Moonwellのような貸借プロトコルでは、ユーザーはcbETHなどの資産を担保として預け入れることで、他のトークンを借りることができる。市場が下落し、担保の価値が下がった場合、担保の価値＜借入額となると、システムは自動的にポジションを清算し（ユーザーの資金総額をもとに）、借金を返済し、割引価格で担保を差し押さえる。

事件前、MoonwellのcbETH市場は資金が潤沢で担保も多かったが、預言機のテストが不十分で、一つの乗算ステップが抜けていたため、価格が大きく誤って表示され、リスクが急激に拡大した。

二、事件分析：AIがコードの一部を誤って記述

今回の事件は、業界初のVibe Coding（AI支援コーディング）によるオンチェーンのセキュリティ事故であり、その核心は低レベルながら致命的な預言機設定の脆弱性にある。

1. 脆弱性の原因

この事故の根本原因は、預言機によるcbETH資産の誤った価格付けにある。cbETHは流動性の高いステーキングトークンで、その価値には累積されたステーキング報酬も含まれる。通常、1cbETHは約1.12ETHに交換できるとされている。

したがって、正しいドル価格の計算式は次の通りだ：

cbETHのドル価格＝（cbETHとETHの交換比率）×（ETHのドル価格）

例を挙げると、1cbETH ≈ 1.12ETH、かつ1ETH ≈ 2200ドルの場合、1cbETHの実際の価値は約2464ドルとなる。

しかし、AIツールClaudeが生成したコードでは、十分なロジック検証が行われておらず、cbETHの価格源をcbETHETH_ORACLEに直接指定してしまった。このデータソースはcbETHとETHの「交換レート」（つまり1.12）しか提供できず、ETHのドル価格は取得できない。

この重要な乗算ステップを抜かした誤りにより、プログラムは「レート」をそのまま「ドル価値」と誤認し、もともと2400ドル超の資産をシステム上では1.12ドルと誤って表示してしまった。これにより、価格は99.9%以上も過小評価され、実際の価値と約2000倍の乖離が生じた。

2. 攻撃の再現

資産の大幅な過小評価により、多くの正常なユーザの担保ポジションが「資金不足」と誤判定された。攻撃の全過程は非常に効率的で、自動化された特徴を持つ。

2026年2月16日午前2時1分（UTC+8）：MIP-X43提案の実行完了とともに、Baseチェーン上で誤ったcbETH預言機が有効化された。

オンチェーンの清算ロボットは利益機会を監視し、瞬時に少額のUSDCをフラッシュローンで借り入れ、非常に低コストで借り手の借金を返済（システムは1cbETHが1ドル台と誤認しているため）し、清算権を獲得。

高価値のcbETH担保を差し押さえた後、ロボットは即座にDEXで市場価格で売却し利益を得る。数台のロボットがわずか数分の間に連続操作を繰り返し、合計で1,096.317枚のcbETHを差し押さえた。

この攻撃は、事前に計画されたハッカーによるものではなく、清算ロボットが馬鹿げたコードを実行しただけだ。従って、「泥棒」と呼べる者はいない。では、この空から消えた178万ドルの巨額資金は一体誰の懐に入ったのか？次の資金の流れ次第だ。

三、資金の流れ：ハッカーはいない、アービトラージャーだけだ

従って、従来のハッカーはいない。この空から消えた178万ドルは一体誰の懐に入ったのか？

答えは：清算ロボットを展開した裏のアービトラージャーだ。

清算ロボットは、空から生まれるわけではない。実際のプログラマーやクオンツチーム（MEV探索者）が作成し、ブロックチェーン上に展開した自動化スクリプトである。システムがAIの計算ミスで2400ドルの資産を1ドル台のゴミ価格で「合法的に安売り」した瞬間、これらのハンターのようなロボットは瞬時にチャンスを捕らえた。

彼らは自動的にユーザーの帳簿上の1ドル超の借金を返済し、高価値の担保を奪い、実市場価格で売却。結果的に、約178万ドルの差額はすべてロボット所有者の個人暗号資産ウォレットに流入した。彼らはシステムの脆弱性を利用し、合法的にこの百万ドル規模の利益を得た。

この事件では、システムは合計11種類の資産に損失を被った。具体的な損失額は以下の通り。

事後、Moonwellチームは迅速に貸借と清算機能を停止し、新たな修正提案を提出して預言機のパラメータを再設定した。信頼回復のため、プロトコルは資金庫から資金を取り出し、178万ドルの損失を埋め合わせ、被害を受けたユーザーに全額補償を行った。

四、AI主導の時代：効率化か、それとも安全性の危機か？

事件後、多くの議論は「Claudeが致命的な脆弱性を書いた」となるが、客観的に見れば、この178万ドルの責任をAIに押し付けるのは少々不公平だ。

この脆弱性は、決して高度なものではなく、非常に単純な設定ミス、すなわちレートの乗算を一つ抜かしただけの話だ。

正直なところ、この種の初歩的なミスは、人間のプログラマーでも起こり得る。

本当に致命的なのは、プロジェクトの監査・管理体制が機能していなかった点だ。リリース前に、「価格が合理的かどうか」を手動で検査する工程がなかった。正しい指示を出せば、AIはこれらの誤り防止用テストケースもきちんと書き上げることができる。

つまり、今回の失敗の最大の教訓は、「AIはコードを書けないわけではない」ということではなく、人間が迅速さを優先し、最も重要な監査・検証の段階を疎かにしたことにある。

AIはどれだけ便利でも、多額の資金に対しては無知であり、責任も取れない。AIは人間の代替にはなり得ず、あくまで非常に便利なツールに過ぎない。人間がAIを使いこなし、AIに支配されるのではなく、あくまで人間がAIをコントロールすべきだ。

五、最後に：AIがコードを書くときこそ、人間はより警戒すべきだ

Moonwellのこの事件は、根本的に複雑なものではなく、トップクラスのハッカーや高度な脆弱性、複雑な攻撃も存在しなかった。ただ、AIが一部のコードを誤って書き、人間もそれを見逃しただけだ。

しかし、ブロックチェーンの世界では、一つのコードのミスが数百万ドルの現金に直結する。DeFiの世界では、コードはルールそのものであり、そのルールがチェーン上に書き込まれると、機械は躊躇なくそれを実行する。ますます多くのプロジェクトが「Vibe Coding」に依存し始める中、コードの監査とリスク管理こそが最後の防衛線となるべきだ。

技術はますます自動化されるが、安全性だけは自動化してはいけない。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

暗号ハッキングがウォール街のトークン化論争に火をつける

執行措置セキュリティインシデント

注目度の高い暗号資産のエクスプロイトはDeFiのリスクを試すものの、トークン化を大きく崩壊させる可能性は低い；機関投資家は許可制チェーンを好む一方で、より広範なトークン化はDeFiと相互運用できる必要がある；ステーブルコインは精査に直面しており、規制当局からの反発が起こる可能性もある。

CryptoFrontier8時間前

SuiのハックでVolo Protocolが3.5百万ドルを喪失、損失を吸収しハッカーの資金を凍結する方針

セキュリティインシデント

Gate Newsメッセージ、4月22日 — Sui上のイールド・バルト運営者Volo Protocolは、昨日 (4月21日)、3.5百万ドル規模のエクスプロイトの後、盗まれた資産の凍結を開始したと発表した。ハッカーはVolo VaultsからWBTC、XAUm、USDGを略奪し、同セクターにとって歴史的に深刻な月における最新の主要なDeFiセキュリティ侵害となった

GateNews12時間前

フランスの家族が武装した自宅侵入事件後に $820K 暗号資産で送金を強要される

地政学セキュリティインシデント

Gate Newsのメッセージ、4月22日 — フランス・ブルターニュ地方の小さな町プルダルメゾーで、月曜日 (4月20日) に、2人の武装した覆面の男が一家に侵入した。これは The Block による報道によるもの。3人の成人は3時間以上縛られ、およそ70万ユーロ (約82万ドル) を暗号資産として攻撃者が管理するウォレットへ移すことを強要された。容疑者は車で逃走し、車両はその後ブレストで警察により回収されたが、逮捕はまだ行われていない。この事件はフランスにおけるより広範な傾向の一部だ。フランスの司法警察は、今年これまでに暗号資産に関連した誘拐または強盗事件を40件以上記録しており、2025年の約30件から増加している。これまでの被害者には、配信者の家族、大手暗号資産取引所の幹部、そして女性の裁判官が含まれていた。

GateNews13時間前

DOJ、OneCoin詐欺被害者向けの補償プロセスを開始、回収済み資産として$40M+が利用可能

執行措置セキュリティインシデント

Gate Newsのメッセージ、4月22日 — 米国司法省は、OneCoin暗号資産詐欺スキームの被害者に対する補償プロセスの開始を発表しました。回収済み資産として $40 百万ドル超が、今や配分のために利用可能です。このスキームは、2014年から2019年の間にルジャ・イグナトヴァとカール・セバスチャン・グリーンウッドによって運営され、世界中の投資家から十億ドル超をだまし取っていました。OneCoinは、グローバルなマルチレベルマーケティングのネットワークを通じて正当な暗号資産として宣伝されていましたが、後に、虚偽の主張と誤認を土台にした詐欺的な事業として暴露されました。当該期間にOneCoinを購入した被害者は、いまや損失の一部を回収できる可能性があります。請求は、司法省の資産没収プログラムが管理する公式の請願システムを通じて、6月30日までに提出する必要があります。法務省は、公式の補償プロセスに参加するために支払いは不要だと強調し、二次的な詐欺に対して被害者が警戒を続けるよう注意喚起しています。

GateNews14時間前

AI16Z、ELIZAOSの制作者が26億ドル詐欺疑惑で訴えられる；最高値からトークンが99.9%下落

執行措置セキュリティインシデント AI業界ニュース AIトークン

米国の集団訴訟で、AI16Z/ELIZAOSが偽のAI主張と欺瞞的なマーケティングを通じて26億ドル規模の暗号資産詐欺を行ったと告発。内部者の便宜を図った疑いと、仕組まれた自律型システムを主張しており、消費者保護法に基づく損害賠償を求めている。要約：本レポートは、4月21日に提出されたSDNY（ニューヨーク南部地区）の連邦集団訴訟について扱う。訴訟では、AI16Zとそのリブランド版であるELIZAOSが、偽のAI主張と欺瞞的なマーケティングを伴う26億ドル規模の暗号資産詐欺を行ったとして告発されている。訴状は、Andreessen Horowitzとの“作為的な結びつき”と、自律性のないシステムの運用を主張する。2025年初頭における最高評価、99.9%の急落、そして約4,000件の損失を被ったウォレット、さらに内部者が新規トークンの約40%を受け取ったことが詳述されている。原告らは、ニューヨーク州およびカリフォルニア州の消費者保護法に基づき、損害賠償と衡平的救済を求めている。韓国の規制当局や大手取引所は、関連する取引について警告または停止措置を講じている。

GateNews15時間前

SlowMistの警告：暗号資産ユーザーを狙う、アクティブなMacSync Stealer macOSマルウェア

セキュリティインシデント

SlowMistは、macOS向けのMacSync Stealer (v1.1.2)がウォレット、認証情報、キーチェーン、インフラキーを盗むことについて警告しています。偽装したAppleScriptのプロンプトと、偽の「unsupported（未対応）」エラーを使用します。注意と、IOCへの認識を促しています。概要：本レポートは、SlowMistのMacSync Stealer (v1.1.2)に関するアラートを要約します。このマルウェアは、暗号資産ウォレット、ブラウザの認証情報、システムのキーチェーン、インフラキー (SSH、AWS、Kubernetes) を狙うmacOS情報窃取型です。ユーザーに対し、偽装したAppleScriptのダイアログでパスワードの入力を促し、目に見える偽の「unsupported」メッセージを表示して欺きます。SlowMistは顧客向けにIOCを提供し、検証されていないmacOSスクリプトを避け、異常なパスワードプロンプトに対して警戒を続けるよう助言しています。

GateNews16時間前

0/400

コメントなし