DeFiプロトコルのWasabi Protocol(ワサビ・プロトコル)において、管理者鍵の侵害を原因とする約500万ドルの不正流出が発生しました。この攻撃は4つのブロックチェーンにまたがって行われており、DeFi業界におけるAI(人工知能)を活用したハッキング手法の脅威について改めて議論を呼んでいます。今回の事案は、攻撃者がAIを用いて脆弱性を効率的に特定しているという説を裏付けるものとして、業界内で重要視されています。
管理者鍵の侵害によるマルチチェーンでの被害
Wasabi Protocolは、イーサリアム(Ethereum)、Base、Berachain、およびBlastの4つのネットワーク上で、合計500万ドル(約7.8億円)を超える資産を失いました。セキュリティ企業の分析によると、攻撃者はプロトコルの管理者鍵(Admin Key)を侵害し、デプロイヤーウォレット(コントラクトを配備・管理する権限を持つアドレス)へのアクセス権を取得したとされています。
この権限を悪用した攻撃者は、コアコントラクトを不正にアップグレードし、保管されていた資金を外部へ流出させました。流出した資産にはWETH、USDC、および複数のミームトークンが含まれており、最終的にイーサリアムネットワーク上で集約されたと報告されています。Wasabi Protocolチームは現在調査を進めており、ユーザーに対して当面の間、同プロトコルのコントラクトを利用しないよう呼びかけています。
加速する「AI主導型ハッカー」の脅威
今回の事件は、ハッカーがAIを駆使してDeFiプロトコルの脆弱性を特定・攻撃しているという「AI主導型ハッカー理論」の議論を加速させています。セキュリティ専門家の間では、AIが古いコードやメンテナンスが不十分なスマートコントラクトを高速でスキャンし、人間が見落とすような脆弱性を効率的に発見しているとの見方が強まっています。
最近の研究では、AIエージェントが1コントラクトあたりわずか1.22ドル程度のコストで脆弱性を特定できる可能性も示唆されています。Wasabi Protocolのような複数のチェーンに展開されているプロトコルが短期間で標的となったことは、AIによる自動化された偵察活動が行われている可能性を示唆するものと見られています。攻撃側がAIという「武器」を手にしたことで、従来のセキュリティ対策の限界が露呈しつつあります。
2026年4月のDeFiセキュリティ状況と業界への影響
2026年4月はDeFi業界にとってセキュリティ上の大きな転換点となっており、業界全体の流出総額は6億ドル(約940億円)を超えています。Wasabi Protocolのほかにも、Kelp DAOやDrift Protocolといった複数のプロジェクトが大規模な攻撃を受けています。
専門家は、攻撃側の能力が防御側のツールを上回るスピードで向上していると指摘しています。特にAIを活用した攻撃手法は、攻撃のコストを下げ、スピードを劇的に向上させるため、従来の「一度の監査で安全」というセキュリティモデルが通用しなくなっている可能性が指摘されています。今後は、防御側もAIを活用したリアルタイムの監視や継続的な脆弱性診断を導入することが、業界標準になると見られます。
ポイント
- Wasabi Protocolが管理者鍵の侵害を受け、4つのチェーンで500万ドル以上の流出被害が発生しました。
- 侵害された鍵を用いてコントラクトが不正にアップグレードされ、資金が抜き取られる手法が取られました。
- この事案により、AIが脆弱性の特定や攻撃の自動化に利用されているという理論が改めて注目されています。
- 2026年4月だけでDeFi業界の被害額は6億ドルに達しており、AI時代の新たなセキュリティ対策が急務となっています。
- AIによる脆弱性診断の低コスト化により、メンテナンスが不十分なプロトコルや小規模なプロジェクトへのリスクが高まっています。