「すべてのDeFiは危険なのか？」Openzeppelin創業者による「ブルーチップ銘柄からの撤退」勧告を受け、業界リーダーらが反論

ドラマからデータへ

Openzeppelinの共同創業者で元最高技術責任者（CTO）であるマヌエル・アラオス氏が「DeFiは完全に安全ではない」と断じたことは、ハッキングの急増で既に動揺していた業界にさらなる衝撃を与えた。この脆弱性を裏付けるように、ブロックチェーンセキュリティ企業Peckshieldの最近の分析では、年明けから5月中旬までの間に、クロスチェーンプロトコルの悪用だけで3億2860万ドルが流出していたことが判明した。

アラオスの警告が拡散したことでOpenzeppelinは彼の主張の一部から公に距離を置くことを余儀なくされたが、その発言はDeFiのセキュリティをめぐる激しい議論を巻き起こすことに成功した。それでも、批判派は彼の劇的な表現を、恐怖やパニックを煽る自己利益のための試みとして一蹴した。一方、Cysicの創業者レオ・ファン氏のような人々は、その表現の仕方が、本質的に正しいメッセージの信頼性を損なっていると信じている。

「『すべてから撤退せよ』という表現で包み込むと、必要な警告が悲観論者のコンテンツになってしまう」とファン氏は述べた。「この分野で人々を動かすのにドラマは必要ない。必要なのは数字だ。」 0G Labsの共同創業者兼CEOであるマイケル・ハインリッヒ氏も同様の見解を示し、DeFiレンディングのセキュリティが2020年の基準値から約98%改善したことを指摘している。 さらにハインリッヒ氏は、主要なレンディングプロトコルの1日あたりの損失率が現在約0.001％まで大幅に低下している点を挙げ、「すべてのDeFiは安全ではない」というアラオス氏の主張を否定するもう一つの要因として強調した。「AaveやMakerのような優良銘柄から撤退するよう個人投資家に助言することは、実際のリスク調整後の実態とは一致しない」とハインリッヒ氏はBitcoin.com Newsに語った。

DeFiに反対する論拠として、アラオス氏は、人工知能（AI）コーディングエージェントがオープンソースのスマートコントラクトをスキャンし、悪用可能な複雑な欠陥を機械並みの速度で特定する能力において、信じられないほど高度化していると主張した。これらのエージェントがもたらす脅威は極めて大きいため、彼は友人や家族に対し、主要で長年にわたり確立された「優良」DeFiプロトコルからのポジションを完全に手放すよう、個人的に助言している。

静的監査の終焉

それでもハインリッヒ氏とファン氏は、超人的なAI攻撃者の台頭が防御側の撤退を意味するわけではないと主張します。むしろ、業界がセキュリティに取り組む方法に根本的な転換が必要だと彼らは言います。「特定の時点での監査はすでに死んでいます。ただ、まだ葬儀が行われていないだけです」とファン氏は述べました。彼は、監査からバグ報奨金制度へと完全に移行することは誤った教訓だと警告しました。 「予防を監視で置き換えるのではなく、両者の間のギャップを埋めるべきだ」とファンは語ります。ハインリッヒ氏も、年次監査に依存するだけではもはや信頼できる防御策ではないと指摘します。その代わりに、スマートコントラクトセキュリティの未来は、監査を単発のイベントではなく最初のチェックポイントと位置づけ、攻撃者と同じ速度で動作する多層的な防御パイプラインにかかっているとの見解を示しました。 彼は、AIを活用したデプロイ前の監査と人間によるレビューの組み合わせ、デプロイ後の継続的な監視、十分な資金を投じたバグ報奨金制度、防御側における検証可能なAIからなる四層のセキュリティスタックを提示しました。ハインリッヒ氏は、最終目標は主観的なレビューではなく数学的証明を用いる形式検証をクリティカルパスに組み込み、攻撃者が行うのと同じ方法で稼働中の契約に対して継続的にAIを活用したレビューを実行することだと指摘しました。

「監査がなくなるわけではない。監査は、機械並みの速度で動作する防御パイプラインにおける最初のチェックポイントとなるのだ」と彼は述べた。 予防的なセキュリティ・パイプラインを超えて、リスク軽減に関する議論は必然的に保険へと及ぶ。ハインリッヒ氏は、この分野が暗号資産エコシステムにおいて依然として著しく未発達な状態にあると指摘する。ハインリッヒ氏によると、いくつかの構造的な障壁が分散型保険セクターの発展を阻んでいる。第一に、保険プールは資本を拘束してしまうが、その資本は本来ならDeFiの他の場所でアクティブな利回りを生み出すことができたはずだ。

この点を説明するために、ハインリッヒ氏は市場をリードするNexus Mutualを例に挙げました。同社の保有額は約1億9000万ドルである一方、DeFi市場全体のロックされた総価値（TVL）は400億ドルから1000億ドル以上で変動しています。ハインリッヒ氏は、この資本比率は構造的に低いと指摘します。もう一つの障壁は、オンチェーンでのエクスプロイトを何で定義するかという点で、彼はこれを「決して容易ではない作業」と表現しています。

こうした障壁があるにもかかわらず、ハインリッヒ氏はプロトコル全体に保険義務を課すことは普及を促進する適切な手段ではないと主張します。その代わりに、業界は製品レベルでイノベーションを起こさなければなりません。「実際に状況を変えるのは、検証可能なシグナルに基づいて自動的に支払われるパラメトリックなオンチェーン製品や、従来の市場における清算手数料のように保険を製品に組み込んだプロトコルだ」とハインリッヒ氏は述べます。

コードだけでなく運用も規制すべき

現在のセーフティネットは限定的だが、市場の需要は加速している。Coinlawによる2026年3月の予測によると、分散型保険市場は2029年までに約5倍に成長すると見込まれている。

「資本は流入しつつあります」とハインリッヒ氏は指摘します。「欠けているのは、それを展開するための製品基盤です」 業界内で機械並みの速度での防御や自動化されたセーフティネットへのシフトが進む中、規制監督に関するより広範な疑問が浮上しています。政策立案者がデジタル資産のセキュリティをますます精査する中、ファン氏は、規制当局が不正なAIシステムのような誤った脅威に過度に焦点を当ててしまうリスクがあると警告します。

「賢明な規制当局の対応とは、AI攻撃者そのものにパニックになることではない」とファン氏は述べた。「資金が実際に流出する運用層、すなわち鍵の管理、マルチシグガバナンス、ブリッジのセキュリティ、インシデント対応に焦点を当てることだ」

ファン氏は、これらの具体的なベクトルに対して厳格な運用セキュリティ基準を適用することで、監督機関は現実世界における資本損失の大部分を排除できると主張します。スマートコントラクトのコードのみに焦点を当て、日々の運用を軽視することは、「10％を規制し、90％を見逃す」ことに等しいと警告します。さらにファン氏は、政策立案者が一貫して過小評価している技術的基礎要素として、高度な暗号技術を指摘します。

「どのコードが実行され、それが正しく動作したかを証明するゼロ知識証明のような暗号学的証明は、PDF形式の監査報告書よりもはるかに優れたコンプライアンスの基盤となります」とファン氏は述べました。「それは信頼ではなく、数学によって検証可能です。規制当局のエネルギーは、その方向に向けるべきだと私は考えます。」