AI(人工知能)ツールの急速な進化により、暗号資産(仮想通貨)のセキュリティ監査の有効性がこれまで以上に短期間で失われつつあると、複数のセキュリティ研究者が警告しています。ハッカーはAIを利用して脆弱性を迅速に特定し、すでに活動を停止したDeFi(分散型金融)プロトコルのコードベースからも数百万ドル規模の顧客資金を流出させています。本稿では、このセキュリティ監査の有効期限短縮の背景と、Web3業界が直面する新たな脅威について解説します。
AIがもたらすセキュリティ監査の形骸化と再監査の必要性
AIツールの進化により、ハッカーがスマートコントラクトの脆弱性を発見・悪用するスピードが劇的に向上しているとされています。これにより、過去に実施された一度限りのセキュリティ監査の有効期限が大幅に短縮されていると専門家は警鐘を鳴らしています。
ブロックチェーンセキュリティ企業の専門家らによると、AIの普及によって、古いフォークやメンテナンスが不十分なコード、過去に引き継がれたコードパスなどのレガシーコントラクトを探索することが、より安価に、迅速に、かつスケーラブルになっていると指摘されています。このため、一度の監査で安全が保障されるという従来のセキュリティモデルはもはや通用しないとされており、継続的な監査や再監査の実施が推奨されています。
活動停止したDeFiプロトコルを狙う新たなハッキング手法
ハッカーの矛先は、現在稼働しているプロトコルだけでなく、すでに活動を停止したDeFiプロトコルのコードベースにも向けられています。
セキュリティ企業の報告によると、ハッカーはAIツールを駆使して、閉鎖されたプロトコルのコードベースに眠る脆弱性を突き止め、数百万ドルにのぼる顧客資金を流出させています。具体的な事例として、閉鎖から3年が経過していたAztec Connectが210万ドルのハッキング被害に遭ったほか、閉鎖から6ヶ月後のmySwapから30万ドルが流出するなどの被害が報告されています。稼働していない、あるいは管理が放置された古いインフラであっても、資金が残されている場合はハッカーにとって格好の標的となるため、開発元や運営主体による徹底したコードの管理や資金回収措置が求められます。
AIを用いた脆弱性発見の具体例と業界への影響
AIの能力向上は、ハッカーだけでなく防御側であるセキュリティ研究者にとっても強力な武器となっています。例えば、Zcash Shielded Labsのエンジニアは、AIモデルをベースにしたカスタム監査エージェントを使用し、Orchardプールに4年間存在していた脆弱性を発見することに成功したとされています。
しかし、DeFi市場全体で現在720億ドル以上の預かり資産(TVL)が存在していることから、ハッカー側がAIを悪用して脆弱性を探し出す動機は極めて高い状態が続いています。セキュリティの専門家は、ローンチ後の脆弱性の窓が最も大きく開いていると強調し、古いインフラであっても再監査を標準的な運用プロセスとして組み込むべきだと訴えています。
ポイント
- AIツールの進化により、スマートコントラクトの脆弱性を発見するスピードが加速し、過去のセキュリティ監査の有効期限が短縮されています。
- 一度監査を受ければ安全という従来の常識は通用しなくなりつつあり、専門家は継続的な監査や再監査の実施を推奨しています。
- 活動を停止したDeFiプロトコルのコードベースもハッカーの標的となっており、閉鎖後に数百万ドル規模の資金が流出する被害が発生しています。
- AIを用いた脆弱性の探索・攻撃が進む一方で、防御側においてもAIを活用して長年放置されていた脆弱性を発見する試みが進められています。