ブロックチェーン分析企業のChainalysis(チェイナリシス)は、過去6ヶ月間でソースコードが公開検証されていない未検証のスマートコントラクトから、少なくとも3,670万ドルが盗難に遭ったと報告しました。この背景には、AI(人工知能)を活用したエクスプロイト(脆弱性悪用)開発の急速な進展があるとされています。大規模言語モデル(LLM)の登場により、攻撃者は逆コンパイルされたバイトコードを人間のセキュリティチームでは到底及ばない速度と規模で分析できるようになりました。これまでクローズドソース(非公開)にすることで攻撃を防ごうとしていたプロトコルが、新たな脅威に直面していることから、Web3業界におけるセキュリティ対策の再考が求められています。
AIの進化がもたらす攻撃者優位の構造的変化
Chainalysisの報告によると、攻撃者はAIを活用した分析パイプラインを構築することで、暗号資産の防御者に対して構造的な優位性を獲得しているとされています。
具体的には、大規模言語モデル(LLM)を用いることで、逆コンパイル(機械語から人間が読める形式への変換)されたバイトコードから脆弱性のパターンを特定することが、かつてない規模と速度で可能になりました。
これまで、一部の分散型金融(DeFi)プロトコルなどはソースコードを非公開にすることで、攻撃者にコードを分析されるリスクを回避しようとしていました。しかし、AI技術の発展により、生のバイトコードからリバースエンジニアリングを行うハードルが下がったため、非公開にすることによる防御効果(いわゆる「曖昧さによる安全保障」)は急速に失われつつあると指摘されています。
未検証スマートコントラクトにおけるセキュリティの死角
ソースコードが公開・検証(Etherscanなどのブロックエクスプローラー上で検証)されていないスマートコントラクトは、セキュリティ上の大きな弱点を抱えています。
通常、公開されているスマートコントラクトであれば、ホワイトハット(善意の)セキュリティ研究者や、バグバウンティ(バグ発見報奨金)プログラムの対象、コミュニティのエンジニアなどによる多角的な監視(パッシブな監視)が期待できます。
しかし、未検証のコントラクトにはこうしたコミュニティによる監視の目が届きません。その一方で、ユーザー資金は依然としてスマートコントラクト内に保有されているため、攻撃者にとって格好の標的となっています。Chainalysisの分析では、Ethereum(イーサリアム)、Base(ベース)、Arbitrum(アービトラム)、BNB Chain(BNBチェーン)といったEVM(イーサリアム仮想マシン)互換ネットワーク上のすべての未検証コントラクトが、自動スキャンの潜在的な対象になっているとされています。
Web3ビジネスにおける今後の対策と影響
この新たな攻撃パターンの台頭は、Web3ビジネスを展開する企業や開発者に対し、従来のセキュリティアプローチの見直しを迫るものです。
ソースコードを非公開にすることは、もはや有効なセキュリティ対策とは言えず、むしろコミュニティによる監査やバグ発見の機会を失うデメリットの方が大きくなっていると見られます。
そのため、未検証のコントラクトを展開するプロトコルにおいては、リアルタイムのオンチェーン監視の導入が極めて重要になるとされています。また、攻撃者がAIを用いてスキャンの自動化・高速化を進めるなか、防御側も同様にAI技術などを活用し、脆弱性の検出やインシデント対応の迅速化を図ることが不可欠になると見られます。
ポイント
- 過去6ヶ月間で、未検証のスマートコントラクトを運用するプロトコルから少なくとも3,670万ドルが盗難されたと報告されています。
- 大規模言語モデル(LLM)などのAI技術の進化により、攻撃者が逆コンパイルされたバイトコードを高速かつ大規模に分析できるようになっています。
- ソースコードを非公開にするセキュリティ対策は、AIによる自動スキャン技術の台頭によって急速に効果を失いつつあるとされています。
- 未検証のコントラクトはホワイトハット研究者などによるコミュニティ監視やバグバウンティの対象外となるため、セキュリティ上の死角になりやすいと指摘されています。
- EVMネットワーク上のすべての未検証コントラクトが自動スキャンの標的となる可能性があり、リアルタイムのオンチェーン監視などの対策が重要視されています。