2025年11月3日、分散型金融(DeFi)の世界に激震が走った。長年にわたりDeFiの信頼性の高い「ブルーチップ」と見なされてきたプロトコル、Balancerが大規模なハッキング攻撃を受け、被害総額は瞬く間に1億2800万ドル(約190億円)規模に達した。この事件は、Ethereum(ETH)の価格を一時9%以上も急落させ、重要な心理的節目である3,600ドルのサポートラインを割り込ませる直接的な引き金となった。しかし、この事件の本質は単なる巨額の資金流出ではない。10回以上ものセキュリティ監査をクリアしてきたはずの堅牢なプロトコルがなぜ破られたのか。この問いは、DeFiが抱える構造的な脆弱性と、「監査済み」という言葉への過信という、業界の根幹を揺るがす問題を我々の眼前に突きつけている。
白昼の惨事:1億2800万ドル消失のタイムライン
事件の発覚は、ブロックチェーンセキュリティ企業PeckShieldが「Balancerとそのフォーク(派生プロジェクト)が複数のチェーンにまたがるアクティブなエクスプロイト(脆弱性攻撃)下にある」と警告したことから始まった。この警鐘が鳴らされてからわずか数時間のうちに、事態は壊滅的な様相を呈した。
PeckShieldのデータによれば、被害は複数のブロックチェーンに及んだが、その大部分はEthereum上で発生し、損失は約1億ドルに上った。続いてBerachainが1290万ドル、その他Arbitrum、Base、Optimism、Polygonといった主要なネットワーク上のBalancer関連プールからも、規模は小さいながらも看過できない額の資金が流出した。
Balancerチームは迅速に「Balancer v2プールに影響を与える可能性のあるエクスプロイト」を認め、調査を開始したが、パニックはすでに市場に伝播していた。DeFiの健全性を示す重要指標であるTVL(Total Value Locked:預かり資産総額)は、DeFiLlamaのデータによると、事件発生から一日で7億7000万ドルから4億2200万ドルへと、実に46%もの驚異的な減少を記録。これは、投資家がいかに迅速に信頼を失い、資金を引き揚げたかを物語っている。
市場の動揺は暗号資産の価格にも直接的な影響を与えた。Ethereumは最大9%下落し、8月22日につけた高値4,885ドルから約25%も値を下げた。この急落は、BalancerのネイティブトークンであるBALが8%以上下落したことに加え、Coinbase(COIN)の株価が約4%、MicroStrategy(MSTR)が1%以上下落するなど、暗号資産関連の金融商品全体に波及した。
攻撃の技術的深層:なぜ堅牢なはずの防御が破られたのか
今回の攻撃は、極めて高度な技術的理解に基づいた、巧妙なものだった。ブロックチェーンセキュリティ企業Phalconの初期分析によると、攻撃者はBalancerのスマートコントラクト、特に複数のトークン取引を一度に処理する「バッチスワップ」機能の価格計算ロジックに存在する脆弱性を突いた。
具体的には、Balancer V2の manageUserBalance という関数内に欠陥が存在した。攻撃者はこれを悪用し、システムのアクセス権限チェックを回避。これにより、プールの内部価格フィード(システムが資産価値を判断する基準)を不正に操作し、人為的に極端な価格の不均衡を作り出すことに成功した。そして、システムがこの異常を検知し、価格を正常化する前のわずかな時間差を利用して、不当に安くなった資産を大量に引き出したのである。
この被害をさらに増幅させたのが、Balancerの設計思想の中核である「コンポーザビリティ(組み合わせ可能性)」であった。これは、異なるDeFiプロトコルやプールが、レゴブロックのように互いを参照し、連携できる機能であり、DeFiの革新性の源泉とされてきた。しかし、今回の事件では、このコンポーザビリティが諸刃の剣となった。攻撃者によって歪められた価格情報が、相互に連携するプールへと次々に連鎖的に伝播し、被害がドミノ倒しのように拡大していったのだ。
CoinbaseのConor Grogan氏が指摘するように、攻撃者の手口はプロフェッショナルそのものであった。攻撃に使われたウォレットアドレスは、プライバシー強化ミキシングサービスであるTornado Cashから送金された100 ETHで初期化されており、これは資金の出所を隠し、過去のハッキングで得た資金を洗浄する常套手段である。この事実は、今回の攻撃が単独犯による偶発的なものではなく、DeFiの構造を熟知した組織的なグループによる計画的犯行である可能性を示唆している。
「11回の監査」はなぜ機能しなかったのか?DeFiにおける信頼のパラドックス
この事件がDeFiコミュニティに与えた最大の衝撃は、被害額の大きさもさることながら、「Balancerが10回以上のセキュリティ監査を受けていた」という事実であろう。Web3開発者のSuhail Kakar氏が指摘するように、Balancerのコアとなるヴォールトコントラクトは、複数の独立した著名なセキュリティ企業によって繰り返しレビューされていた。
出典: Balancer docs via Suhail Kakar
これまで多くの投資家は、「監査済み」という言葉を一種の安全保証として捉えてきた。しかし、今回の事件は、その神話を無残にも打ち砕いた。Kakar氏が言うように、「『X社による監査済み』というラベルは、もはや無謬性の印ではない」。これは、スマートコントラクトのコードが単体で完璧であっても、それが他のプロトコルと複雑に相互作用する中で、予期せぬ脆弱性が生まれる可能性を示している。監査は、あくまで特定の時点での静的なコードの安全性を検証するものであり、動的な市場環境や、他のプロトコルとの無限に近い組み合わせパターンから生じるリスクを完全に予測することは極めて困難なのだ。
この現実は、DeFiにおける「信頼」の在り方を根本から問い直すものだ。仮想通貨プラットフォームRotkiの創設者、Lefteris Karapetsas氏は、これを単なるハッキングではなく「信頼の崩壊」と表現した。
「2020年から稼働し、監査を受け、広く利用されてきたプロトコルが、TVLのほぼ全損に等しい被害を受ける可能性がある。これは、DeFiが『安定している』と信じる者への危険信号だ」
彼の言葉は、DeFiがまだ成熟した金融システムではなく、依然として実験的な領域にあるという厳しい現実を浮き彫りにする。「コードは法(Code is Law)」という理想とは裏腹に、そのコードの複雑性が新たなリスクを生み出し、数学的に健全に見えるシステムでさえ、人間の予測を超えた要因によって崩壊しうるのである。
市場を揺るがす三重苦:マクロ経済と地政学リスクの影
Balancerのハッキングが市場に与えた衝撃は、それが孤立した技術的問題ではなく、すでに不安定化していたマクロ経済環境という可燃性の高い土壌の上で発生したために、より一層増幅された。
暗号資産市場は、この数週間、複数の逆風にさらされていた。10月中旬には、Trump米大統領が中国のレアアース輸出規制への対抗措置として「大規模な」関税を発表。この地政学的リスクの高まりは、投資家をリスク資産である暗号資産から、金などの伝統的な安全資産へと逃避させた。
さらに先週、米連邦準備制度理事会(FRB)のJerome Powell議長が、市場の過度な利下げ期待を牽制する発言を行ったことも、市場心理を冷え込ませていた。金融緩和の後退は、一般的に金利を生まない暗号資産のようなリスク資産にとってマイナスに働く。
Bitwiseのシニア投資ストラテジスト、Juan Leon氏はCNBCに対し、「これらの出来事は、11月に入る投資家を不安な立場に置いた」と語る。このような弱気な市場センチメントが支配する中で発生したBalancerのハッキングは、投資家の不安に火をつけ、売りを加速させる格好となったのだ。これは、DeFiのリスクが、もはや暗号資産市場の内部だけで完結するものではなく、グローバルなマクロ経済の動向と密接に連動して、その影響を増幅させることを示す好例といえるだろう。
DeFiの未来への問いかけ:システミックリスクと規制の足音
Balancer事件は、DeFiの未来に向け、いくつかの重い問いを投げかけている。
第一に、コンポーザビリティがもたらすシステミックリスクの問題である。個々のプロトコルの連携がイノベーションを加速させる一方で、一つの中心的なプロトコル(コア・プロトコル)の破綻が、エコシステム全体に連鎖的な崩壊をもたらす危険性を露呈した。事件を受けて、Berachainのバリデーターが感染拡大を防ぐためにブロック生成を一時停止するという措置を取ったことは象徴的だ。これは被害拡大を防ぐための賢明な判断だったが、同時に、分散化を掲げるDeFiが、危機に際しては中央集権的な介入を必要とするという矛盾も示している。
第二に、リスク管理インフラの未整備である。Cork Protocolの匿名開発者Robdog氏が言うように、「より良いリスク管理インフラを開発する必要がある」。伝統的な金融市場には、サーキットブレーカーや中央銀行による流動性供給といった、危機を食い止めるためのセーフティネットが幾重にも張り巡らされている。DeFiが真に成熟するためには、分散化の思想と両立する形での新たなリスク管理メカニズムの構築が急務となるだろう。
そして最後に、避けられない規制強化の波である。これほど大規模なハッキング事件は、間違いなく世界中の規制当局の注目を集める。特に米国では、DeFiプロトコルに対する規制の枠組み作りが進められている最中であり、今回の事件はその動きを加速させる可能性が高い。業界オブザーバーは、政策立案者が暗号資産と伝統的金融システムの統合が進むことへのリスクをこれまで以上に深刻に受け止め、より厳しい規制を導入する口実としてこの事件を利用することを懸念している。
DeFiは、中央集権的な管理者を必要としない、透明で効率的な金融システムを約束する革新的な技術であることに疑いはない。しかし、Balancerの悲劇は、その理想がいまだ道半ばであり、その道程には計り知れないリスクが潜んでいることを我々に痛感させた。投資家、開発者、そして規制当局は、この痛ましい教訓から学び、「監査」という言葉の真の意味を再定義し、より強靭で持続可能な分散型金融の未来を築くための対話を始めなければならない。その道のりは、決して平坦ではないだろう。
Sources