッカーを擁するWeb3セキュリティコミュニティで、Web2とWeb3のセキュリティ専門知識の架け橋となることを目指しています。
  • Solodit:さまざまなWeb3監査会社からの履歴レポートをコンパイルするプラットフォームで、スマートコントラクト監査人にとって貴重なリソースとなります。
  • Ethernaut:CTFチャレンジに似た、プレーヤーがイーサリアムコントラクトの脆弱性を特定する、Web3/Solidityベースのゲームです。

結論

DeFiエコシステムにおけるセキュリティは、依然として毎年数十億ドルの損失を引き起こす、継続的かつ深刻な脅威です。現在、セキュリティ対策のほとんどはローンチ前の段階で実施されています。しかし、セキュリティに万能薬はなく、DeFiプロトコルのライフサイクル全体でさまざまな方法が実施されるべきです。業界がローンチ後セキュリティソリューションを採用し、監視し、さらに重要なことに、攻撃を自動的にブロックすることを期待しています。セキュリティ・ファーストの文化がエコシステムに確立され、ユーザー資産が完全に保護されることを予測しています。

関連記事

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.