OpenZeppelin創設者が警鐘「すべてのDeFiは安全ではない」：AIの脅威でAaveですら防御困難

暗号セキュリティ企業 OpenZeppelin の共同創業者 Manuel Araoz 氏がソーシャルメディアに投稿し、現在は「すべての DeFi は安全ではない」と考えており、Aave、MakerDAO、Compound を含むすべての DeFi ポジションから撤退するよう親しい友人や家族に直接助言し始めたと述べた。 (前回までのあらすじ：Kelp DAO が rsETH の全面復旧を発表：5週間前に北朝鮮ハッカーに 2.93 億ドルを盗まれた) (背景補足：SquidRouterModule に重大な脆弱性が発覚！86 件の Gnosis Safe がハッキングされ 300 万ドルの被害) 要点まとめ - OpenZeppelin 共同創業者 Manuel Araoz が、Aave、MakerDAO など全 DeFi ポジションから撤退するよう親しい人々に公に助言 - 4月の DeFi 盗難被害は約 6.3 億ドルに達し、Drift(2.85 億)と Kelp DAO(2.93 億)はいずれも北朝鮮ハッカーと関連 - DeFi TVL は 4 月中旬から約 14% 減少、5 月にはさらに 25 件のセキュリティ事件が発生、40 以上のプロトコルが閉鎖を発表暗号資産業界で最も多く使われているスマートコントラクトセキュリティフレームワークを作った人物が、いま「DeFi から全額引き揚げろ」と忠告している。 OpenZeppelin の共同創業者 Manuel Araoz 氏は先日、ソーシャルメディアに投稿し、DeFi の安全性に対する見方を変えたとし、現時点での結論は「すべての DeFi は安全ではない」と述べた。同氏は、長年運用されてきた Aave、MakerDAO、Compound のような「ブルーチップ」プロトコルであっても例外ではなく、すべての DeFi ポジションから撤退するよう親しい友人や家族に直接助言し始めたと明かした。 PSA: I now consider *all* of DeFi unsafe. Coding agents are superhuman at finding vulnerabilities, and smart contract security is too asymmetric: defenders need to fix every bug while attackers need just one exploit to steal funds. — Manuel Aráoz (@maraoz) May 26, 2026 AI が攻守を完全に非対称にする Araoz 氏が指摘する核心的な問題は、攻撃者と防御者の間の構造的な非対称性にある。同氏によれば、AI コーディングエージェント(coding agents)はスマートコントラクトの脆弱性を発見する点で「人間を超える能力」を持ち、その能力は本質的に攻撃側に有利に働く。防御者はすべての脆弱性を塞がなければならないが、攻撃者は一つ見つけるだけで資金を奪える。この発言が、セキュリティ企業の創業者の口から出たという点が特に重い。OpenZeppelin のスマートコントラクトライブラリは世界中の大多数の Solidity 開発者に使われており、Araoz 氏の DeFi セキュリティに対する理解は机上の空論ではない。彼の判断は実質的に、現状の技術アーキテクチャの下では DeFi のセキュリティモデルは根本的に攻撃側に有利だと言っているに等しい。 4 月以降、損失は拡大し続けるデータも Araoz 氏の主張を裏付けている。4 月単月で DeFi プロトコルから約 6.3 億ドルが盗まれ、これは 2025 年 2 月に Bybit が約 15 億ドルを盗まれて以来、最も損失の大きい月となった。中でも Drift(2.85 億ドル)と Kelp DAO(2.93 億ドル)の 2 件の重大な脆弱性悪用事件は、いずれも追跡機関によって北朝鮮政府の支援を受けたハッカー集団 Lazarus Group に帰属されている。市場の信頼は明らかに揺らいでおり、DeFi プロトコルの総ロック価値(TVL)は 4 月中旬以降約 14% 減少し、約 1,720 億ドルから 1,480 億ドルへと縮小した。5 月も平穏ではなく、これまでに 25 件のセキュリティ事件が発生しており、Verus Network のクロスチェーンブリッジが悪用されて 1,160 万ドルの損失、Polymarket の UMA CTF Adapter が攻撃を受けて約 57 万ドルの損失といった事例が含まれる。今年最初の 5 か月間で 40 以上のプロトコルが相次いで閉鎖や清算モードへの移行を発表した。統計上、北朝鮮関連の攻撃者は 2026 年の世界の暗号資産ハッキング損失の 76% を占めており、2025 年の 64% からさらに上昇している。DeFi に対する信頼喪失の危機は、なお拡大を続けている。よくある質問 OpenZeppelin の共同創業者はなぜ「すべての DeFi は安全ではない」と言うのか? Manuel Araoz 氏は、AI コーディングエージェントによって攻撃者が脆弱性発見において圧倒的に有利になっていると考えている。防御者はすべての脆弱性を塞がなければならないが、攻撃者は一つ見つけるだけで資金を盗める。この構造的な非対称性により、Aave や MakerDAO を含むすべての DeFi プロトコルにリスクがあるという。 2026 年に DeFi はいくら盗まれたのか? 5 月末時点で 7.7 億ドルを超えており、4 月だけで約 6.3 億ドルが盗まれた。最大の 2 件は Drift(2.85 億ドル)と Kelp DAO(2.93 億ドル)で、いずれも北朝鮮のハッカー集団 Lazarus Group と関連している。