2026年4月、分散型金融 (DeFi) の世界は激震に見舞われています。

Drift ProtocolやKelpといった主要なプロトコルを襲った大規模なハッキング事件は、累計で約6億ドル (約900億円) という天文学的な損失をもたらしました。

この危機を受け、Fantomの生みの親として知られ、現在はFlying Tulipを率いるアンドレ・クロンジェ (Andre Cronje) 氏が投じた一石が、業界内で波紋を広げています。

クロンジェ氏は、現在のエコシステムを「もはや純粋なDeFiではない」と断じ、プロトコルの安全性と分散化の定義を根本から問い直しています。

目次 [ close ]
  1. 不変のコードから営利企業へ:クロンジェ氏が指摘するDeFiの変質
  2. 安全装置「サーキットブレーカー」を巡る技術的・思想的対立
    1. クロンジェ氏の主張:現実的な対応時間の確保
    2. マイケル・エゴロフ氏の懸念:新たな「人的脆弱性」の創出
  3. 2026年4月の主要エクスプロイトとその教訓
  4. 金融機関の視点:DeFi Unitedによるレジリエンスの証明
  5. まとめ

不変のコードから営利企業へ:クロンジェ氏が指摘するDeFiの変質

かつてのDeFiは、一度デプロイされたら誰にも変更できない「不変のスマートコントラクト」によるパブリック・グッド (公共財) として設計されていました。

しかし、現在の主要なプロトコルの多くは、アップグレード可能なコントラクト、オフチェーンのインフラ、そして運営チームによる強力な管理権限を備えています。

クロンジェ氏は、この現状を「厳密な意味でのDeFiではなく、営利目的の企業が運営するビジネスである」と指摘しました。

多くのプロジェクトは、プロキシ契約によるコードの変更や、マルチシグ (複数署名) による管理、管理者プロセスに依存しており、初期のDeFiが掲げた「コードこそが法である (Code is Law)」という理念から遠ざかっているというのです。

この変化は、セキュリティモデルの根本的な変容を意味します。

かつてはスマートコントラクトのバグさえ防げば安全だと信じられていましたが、現代のシステムにおいては、インフラへのアクセス権限やソーシャルエンジニアリングといった、伝統的なWeb2領域の脆弱性が最大の脅威となっています。

安全装置「サーキットブレーカー」を巡る技術的・思想的対立

直近のハッキング事件を受けて、Flying Tulipは独自の「サーキットブレーカー」を導入しました。

これは、異常な資金流出を検知した際に、一時的に出金を遅延させたりキューに並べたりする仕組みです。

しかし、この仕組みの導入を巡って、DeFi界を代表するビルダーたちの間で意見が真っ向から対立しています。

クロンジェ氏の主張:現実的な対応時間の確保

クロンジェ氏によれば、サーキットブレーカーの目的は「出金を永久にブロックすること」ではなく、「チームが異常事態に反応するための時間を作ること」にあります。

  • 反応時間の確保: 異常検知から約6時間の窓口を設けることで、攻撃の拡散を食い止める。
  • 多層防御の重要性: コントラクト監査、タイムロック、マルチシグに続く、新たな「防衛レイヤー」として位置づける。
  • 運用の現実: 小規模なチームや地理的に分散したチームの場合、事態の把握と対応には12時間から24時間が必要になることもある。

クロンジェ氏は、「セキュリティは常に階層的なアプローチであるべきであり、これ一つで無敵になれる魔法の杖ではない」と強調しています。

マイケル・エゴロフ氏の懸念:新たな「人的脆弱性」の創出

一方で、Curve Financeの創設者であるマイケル・エゴロフ (Michael Egorov) 氏は、この手法に対して慎重な姿勢を崩していません。

エゴロフ氏は、サーキットブレーカーが「中央集権的な単一障害点」になりかねないと警告しています。

エゴロフ氏の主張の核心は、「緊急制御機能そのものが攻撃対象になる」という点にあります。

もしサーキットブレーカーを管理する署名者の鍵が奪われれば、本来の保護機能が悪意のある資金凍結や、さらなる資産流出を助長するツールへと変貌してしまうリスクがあるからです。

同氏は、長期的な解決策として、手動の介入を必要とせずに安全に稼働し続ける「真の分散化」こそがDeFiの進むべき道であると説いています。

2026年4月の主要エクスプロイトとその教訓

今回の議論の背景には、4月に発生した極めて深刻な被害があります。

以下の表は、今回の議論を加速させることとなった主要な事件の概要です。

プロトコル名推定損失額主な原因影響を受けたエコシステム
Drift Protocol約2億8,000万ドルインフラアクセスの侵害Solanaエコシステム
Kelp (rsETH)約2億9,300万ドルオフチェーン依存関係の不備Ethereum, Aave, LayerZero

これらの事件の共通点は、スマートコントラクト自体のバグによるものではなく、多くが中央集権的な管理体制やオフチェーンの脆弱性を突かれたものであるという点です。

エゴロフ氏が指摘するように、AaveやLayerZeroのスマートコントラクト自体は堅牢でしたが、それらが依存していた外部のインフラや人的プロセスが「弱点」となりました。

金融機関の視点:DeFi Unitedによるレジリエンスの証明

こうした混乱の中でも、市場には楽観的な見方も存在します。

スタンダードチャータード銀行は最新の調査レポートの中で、Kelp事件を「DeFiの成長痛」と表現しました。

その根拠として挙げられたのが、ハッキング発生後に迅速に結成された「DeFi United」連合の存在です。

この連合は、Aaveなどの主要プロジェクトが連携し、被害を受けた資産の裏付けを回復するために、わずか数日で3億ドル以上の資金を調達またはコミットしました。

さらに、開発が進む「Aave V4」や「Ethereum Economic Zone (イーサリアム経済圏)」といった次世代の構想は、攻撃の最大の標的となりやすいブリッジへの依存を減らす構造的改革を含んでいます。

大手金融機関は、こうした構造的なアップグレードと、業界全体の迅速な相互扶助メカニズムが、DeFiをより強固な金融システムへと進化させていると分析しています。

まとめ

アンドレ・クロンジェ氏が投じた「今のDeFiはもはやDeFiではない」という言葉は、理想と現実の狭間で揺れる業界への警鐘です。

ユーザー資産を守るために、中央集権的な「サーキットブレーカー」という妥協を受け入れるべきか、それともエゴロフ氏が提唱するように、あらゆる人的リスクを排除した「真の分散化」を追求し続けるべきか。

2026年のDeFi業界は、単なるコードの書き手から、高度なリスク管理とガバナンスを備えた成熟した金融主体への変革を迫られています。

今回のサーキットブレーカーを巡る議論は、DeFiが「実験場」から「信頼に足るインフラ」へと脱皮するための避けては通れないプロセスと言えるでしょう。

今後、各プロトコルがどのような防衛策を選択し、いかにして「分散化の理念」と「ユーザー保護の現実」を両立させていくのか。

その答えが、次世代の分散型金融の姿を決定づけることになります。