AI生成コードのミスにより数百万ドル規模のDeFi流出事件が発生

エラーの原因をさらに掘り下げると、スマートコントラクトの中核ロジックに埋め込まれた数学的数式のミスという、より深刻な問題が明らかになりました。SlowMistの創設者であるCos氏によれば、この基本的な価格フィードの計算ミスが、攻撃者にシステム的な不均衡を突かれる道を開いてしまったとのことです。この事件は、最も複雑なDeFiシステムでさえAIの失敗によって崩壊しうること、そしてその危うさを如実に示す証拠となりました。

MoonwellのGitHubリポジトリやプルリクエストを精査した結果、問題のコードはClaudeモデルと人間の開発者によって共同で作成されたことに疑いの余地はありませんでした。AI支援によるコーディングへの過信が、重要な監査プロセスを曖昧にし、何十億ドルもの取引高を誇るプラットフォームをサイバー犯罪者にとって格好の標的へと変えてしまいました。この事件は、生成型AIをミッションクリティカルなアプリケーションに統合するすべてのチームへの警鐘となります。

AIのリスクと開発者による監督の必要性

業界関係者は、この出来事を「vibe-coding」時代初の大規模ハッキングと呼んでいます。開発スピードを優先するあまり、Claudeのようなモデルに多くの開発権限を委ね、十分な手動レビューや堅牢なセキュリティチェックを行わなかったことが、重大な脆弱性を生み出しました。Moonwellの悪用事件は単なる金銭的損失にとどまらず、今やテック業界全体で台頭している次世代コード生成モデルの信頼性に疑問を残しました。

Pashov氏やCos氏のようなセキュリティ専門家は、自律型システムによるスマートコントラクト作成の容易さが、予測不能かつ時に壊滅的な数学的ミスをもたらすことを警告しています。価格計算フローのほんの小さな小数点のズレや掛け算ミスが、数秒で数百万ドルを消し去るのに十分でした。この出来事は、AIがどれほど有望であっても、高リスクな金融インフラを単独で担うにはまだ「未熟」であることを鮮明に示しています。

この事件を受けて、教訓は明らかです。「人間中心の監督」が依然として最も重要であるということです。生成型モデルがどれだけ進化しても、プロの監査人による綿密なレビューこそが、エラーの許されないDeFiにおける最強の安全策です。Moonwellの侵害は、AIが開発中に「幻覚」を起こした最も高額な実例の一つとして、そして現実の金融被害と共に、長く記憶されることになるでしょう。