スマートコントラクト監査サービスでセキュリティを強化!国内事例からリスク回避を学ぶ|Web3 Security Mag

スマートコントラクト監査サービスは、セキュリティを高め、重大なインシデントのリスクを回避するために重要な役割を果たしています。大手監査プラットフォームのCertiKによると、2024年にはハッキングによってWeb3業界全体で約23.6億ドル(約3,500億円)の被害が発生しました。

国内では、スマートコントラクトの脆弱性に起因するインシデントを防ぐため、様々なサービスが展開されています。本記事では、スマートコントラクトで監査が必要な理由から、最新の監査サービス事例までを紹介します。

この記事でわかること

  • スマートコントラクトの監査の必要性がわかる
  • スマートコントラクトの脆弱性に起因するハッキング事例がわかる
  • スマートコントラクト監査のための準備ステップがわかる
  • 最新のスマートコントラクト監査サービス事例がわかる
Kenta Akutsu

寄稿者Kenta Akutsu(Bunzz CEO)

■CEO / Kenta Akutsu プロフィール
2019年 経産省主催「ブロックチェーンハッカソン2019」にてコンピュータ・ソフトウェア協会賞、副賞をW受賞。同年8月、web3スタートアップとしてLasTrust株式会社を創業。2021年に1stプロダクト「CloudCerts」を上場企業に事業売却。2022年 Bunzz pte ltd創業。2ndプロダクトとして「Bunzz」をローンチ。主にブロックチェーン領域における新規事業開発の統括、ドリブンを主なフィールドとしてバリューを提供。

【登壇歴】
金融庁・日本経済新聞社主催「FIN/SUM BB 2020」、
文科省主催「スキームD」(文科省公認ピッチアクター)

【受賞歴】
B Dash Crypto 2022 Web3ピッチ優勝
日経BP「スタートアップス」にて「VC・CVCが選んだ92社」にノミネート
『Unicorn Pitches Japan』 ブロンズ受賞
総務省後援『ASPIC IoT・AI・クラウドアワード2020』審査委員会賞
経産省主催『ブロックチェーンハッカソン2019』受賞
『世界発信コンペティション2021』 受賞

▶︎Coincheckの無料登録はこちら

目次

スマートコントラクトとは?

スマートコントラクトとは

スマートコントラクトとは、人の手を介さずに契約内容を自動で実行してくれる仕組みのことです。


1994年に法学者/暗号学者のニック・スザボによって提唱され、イーサリアム(ETH)の考案者のヴィタリック・ブテリンが、ブロックチェーン技術を利用して開発・提供を始めたコンピュータプロトコルです。


スマートコントラクトでは、契約内容とその実行条件をあらかじめプログラムしておくことが可能です。イーサリアムには、ビットコイン(BTC)と同じようにブロックチェーン技術が用いられていますが、このスマートコントラクトという機能が備わっている点が最大の特徴といえます。

スマートコントラクトとは スマートコントラクトとは?仕組みやイーサリアム(ETH)との関係を理解する
▶︎Coincheckの無料登録はこちら

スマートコントラクトの脆弱性

スマートコントラクトの脆弱性

スマートコントラクトは、ブロックチェーン上のアプリケーションを構築するために必須のプログラムのひとつです。NFTDAODeFiといった様々なプロジェクトは、すべてスマートコントラクトによってルールが自動的に実行されることで成り立っています。人の手を介さずに契約を実行できることが、この仕組みの大きな特徴です。


しかし、通常のソフトウェアと異なり、スマートコントラクトは利用者やプロジェクトの資産を直接扱うことができます。つまり、コードに脆弱性が含まれている場合、その不具合がそのまま資金の不正流出やシステムの停止につながる可能性があるのです。このように、スマートコントラクトに潜む脆弱性は、資金の不正な引き抜きなどのトラブル、場合によってはプロジェクト全体の破綻を招くリスクを意味します。

ブロックチェーン事業におけるハッキングの被害額

ブロックチェーン事業におけるハッキングの被害額

引用:The Web3 Security Report for 2024


大手監査プラットフォームのCertiKによると、Web3.0関連のハッキングや詐欺の2024年の被害件数は760件、被害額は約23.6億ドル(約3,500億円)にのぼると報告されています。


ブロックチェーン事業におけるハッキングの被害額

引用:The Web3 Security Report for 2024


なかでも、イーサリアムはインシデントの発生件数が2024年中もっとも多く、403件の事例で約7.5億ドルの被害があったとまとめられています。

スマートコントラクトの脆弱性が原因で発生した代表的な事例

スマートコントラクトの脆弱性が原因で発生した代表的な事例

スマートコントラクトの脆弱性が原因で発生したインシデントとして、代表的な事例を3つ紹介します。

The DAO:被害額約52億円相当

The DAO:被害額約52億円相当

The DAOとは、イーサリアム(ETH)上のプロジェクトである分散型自律組織です。投資先をファンド参加者の投票で決め、利益が上がれば投資者に配分するというシステムを採用していました。


2016年5月にICOを開始し、当時のICO額としては最高の約150億円もの資金を集めました。The DAOは、投資家が預けている資金をDAOから切り離して新しいDAOを作成できる、「スプリット」という機能を持っていました。通常、このスプリットは一度行うと処理が完了しますが、資金の移動が完了する前に何度もスプリットを繰り返すことができるというバグ(リエントランシー)が発生しました。The DAOのICOではこの脆弱性が悪用され、集めた資金の3分の1以上にあたる約360万ETH、当時の価格で約7,000万ドル(約52億円相当)の額が盗まれる事件が発生しました。

Bancor:被害額約15億円相当

Bancor:被害額約15億円相当

引用:Bancor


Bancor(バンコール)とは、2017年にサービスを開始した分散型取引所(DEX)です。日本時間2018年7月9日に公式ツイッターで、Bancorはセキュリティー侵害を受けたことを明かしました。


Bancor:被害額約15億円相当

引用:Bancor(@Bancor)-X


盗まれた通貨はイーサリアム(ETH)をはじめとした複数の通貨で、被害額は約2,350万ドル(約15億円相当)にのぼるといわれています。攻撃者は、Bancorのスマートコントラクトがウォレットのアドレスを更新する機能の不備を突き、被害者の送金処理においてウォレットアドレスに自分のアドレスを設定し、トークンを不正に引き出しました。

Wormhole:被害額約370億円相当

Wormholeは、異なるブロックチェーン間で暗号資産をやり取りできるクロスチェーンブリッジを提供しているプロジェクトです。ブリッジとは、チェーンごとに独立して存在している資産を移動・利用できるようにする仕組みを指し、そのなかでもクロスチェーンブリッジは、特に複数のブロックチェーンを相互接続するための技術です。

2022年2月、このブリッジの署名検証に脆弱性があり、攻撃者によりソラナとイーサリアムをつなぐブリッジから約12万ETH(約370億円相当)が不正に流出しました。

この事件は、クロスチェーンブリッジの脆弱性リスクを広く知らしめ、セキュリティ強化の必要性を改めて世間に認識させた事例として知られています。

スマートコントラクト監査の必要性

スマートコントラクトに脆弱性が含まれると、そこに着目した悪意ある者が不正な攻撃を仕掛ける場合があることや、実際にどのような事件が発生したのかを見てきました。

このような事態を防ぐため、スマートコントラクトの世界では、外部の専門家による監査(Audit)と呼ばれるセキュリティチェックを実施することが一般的になっています。監査によってコードの安全性を確認し、利用者の資産を守る体制を整えることは、プロジェクト運営にとって欠かせないプロセスです。

ここからは、スマートコントラクト監査を行うメリットや、導入にあたって準備すべきポイントなどについてご紹介します。

スマートコントラクト監査のメリット・注目理由

スマートコントラクト監査を行う最大のメリットは、セキュリティの強化です。専門家によるコードレビューを通じて、潜在的な脆弱性を事前に洗い出し、資金流出やシステム停止といった致命的なリスクを未然に軽減できます。

また、監査を受けることは、利用者や投資家に対する信頼性のアピールにもなります。スマートコントラクトが持つ、「人の手を介さずに契約が実行される」という最大のメリットを実用的に生かすために、プロジェクトの透明性を高め、それによって利用者が安心感を持てることは重要な要素です。

さらに、開発チームにとっても、第三者の視点からコードの品質や設計を改善できる点は大きな価値があります。結果として、長期的に安定した運用が可能になり、プロジェクト全体の評価向上につながります。

スマートコントラクト監査への準備

監査を受ける場合、開発チームで準備をしておくことで、より有意義な監査を受けられます。準備を怠ると、監査で初歩的な指摘が多く入り、余計な時間やコストがかかるため、それを防ぐのが目的です。

以下では、代表的な準備のステップをご紹介します。

1. 要件と仕様の明文化

スマートコントラクトの仕様や、想定する利用シナリオを明確に文書化しておきましょう。要件があいまいなままだと、監査を受けても「正しい動作」が判断できず、抜け漏れのリスクが残ります。

2. コードの最適化

監査で初歩的な指摘を受けないよう、事前にコードの最適化を実施します。

まず、静的解析ツールを使ってよくあるエラーやセキュリティ上の懸念を洗い出し、修正できる部分は事前に対応します。コードのリファクタリング(プログラムの動作は変えずにソースコードを整理して改善すること)も実施することで読みやすさも向上し、監査効率が高まります。

また、余計な処理を減らすことで、スマートコントラクト特有の「ガスコスト」を意識した最適化も重要です。

ここで挙げたような、「自分たちで気づくことができる範囲での最適化」を準備段階で実施しておくことにより、監査コストの削減や、より本質的な部分の監査を受けられるでしょう。

3. 動作環境のチェック

依存関係にあるライブラリや、外部モジュールが最新かどうかをチェックし、環境を整えたうえで動作確認を行います。特に、古いバージョンのライブラリを使い続けると、既知の脆弱性を抱え込むリスクがあるため注意が必要です。

4. 典型的なセキュリティリスクの確認

たとえば、再入可能性攻撃や整数オーバーフローといった、スマートコントラクトの世界でよく知られた攻撃手法がいくつかあります。これらの典型的なセキュリティリスクに対して、適切な対策が組み込まれているかを確認しましょう。セキュリティに関するチェックリストやガイドラインを活用することで、基本的な見落としを減らすことができます。

5. フォーマル検証

さらに高度な手法として、フォーマル検証があります。これは、スマートコントラクトが設計通りに動作することを数学的に証明するアプローチです。実装が正確に仕様を満たしているかを厳密に確認できるため、特に重要な資産や、契約を扱うプロジェクトでは実施を検討する価値があります。

リスクを回避するスマートコントラクトの監査とは?

リスクを回避するスマートコントラクトの監査

スマートコントラクトの監査には特定の知識とスキルが必須のため、専門のサービスを利用する必要があります。ライトなものではBotや静的監査ツールなどがあり、より精度の高い監査を受けるには、個人の監査人やバグバウンティプラットフォーム、そして大手の監査ファームを利用するという方法もあります。それぞれの特徴は下記の通りです。

カテゴリ 概要説明 コスト感 監査の精度
Bot コードのバグや脆弱性を検出できる開発者向けの自動化ツール。コードの改善に使用される
Static analysis tool(Slither等の静的解析ツール) 静的解析を用いてコード内の問題点を分析できる。コードの改善に使用される
フリーランスの監査人 専門知識のある監査人がマニュアルでコントラクトの監査を実施。上記のBotや解析ツールを併用することが多い。 低〜高※依頼者のスキルなどによる 低〜高※依頼者のスキルなどによる
バグバウンティプラットフォーム(Code4rena、Immunefi等) 複数のフリーランスの監査人で構成されるコミュニティで、監査依頼のあったコントラクトを精査する仕組み。バグの発見者に報酬が提供される。 中〜高 中〜高
大手監査ファーム 専門かつ高スキルの監査人が所属する監査会社が綿密なチェックとセキュリティ対策を提供

国内プロジェクトが利用する監査サービスについて

国内プロジェクトが利用する監査サービス

上記の表のようにコストやスコープが大きく異なるため、プロジェクトの種類や規模に合わせて適切なサービスを選ぶ必要があります。


基本的に日本国内では、複雑なDeFiプロジェクトは少なく、NFTやDAO関連のシンプルでリスクが限定的なスマートコントラクト開発がほとんどです。したがって、1監査あたり数百万円以上するケースもある大手監査ファームのサービスを利用する場合は少ないといえます。


一方で、Botや静的監査ツールはあくまで「コードの改善を行うもの」であり、プロダクトレベルの監査とは言い難いため、多くのプロジェクトは個人の監査人(Auditor)、もしくは中堅監査ファームの利用が主流です。

国内の主要なスマートコントラクト監査ファーム「Bunzz Audit」

Bunzz Audit

国内では「Bunzz Audit」という監査ファームがローンチされ、ブロックチェーン関連プロジェクト向けに適切なコストで高精度の監査を提供しています。


同サービスは、従来の大手監査ファームで人間が行っていた脆弱性スキャンの作業を、スマートコントラクトのセキュリティに特化したAIで代替することにより、コストを大幅に削減しつつ、精度の高い包括的な監査を行っています。


価格は1,791ドルから利用可能(2025年9月時点)となっており、大手監査ファームよりも安価で、精度の高い監査を提供しているとのことです。


大手監査ファームよりも安価で、精度の高い監査を提供

Bunzz Auditの実績

国内外の監査を手掛けており、国内発のプロジェクトでは、上場企業が提供するNFTプロジェクトや、LOCKON Finance、Futaba Protocol等に監査を提供した実績があります。Bunzz Auditは無料相談を受け付けており、下記から問い合わせが可能です。

https://9vi3topj6b2.typeform.com/to/EAb8IHmA

Bunzz Auditの実績

▶︎Coincheckの無料登録はこちら

おすすめのスマートコントラクト監査サービス

Bunzz Audit以外の、国内を中心に活動しているスマートコントラクト監査サービスをいくつかご紹介します。

Spize audit:セキュリティの専門家がWeb3.0活用プロジェクトを監査

「Spize audit」は、システム開発会社の株式会社テコテックが展開するスマートコントラクト監査サービスです。ブロックチェーンセキュリティの専門家がスマートコントラクトの設計や実装を監査し、不具合や脆弱性のリスクを検知します。海外を拠点とするプロジェクトの監査経験もあり、実績のあるサービスといえます。

KEKKAI Audit:国内発のスマートコントラクト監査サービス

「全ての人が安心できるWeb3を」というビジョンを掲げ、2023年に設立されたセキュリティ会社です。本社は東京都港区虎ノ門にあり、スマートコントラクトやDAppを対象としたセキュリティチェックを行っています。

デプロイ前のコードを解析し、脆弱性やハッキングのリスクを洗い出したうえで、レポートやセキュリティスコアを報告するサービスを提供しています。日本発の企業でありながら、グローバルに展開するWeb3プロジェクトにも対応できる点が注目されています。

スマートコントラクト監査まとめ

ブロックチェーン関連事業は、攻めだけでなく「守り」も重要です。多くのハッキング事件が起きた歴史を持つWeb3領域において、プロジェクトがセキュリティをケアしているかを利用者は気にしています。将来的なインシデントを未然に防ぎ、安全な運用でビジネスを拡大していきましょう。