コードの脆弱性

ブロックチェーンセキュリティ会社の CertiK は、2026 年 3 月に 46 件のセキュリティ事件が記録され、総損失は約 3980 万ドル（フィッシングを除く）であると発表しました。これは 2024 年 11 月以来、記録されたセキュリティ事件の数が最も多い月です。CertiK はまた、2025 年第 3 四半期に底を打った後、2025 年第 4 四半期と 2026 年第 1 四半期のセキュリティ事件の数が増加しており、コードの脆弱性が悪用されるケースが増えていることは、人工知能の台頭に関連している可能性があると述べています。

a16z Cryptoの上級セキュリティ研究員Daejun Parkは、DeFiプロトコルが「コードは法律」という考え方から「規範は法律」へと移行し、より原則的なセキュリティアプローチを採用するよう呼びかけました。具体的な方法は、標準化された規範と不変性チェック（invariant checks）を通じてハードコーディングされたセキュリティ保障を実施し、事前に定義されたルールに違反する取引を自動的にロールバックすることです。Parkは、ほぼすべての既知の脆弱性がこの種のチェックを引き起こす可能性があり、実行プロセス中にハッカー攻撃を阻止することが期待できると指摘しています。Slowmistの報告によると、昨年ハッカーはコードの脆弱性を通じて6.49億ドル以上を盗みました。2021年から運営されている老舗プロトコルBalancerでさえ、昨年11月にコードの脆弱性により1.28億ドルの損失を被りました。開発者たちは、ハッカーがますますAIを使用して脆弱性を探すことを懸念しています。Immunefiのセキュリティ責任者は、不変性チェックがガスコストを増加させ、ユーザーが流出する可能性があるため、万能薬ではないと指摘しています。Asymmetric Researchの共同創設者は、多くの脆弱性に対して攻撃を検出しつつ誤報を出さない不変性ルールを作成することが難しいと述べています。

据 CoinTelegraph の報道によると、ブロックチェーンセキュリティ会社 CertiK のデータによれば、暗号通貨ハッカーは 2025 年に 33 億ドルを盗み、サプライチェーンの脆弱性が最も破壊的な脅威となり、わずか 2 件の事件で 14.5 億ドルの損失を引き起こしました。毎回のハッキング攻撃の平均損失額は 530 万ドルで、前年より 66% 増加しています。しかし、データはまた、セキュリティ事件の数が急激に減少し、前年同期比で 162 件減少したことを示しており、プロトコルレベルのセキュリティが向上していることを示しています。これにより、攻撃者は単純なコードの脆弱性から遠ざかり、フィッシングやインフラストラクチャレベルの攻撃に移行しています。報告によれば、フィッシング詐欺は第二の脅威となり、248 件の事件で暗号通貨投資家は合計 7.22 億ドルの損失を被りました。

由于一笔"フォーマットエラー"の委託取引、Cardano ネットワークは金曜日に一時的なチェーン分裂が発生しました。このような委託取引は、ADA をステーキングプールに委託する取引を指し、プロトコルレベルでは有効ですが、コードの不具合を引き起こし、ネットワーク機能に影響を与える可能性があります。Cardano エコシステム組織 Intersect が発表したイベントレポートによると、この"フォーマットエラー"の取引は、Cardano ブロックチェーンの基盤ソフトウェアライブラリに存在する古いコードの脆弱性を利用し、ノードが取引処理の方法において意見の相違を生じさせ、最終的にネットワーク分裂を引き起こしました。この脆弱性は、Homer J という名前の ADA ステーキングプールオペレーターによって引き起こされ、彼は AI が生成したコードを使用して取引を推進し、ネットワーク分裂の責任を認めています。ステーキングプールオペレーターには、問題を修正するために最新バージョンのノードソフトウェアをダウンロードし、分裂したチェーンを再統合して一つの完全なブロックチェーンにするよう求められています。この一時的な分裂は Cardano コミュニティ内で議論を引き起こし、一部の人々は Homer J の行動が重要な脆弱性を暴露するのに役立ったと考えていますが、Cardano 創設者の Charles Hoskinson のような他の人々は、これを Cardano ネットワークへの攻撃と呼び、FBI が調査に介入しています。あるユーザーは冗談を言いました："誰も Cardano のネットワーク分割に気づいていない、なぜなら誰もそれを使っていないから。"

据 Cointelegraph 报道，由于一笔 "格式错误" 的委托交易，Cardano 网络发生暂时性链分裂。这类委托交易是指将 ADA 委托给质押池的交易，虽然在协议层面有效，但可能导致代码故障，从而影响网络功能。根据 Cardano 生态系统组织 Intersect 发布的事件报告，这笔 "格式错误" 的交易利用了 Cardano 区块链底层软件库中的一个旧代码漏洞，导致节点在处理交易方式上存在分歧，最终造成网络分裂。此次漏洞是由一位名为 Homer J 的 ADA 质押池运营商造成的，他使用 AI 生成的代码推动了交易，并已承认对造成网络分裂负有责任。质押池运营商被要求下载最新版本的节点软件以修复问题，并将分裂的链重新整合为一条完整的区块链。这次暂时的分裂在 Cardano 社区内部引发辩论，部分人认为 Homer J 的行为有助于暴露关键漏洞，而另一些人，如 Cardano 创始人 Charles Hoskinson，称其是对 Cardano 网络的攻击，FBI 已介入调查。而一位用户调侃称："没有人注意到 Cardano 的网络分区，因为没有人使用它。"

ChainCatcher のメッセージ、Immunefi は Vault Systems の導入を発表しました。これは、開発者がハッカーや研究者にコードの脆弱性を報告するための資金を安全に保管できるスマートコントラクトシステムです。これらの資金は、脆弱性の報告が確認された後にのみハッカーに解放されます。Immunefi の創設者ミッチェル・アマドールは、これを行う目的は通常慎重な二者間に信頼を築くことだと述べています。ハッカーコミュニティとプロジェクト開発者の関係は非常に複雑である可能性があります。開発者は特に自分たちのプロジェクトが悪用されることを心配していますが、善意のハッカーでさえも脆弱性を発見することで法的な問題に巻き込まれることを懸念しています。報告を提出する際にも、彼らは自分たちの仕事が適切に認識されないか、報酬が得られないことを心配しています。

ChainCatcher のメッセージ、オープンソースコード脆弱性検出ツール Socket が 2000 万ドルの A ラウンド資金調達を完了したことを発表しました。Andreessen Horowitz (a16z) がリード投資家となり、Abstract Ventures、Wndrco、Unusual Ventures、さらに Box の共同創業者 Aaron Levie、Figma の共同創業者 Dylan Field、Okta の共同創業者 Frederic Kerrest、Vercel の CEO Guillermo Rauch、Eventbrite の共同創業者 Julia と Kevin Hartz などのエンジェル投資家が参加しました。新たな資金はチームの拡充に使用され、より多くのプログラミング言語のサポートと統合を支援します。CEO の Feross Aboukhadijeh によると、新たに調達した資金と Socket が以前に受け取った 460 万ドルのシード投資を合わせると、会社の総資金調達額は 2460 万ドルに達しました。

ChainCatcher のメッセージ、分散型クロスチェーン取引プロトコル THORChain がツイートで、依存関係（dependency）に潜在的な脆弱性が存在する可能性があるため、THORChain に影響を与える可能性があるとして、慎重を期して取引を一時停止し、調査を行っていると述べています。（出典リンク）