Blockchain
なぜプロトコルは私の資金を管理するコードを警告なしに密かに入れ替えることができるのか?
84
機会
ほとんどのDeFiプロトコルはアップグレード可能なプロキシコントラクトを使用しており、管理者キーがあれば単一のトランザクションで実装全体を置き換えることができる。プロトコルを利用しているユーザーには、アップグレードが保留中であることを検知したり、変更内容を確認したり、新しいコードが有効になる前に資金を引き出したりする信頼できる手段がない。OWASPは2026年版スマートコントラクトTop 10に、プロキシおよびアップグレード可能性の脆弱性を新カテゴリとして追加した。これはコードレベルのバグではなくガバナンスの失敗によって生まれた、初めての追加項目である。2025年12月、Unleash Protocolは攻撃者がマルチシグのガバナンス経路を悪用して不正なアップグレードを強制し、ユーザー資金を流出させたことで390万ドルの損失を被った。差し迫ったアップグレードを十分な猶予をもってユーザーに伝えるための標準は、監査会社・プロトコル・ウォレットのいずれにも存在しない。
重要な理由
予告なしのプロキシアップグレードは、実行された瞬間にはエクスプロイトと見分けがつかず、ユーザーには現時点でその違いを間に合うように判断するための手段が存在しない。
機会をどう評価するか
Opportunity Scoreは測定値ではなく、私自身の見解です。どれほど痛みを伴うか、どれほど頻繁に影響を与えるか、そして今日時点で解決策がいかに少ないか。スコアが高いほど、構築する価値が高いと私は考えています。
深刻度9/10
それが現れたときにどれほどの痛みをもたらすか。
頻度7/10
実際にどれほど頻繁に人々がそれに直面するか。
ホワイトスペース8/10
今日時点で、それに対する優れたツールがいかに少ないか。