DeFi去年被黑6.49億，a16z为何呼吁放弃"コード・イコール・リーガル"

DeFi業界は、ますます多くの脆弱性がハッカーによって悪用されるという、困難な現実に直面しています。Slowmistの報告によると、2025年にはDeFiプロトコルのコードの脆弱性による損失は6億4900万ドルを超え、2021年以来安定して運用されてきた老舗のBalancerも2025年11月に1億2800万ドルの損失を被っています。このような背景の中、a16z Cryptoの上級セキュリティ研究員Daejun Parkは最近、業界に対してパラダイムシフトを呼びかける投稿を行いました：それは「コードは法律である」から「規範は法律である」へと進化させ、標準化されたセキュリティ規範を通じてますます複雑化するセキュリティ脅威に対処することです。

セキュリティ危機の根本的な問題

DeFiの「コードは法律である」という哲学はかつてその競争力の核心でした。完全な分散化とコードの透明性を強調していました。しかし、この理念の弱点も次第に明らかになっています：コード自体に脆弱性が存在する可能性があり、これらの脆弱性はしばしば展開後に発見されます。開発者の懸念によると、ハッカーはAIツールを使ってこれらの脆弱性を探すことが増えており、従来のセキュリティ監査手法は追いつかなくなっています。

データを見ると、問題の規模は軽視できません。6億4900万ドルの年間損失は、攻撃された各プロトコルが巨大なリスクに直面していることを意味します。Balancerのケースは、長年検証されたコードであっても見落とされる脆弱性が存在し得ることを示しています。

a16zが提案する新しいアプローチ

Daejun Parkが提案する解決策は比較的具体的です：不変性チェック（invariant checks）を用いてセキュリティをハードコーディングすることです。簡単に言えば、スマートコントラクト内であらかじめいくつかの違反できないルールを定義し、取引の実行中にこれらのルールがトリガーされた場合、システムは自動的にその取引をリバートします。

このアプローチの利点は次の通りです：

• 実行段階でリアルタイムに防御でき、事後の監査に依存しない
• ほぼすべての既知のDeFi脆弱性がこのチェックをトリガーする
• 完全なコードの書き換えに比べて導入コストが低い

Parkは、この方法がハッカーの攻撃が発生した瞬間にそれを阻止し、DeFiのセキュリティ防御の根本的な考え方を変える可能性があると指摘しています。

現実的な課題

しかしながら、業界からこの提案に対して完全に賛同が得られているわけではありません。最新の情報によると、Immunefiのセキュリティ責任者は二つの実務的な問題を指摘しています：一つは、不変性チェックが取引のgasコストを増加させるため、ユーザーの離脱を招く可能性があること。もう一つは、このアプローチが万能薬ではないということです。

Asymmetric Researchの共同創設者は、技術的な観点から疑問を呈しています：多くの脆弱性の複雑さにより、攻撃を効果的に検出しつつ誤検知を避ける不変性ルールの作成は困難です。言い換えれば、ルール自体の設計もまた難題です。

既存の試み

この理念は全く新しいものではありません。関連情報によると、KaminoやXRP Ledgerなどのプロジェクトはすでに不変性チェックを採用し始めています。これは、課題は存在するものの、すでに先行者たちがこの道を模索していることを示しています。

まとめ

a16zのこの呼びかけは、DeFi業界の重要な転換点を反映しています：絶対的な分散化を追求する「コードは法律である」から、制御可能な安全性を重視する「規範は法律である」への移行です。6億4900万ドルの年間損失を前に、この変化は必要かつ緊急です。

ただし、このアプローチの実現は決して順調ではありません。gasコストやルール設計の複雑さといった現実的な問題を解決する必要があります。より深い問題は、DeFi業界が安全性と分散化のバランスを取る準備ができているかどうかです。これは今後しばらくの間、業界が継続して議論すべき核心的なテーマとなるでしょう。