“2つの事件”から読み解くDeFiが直面するリスク構造の推移

サマリ

1.信頼設計の脆弱性と巨額被害

2026年4月に発生したDriftとKelpのハッキング事件では、計約6億ドルの資産が流出した。原因はコードの欠陥ではなく、人間の信頼関係や外部システムへの依存など、「コードの外側」にある信頼設計の脆弱性に起因する。

2.巧妙な多段階攻撃の具体例

Driftではソーシャルエンジニアリングで管理権限が奪われ、Kelpでは外部通信システムの連携不備とサーバー乗っ取りが悪用された。単一のバグではなく、運用の隙を突いた大胆かつ巧妙な多段階攻撃が行われた点が共通する。

3.リスク構造の推移と多層防衛

DeFiのリスクはコードのバグから運用やデータ検証などの信頼設計全体へと移っている。今後は設定確認の徹底に加え、EDR導入や端末分離、セキュリティ研修などの多層の防衛策を講じ、攻撃者に隙を与えない対策が不可欠である。

2026年4月、DeFiエコシステムを揺るがす2つのハッキング事件が立て続けに発生しました。「Drift（ドリフト）」、「Kelp（ケルプ）」が相次いで攻撃を受け、それぞれ約3億ドル規模の資産が失われました。

読者の多くはこうした事件を聞くと、まずスマートコントラクトの欠陥を思い浮かべるかもしれません。しかし、今回の事例で目立ったのは、“DeFiが依然として人間の信頼関係や外部システムへの依存の上に成り立っている”ということでした。問題はコードの内側にとどまらず、その外側にある運用や接続先の設計にも広がっていたのです。

本稿では、DriftとKelpという2つの事件から、今のDeFiが直面するリスクの重心がどこに移っているのかをみていきます。