2025 年、Web3 世界には壮大なストーリーが不足していない。特に規制の移行完了やステーブルコインのTradFi体系への段階的統合に伴い、「コンプライアンス」「収容」「次段階の秩序再構築」についての議論が、ほぼ今年のメインテーマを形成している(関連記事『2025年グローバル暗号資産規制マップ:収容時代の幕開け、CryptoとTradFiの「融合」1年』)。
しかし、これらの一見高次元の構造変化の背後には、より根本的で長期的に無視されてきた問題が浮上している。それはアカウントそのものが、業界全体のシステムリスクの源泉となりつつあるという事実だ。
最近CertiKが発表した最新のセキュリティレポートは、かなり衝撃的な数字を示している。2025年通年でWeb3において630件のセキュリティインシデントが発生し、総損失額は約33.5億ドルにのぼる。もしこの合計数字だけにとどまるなら、今年もまたセキュリティの厳しさを繰り返す年次報告に過ぎないかもしれないが、事件の種類を詳細に分析すると、より警戒すべきトレンドが見えてくる。
それは、多くの損失が複雑なコントラクトの脆弱性やプロトコル層の攻撃によるものではなく、より原始的で不安を煽る層、すなわちフィッシング攻撃に集中している点だ。年間248件のフィッシング関連事件が発生し、約7.23億ドルの損失をもたらしている。これはコードの脆弱性攻撃(240件、約5.55億ドル)をやや上回る。
言い換えれば、多数のユーザ損失事例において、ブロックチェーン自体に誤りはなく、暗号学も破られていない。取引も完全にルールに則って行われている。
問題の根源は、アカウントそのものにある。
一、EOAアカウントは、Web3最大の「歴史的問題」になりつつある
客観的に見て、Web2もWeb3も、ネットフィッシングは常に資金損失の最も一般的な手段だ。
違いは、Web3ではスマートコントラクトや不可逆実行メカニズムの導入により、一度リスクが発生すると、より極端な結果を招きやすい点にある。これを理解するには、Web3の最も基本的かつコアな要素であるEOA(Externally Owned Account)アカウントモデルに立ち返る必要がある。
このモデルは設計思想が非常に純粋で、秘密鍵=所有権、署名=意思表示となる。秘密鍵を握る者がアカウントの全制御権を持つ。このモデルは初期段階では革命的な意味を持ち、ホスティング機関や仲介システムを迂回し、資産の主権を個人に直接返す仕組みだった。
しかし、この設計には極めて過激な前提も含まれている。それは、EOAの仮定のもとでは、ユーザはフィッシングに遭わず、誤操作もせず、疲労や焦燥、時間的プレッシャーの中で誤った判断を下さないというものだ。取引に署名すれば、それはユーザが真に理解し、意志を示したものとみなされる。
しかし、現実はそうではない。
2025年に頻発するセキュリティ事件は、この仮定が何度も破られた結果の直接的な証拠だ。悪意のある取引に誘導されたり、十分に検証しないまま送金を完了したりするケースは、技術的な複雑さの問題ではなく、アカウントモデル自体が人間の認知の限界を許容しきれないことに起因している(関連記事『EOAからアカウント抽象化へ:Web3の次なる飛躍は「アカウント体系」に起こるのか?』)。
典型的なシナリオは、長年にわたりオンチェーンで使われてきたApproval(承認)メカニズムだ。ユーザが特定のアドレスに対して権限を与えると、そのアドレスは再確認なしに資産を移動できる。コントラクトのロジック上は効率的でシンプルだが、実際の運用では、これがフィッシングや資産の空き巣の出発点となることが多い。
例えば、最近の5,000万ドル規模のアドレス投毒事件では、攻撃者はシステムの突破を狙わず、「似た文字列のアドレス」を巧妙に作り、ユーザを急いで送金させる誘導を行った。EOAモデルの欠陥がここで露呈し、誰もが長い文字列や意味のない情報を瞬時に確認できるわけではないことが明らかになった。
結局、EOAモデルの根底にある論理は、「あなたが騙されているかどうか」には関心がなく、「あなたが署名したかどうか」だけを重視している。
これが、アドレス投毒の成功例が近年何度も報道される理由だ。攻撃者は51%攻撃のような困難な手法を使わず、十分に似たアドレスを作り、ユーザの不用意なコピペや確認を待つだけで済む。
なぜなら、EOAは、これが未知のアドレスであっても、過去の行動パターンから大きく逸脱しているかどうかを判断できず、単に署名が有効であれば取引は実行されるからだ。
この長年無視されてきたパラドックスが、2025年の損失額33.5億ドルの背景にある。Web3は暗号学的には非常に安全だが、アカウント層では極めて脆弱だ。
この観点から、2025年の業界損失は、「ユーザの注意不足」や「ハッカーの手法の進化」に帰することはできず、むしろアカウントモデルが実世界の金融規模に引き上げられたときに、過去の負債が顕在化し始めた兆候だ。
二、AAの歴史的必然性:Web3アカウント体系のシステム的修正
システムが「ルール通りに動いている」状態で多くの損失が起きていること自体が、最大の問題だ。
CertiKの統計でも、フィッシング攻撃、アドレス投毒、悪意のある権限付与、誤署名などは、ほぼ共通の前提を持つ。それは、「取引が合法」「署名が有効」「実行が不可逆」であることだ。これらは、コンセンサスルールに違反せず、異常状態も引き起こさない。ブロックエクスプローラーから見ても、正常に見える。
システムの観点から言えば、これらは攻撃ではなく、むしろ正しく実行されたユーザ指示の連続だ。
根本的に、EOAモデルは「身分」「権限」「リスク負担」を一つの秘密鍵に圧縮している。署名が完了すれば、身分は確認され、権限は付与され、リスクは一度に、取り消し不能に負担される。この極端な簡略化は、初期段階では効率的だったが、資産規模や参加者、利用シナリオが変化するにつれ、制度的な欠陥が顕在化してきた。
特に、Web3が高頻度・クロスプロトコル・長時間オンラインの状態に進むにつれ、アカウントは単なるコールドウォレットではなく、支払い・権限付与・インタラクション・清算など多重の機能を担うようになった。この前提の下、「署名が常に合理的な意思決定を表す」という仮定は、もはや成立しにくい。
この観点から、アドレス投毒が繰り返し成功しているのは、攻撃者がより賢いからではなく、アカウントモデルが人間の誤りに対して緩衝機能を持たないからだ。システムは、「未交信の相手」や「過去の行動からの逸脱」を判断せず、異常操作に対して遅延や二次確認も行わない。EOAにとっては、署名が有効であれば取引は実行される。
実際、伝統的金融システムはすでにこうした答えを示している。送金制限、クールダウン期間、異常凍結、権限の階層化や撤回可能な権限付与などは、すべて「人間は必ずしも合理的ではない」という現実を認め、そのための緩衝空間を設けるための仕組みだ。
こうした背景のもと、Account Abstraction(AA)は、その真の歴史的意義を示し始めている。これは、アカウントの本質を再定義し、受動的な署名ツールから、意図を管理できる主体へと変革する試みだ。
その核心は、AAの論理により、アカウントは単なる秘密鍵の集合体ではなくなることだ。複数の検証経路を持ち、異なる操作に差異化された権限を設定でき、異常行動時には遅延実行や制御権の回復も可能になる。
これは、分散化の精神から逸脱するものではなく、その持続性を修正するものだ。真のセルフカストディは、ユーザが一度のミスで永久的な結果を負うことを意味しない。中央集権的なホスティングに依存せず、アカウント自体に誤操作防止と自己保護の機能を持たせることだ。
三、アカウントの進化がWeb3にもたらすもの
筆者は何度も言及してきた。「成功した詐欺の背後には、必ずWeb3の利用をやめるユーザがいる。そして、Web3エコシステムは新規ユーザなしに進む場所がなくなる」。
この観点から、セキュリティ機関やウォレット製品、その他の業界ビルダーは、「ユーザの誤操作」を個人の過失とみなすことをやめ、むしろ「アカウント体系を現実のシナリオに十分安全・理解しやすく、かつ容錯性のあるシステムにする」責任を負うべきだ。
したがって、AAが果たすべき歴史的役割はまさにそこにある。簡潔に言えば、AAは単なる技術的なアカウントのアップグレードではなく、安全性の制度的調整だ。
この変化は、まずアカウントと秘密鍵の関係の緩和から始まる。長らく、ニーモニックフレーズはWeb3のセルフカストディの証とされてきたが、実際には、多くの一般ユーザにとっては扱いにくい管理方式だった。AAは、ソーシャルリカバリーなどの仕組みを導入し、アカウントと秘密鍵の強い結びつきを緩める。
さらに、Passkeyと組み合わせることで、現実の金融システムに近い直感的なアカウント安全性の理解も可能になる(関連記事『ニーモニックフレーズなしのWeb3:AA × Passkey、暗号資産の次の10年をどう定義するか?』)。
また、AAは取引の摩擦も再構築する。従来のEOAでは、ガス代が操作のハードルだったが、AAはPaymasterなどの仕組みを通じて、第三者が代付したり、ステーブルコインで支払ったりできる。
これにより、ユーザは送金のたびに原生トークンを用意したり、複雑なガスロジックを理解したりする必要がなくなる。無感覚のガス体験は、Web3が早期のユーザ層から脱却できるかどうかの重要な条件だ。
さらに、AAアカウントは、スマートコントラクトのネイティブ能力を活用し、多段階の操作を一つの原子化された取引にまとめられる。DEXの取引例では、従来は承認、署名、取引、再署名と複数のステップを要したが、AAアカウントでは一度の取引で完結し、成功か失敗かのいずれかになる。コスト削減と無効な損失の回避に寄与する。
より深い変化は、アカウント権限の柔軟性にある。AAアカウントは、「全権掌握」か「完全制御不能」かの二元的構造ではなく、銀行口座のように細かい権限管理が可能になる。異なる金額に応じた検証強度、特定の相手先に限定した交渉権限、ホワイトリスト・ブラックリストによる制限も設定できる。
これにより、万一秘密鍵が漏洩しても、資産が短時間で完全に失われるリスクを緩和できる。
ただし、アカウントの安全性の進化は、AA体系の全面的な導入だけに依存しない。既存のウォレットも、一定の修正を行うことで、EOAモデルの問題点を部分的にでも改善できる。
例として、imTokenのアドレスブック機能は、信頼できるアドレスを保存し、送金時に即座に選択できる仕組みだ。これにより、手動コピペや類似アドレスの誤判定によるリスクを大きく低減している。
また、「見たまま署名(What You See Is What You Sign)」の原則も、近年業界の共通認識となりつつある。これは、署名内容がユーザの見たまま、理解したままの行動と一致していることを保証するもので、ハッシュだけの情報に圧縮されることを避ける。
この原則に基づき、imTokenは署名の各段階で内容を構造化・可読化し、ユーザが何に署名しているのかを理解できるようにしている。これにより、取引の不可逆性は維持しつつ、署名前に理性的な判断を促す仕組みだ。
より大きな視点から見れば、AAの進化は、Web3の次なる発展のための基礎仮説を再構築している。つまり、ブロックチェーン上に大規模な実ユーザを受け入れるための条件を整えることだ。さもなければ、いくら複雑なプロトコルや壮大なストーリーを描いても、最も根本的な問題——一般ユーザが資産を長期的にオンチェーンに預けることに対して、躊躇し続ける。
この意味で、AAはWeb3の付加価値ではなく、むしろ合格ラインだ。体験の良し悪しではなく、Web3が技術愛好者の実験から、より広範な人々に向けた普及基盤へと進化できるかどうかを決める。
最後に
33.5億ドルは、2025年に業界全体が支払った「学費」にほかならない。
これもまた、私たちに教えてくれる。規制や制度のインターフェース、主流資金の流入について議論が進む中で、もしWeb3のアカウントが「署名/権限付与を一度行えば終わり」といった状態にとどまるなら、金融インフラは砂上の楼閣に過ぎない。
本当の問題は、「AAが主流になるかどうか」ではなく、「アカウントが進化しなければ、Web3はどこまで未来を担えるのか」だ。
これこそ、2025年が業界に残した最も重要な安全の教訓かもしれない。
19.75K 人気度
58.19K 人気度
66.74K 人気度
101.99K 人気度
4.07K 人気度
33.5億ドルの「アカウント税」:EOAがシステム的コストとなるとき、AAはWeb3にもたらすものは何か?
2025 年、Web3 世界には壮大なストーリーが不足していない。特に規制の移行完了やステーブルコインのTradFi体系への段階的統合に伴い、「コンプライアンス」「収容」「次段階の秩序再構築」についての議論が、ほぼ今年のメインテーマを形成している(関連記事『2025年グローバル暗号資産規制マップ:収容時代の幕開け、CryptoとTradFiの「融合」1年』)。
しかし、これらの一見高次元の構造変化の背後には、より根本的で長期的に無視されてきた問題が浮上している。それはアカウントそのものが、業界全体のシステムリスクの源泉となりつつあるという事実だ。
最近CertiKが発表した最新のセキュリティレポートは、かなり衝撃的な数字を示している。2025年通年でWeb3において630件のセキュリティインシデントが発生し、総損失額は約33.5億ドルにのぼる。もしこの合計数字だけにとどまるなら、今年もまたセキュリティの厳しさを繰り返す年次報告に過ぎないかもしれないが、事件の種類を詳細に分析すると、より警戒すべきトレンドが見えてくる。
それは、多くの損失が複雑なコントラクトの脆弱性やプロトコル層の攻撃によるものではなく、より原始的で不安を煽る層、すなわちフィッシング攻撃に集中している点だ。年間248件のフィッシング関連事件が発生し、約7.23億ドルの損失をもたらしている。これはコードの脆弱性攻撃(240件、約5.55億ドル)をやや上回る。
言い換えれば、多数のユーザ損失事例において、ブロックチェーン自体に誤りはなく、暗号学も破られていない。取引も完全にルールに則って行われている。
問題の根源は、アカウントそのものにある。
一、EOAアカウントは、Web3最大の「歴史的問題」になりつつある
客観的に見て、Web2もWeb3も、ネットフィッシングは常に資金損失の最も一般的な手段だ。
違いは、Web3ではスマートコントラクトや不可逆実行メカニズムの導入により、一度リスクが発生すると、より極端な結果を招きやすい点にある。これを理解するには、Web3の最も基本的かつコアな要素であるEOA(Externally Owned Account)アカウントモデルに立ち返る必要がある。
このモデルは設計思想が非常に純粋で、秘密鍵=所有権、署名=意思表示となる。秘密鍵を握る者がアカウントの全制御権を持つ。このモデルは初期段階では革命的な意味を持ち、ホスティング機関や仲介システムを迂回し、資産の主権を個人に直接返す仕組みだった。
しかし、この設計には極めて過激な前提も含まれている。それは、EOAの仮定のもとでは、ユーザはフィッシングに遭わず、誤操作もせず、疲労や焦燥、時間的プレッシャーの中で誤った判断を下さないというものだ。取引に署名すれば、それはユーザが真に理解し、意志を示したものとみなされる。
しかし、現実はそうではない。
2025年に頻発するセキュリティ事件は、この仮定が何度も破られた結果の直接的な証拠だ。悪意のある取引に誘導されたり、十分に検証しないまま送金を完了したりするケースは、技術的な複雑さの問題ではなく、アカウントモデル自体が人間の認知の限界を許容しきれないことに起因している(関連記事『EOAからアカウント抽象化へ:Web3の次なる飛躍は「アカウント体系」に起こるのか?』)。
典型的なシナリオは、長年にわたりオンチェーンで使われてきたApproval(承認)メカニズムだ。ユーザが特定のアドレスに対して権限を与えると、そのアドレスは再確認なしに資産を移動できる。コントラクトのロジック上は効率的でシンプルだが、実際の運用では、これがフィッシングや資産の空き巣の出発点となることが多い。
例えば、最近の5,000万ドル規模のアドレス投毒事件では、攻撃者はシステムの突破を狙わず、「似た文字列のアドレス」を巧妙に作り、ユーザを急いで送金させる誘導を行った。EOAモデルの欠陥がここで露呈し、誰もが長い文字列や意味のない情報を瞬時に確認できるわけではないことが明らかになった。
結局、EOAモデルの根底にある論理は、「あなたが騙されているかどうか」には関心がなく、「あなたが署名したかどうか」だけを重視している。
これが、アドレス投毒の成功例が近年何度も報道される理由だ。攻撃者は51%攻撃のような困難な手法を使わず、十分に似たアドレスを作り、ユーザの不用意なコピペや確認を待つだけで済む。
なぜなら、EOAは、これが未知のアドレスであっても、過去の行動パターンから大きく逸脱しているかどうかを判断できず、単に署名が有効であれば取引は実行されるからだ。
この長年無視されてきたパラドックスが、2025年の損失額33.5億ドルの背景にある。Web3は暗号学的には非常に安全だが、アカウント層では極めて脆弱だ。
この観点から、2025年の業界損失は、「ユーザの注意不足」や「ハッカーの手法の進化」に帰することはできず、むしろアカウントモデルが実世界の金融規模に引き上げられたときに、過去の負債が顕在化し始めた兆候だ。
二、AAの歴史的必然性:Web3アカウント体系のシステム的修正
システムが「ルール通りに動いている」状態で多くの損失が起きていること自体が、最大の問題だ。
CertiKの統計でも、フィッシング攻撃、アドレス投毒、悪意のある権限付与、誤署名などは、ほぼ共通の前提を持つ。それは、「取引が合法」「署名が有効」「実行が不可逆」であることだ。これらは、コンセンサスルールに違反せず、異常状態も引き起こさない。ブロックエクスプローラーから見ても、正常に見える。
システムの観点から言えば、これらは攻撃ではなく、むしろ正しく実行されたユーザ指示の連続だ。
根本的に、EOAモデルは「身分」「権限」「リスク負担」を一つの秘密鍵に圧縮している。署名が完了すれば、身分は確認され、権限は付与され、リスクは一度に、取り消し不能に負担される。この極端な簡略化は、初期段階では効率的だったが、資産規模や参加者、利用シナリオが変化するにつれ、制度的な欠陥が顕在化してきた。
特に、Web3が高頻度・クロスプロトコル・長時間オンラインの状態に進むにつれ、アカウントは単なるコールドウォレットではなく、支払い・権限付与・インタラクション・清算など多重の機能を担うようになった。この前提の下、「署名が常に合理的な意思決定を表す」という仮定は、もはや成立しにくい。
この観点から、アドレス投毒が繰り返し成功しているのは、攻撃者がより賢いからではなく、アカウントモデルが人間の誤りに対して緩衝機能を持たないからだ。システムは、「未交信の相手」や「過去の行動からの逸脱」を判断せず、異常操作に対して遅延や二次確認も行わない。EOAにとっては、署名が有効であれば取引は実行される。
実際、伝統的金融システムはすでにこうした答えを示している。送金制限、クールダウン期間、異常凍結、権限の階層化や撤回可能な権限付与などは、すべて「人間は必ずしも合理的ではない」という現実を認め、そのための緩衝空間を設けるための仕組みだ。
こうした背景のもと、Account Abstraction(AA)は、その真の歴史的意義を示し始めている。これは、アカウントの本質を再定義し、受動的な署名ツールから、意図を管理できる主体へと変革する試みだ。
その核心は、AAの論理により、アカウントは単なる秘密鍵の集合体ではなくなることだ。複数の検証経路を持ち、異なる操作に差異化された権限を設定でき、異常行動時には遅延実行や制御権の回復も可能になる。
これは、分散化の精神から逸脱するものではなく、その持続性を修正するものだ。真のセルフカストディは、ユーザが一度のミスで永久的な結果を負うことを意味しない。中央集権的なホスティングに依存せず、アカウント自体に誤操作防止と自己保護の機能を持たせることだ。
三、アカウントの進化がWeb3にもたらすもの
筆者は何度も言及してきた。「成功した詐欺の背後には、必ずWeb3の利用をやめるユーザがいる。そして、Web3エコシステムは新規ユーザなしに進む場所がなくなる」。
この観点から、セキュリティ機関やウォレット製品、その他の業界ビルダーは、「ユーザの誤操作」を個人の過失とみなすことをやめ、むしろ「アカウント体系を現実のシナリオに十分安全・理解しやすく、かつ容錯性のあるシステムにする」責任を負うべきだ。
したがって、AAが果たすべき歴史的役割はまさにそこにある。簡潔に言えば、AAは単なる技術的なアカウントのアップグレードではなく、安全性の制度的調整だ。
この変化は、まずアカウントと秘密鍵の関係の緩和から始まる。長らく、ニーモニックフレーズはWeb3のセルフカストディの証とされてきたが、実際には、多くの一般ユーザにとっては扱いにくい管理方式だった。AAは、ソーシャルリカバリーなどの仕組みを導入し、アカウントと秘密鍵の強い結びつきを緩める。
さらに、Passkeyと組み合わせることで、現実の金融システムに近い直感的なアカウント安全性の理解も可能になる(関連記事『ニーモニックフレーズなしのWeb3:AA × Passkey、暗号資産の次の10年をどう定義するか?』)。
また、AAは取引の摩擦も再構築する。従来のEOAでは、ガス代が操作のハードルだったが、AAはPaymasterなどの仕組みを通じて、第三者が代付したり、ステーブルコインで支払ったりできる。
これにより、ユーザは送金のたびに原生トークンを用意したり、複雑なガスロジックを理解したりする必要がなくなる。無感覚のガス体験は、Web3が早期のユーザ層から脱却できるかどうかの重要な条件だ。
さらに、AAアカウントは、スマートコントラクトのネイティブ能力を活用し、多段階の操作を一つの原子化された取引にまとめられる。DEXの取引例では、従来は承認、署名、取引、再署名と複数のステップを要したが、AAアカウントでは一度の取引で完結し、成功か失敗かのいずれかになる。コスト削減と無効な損失の回避に寄与する。
より深い変化は、アカウント権限の柔軟性にある。AAアカウントは、「全権掌握」か「完全制御不能」かの二元的構造ではなく、銀行口座のように細かい権限管理が可能になる。異なる金額に応じた検証強度、特定の相手先に限定した交渉権限、ホワイトリスト・ブラックリストによる制限も設定できる。
これにより、万一秘密鍵が漏洩しても、資産が短時間で完全に失われるリスクを緩和できる。
ただし、アカウントの安全性の進化は、AA体系の全面的な導入だけに依存しない。既存のウォレットも、一定の修正を行うことで、EOAモデルの問題点を部分的にでも改善できる。
例として、imTokenのアドレスブック機能は、信頼できるアドレスを保存し、送金時に即座に選択できる仕組みだ。これにより、手動コピペや類似アドレスの誤判定によるリスクを大きく低減している。
また、「見たまま署名(What You See Is What You Sign)」の原則も、近年業界の共通認識となりつつある。これは、署名内容がユーザの見たまま、理解したままの行動と一致していることを保証するもので、ハッシュだけの情報に圧縮されることを避ける。
この原則に基づき、imTokenは署名の各段階で内容を構造化・可読化し、ユーザが何に署名しているのかを理解できるようにしている。これにより、取引の不可逆性は維持しつつ、署名前に理性的な判断を促す仕組みだ。
より大きな視点から見れば、AAの進化は、Web3の次なる発展のための基礎仮説を再構築している。つまり、ブロックチェーン上に大規模な実ユーザを受け入れるための条件を整えることだ。さもなければ、いくら複雑なプロトコルや壮大なストーリーを描いても、最も根本的な問題——一般ユーザが資産を長期的にオンチェーンに預けることに対して、躊躇し続ける。
この意味で、AAはWeb3の付加価値ではなく、むしろ合格ラインだ。体験の良し悪しではなく、Web3が技術愛好者の実験から、より広範な人々に向けた普及基盤へと進化できるかどうかを決める。
最後に
33.5億ドルは、2025年に業界全体が支払った「学費」にほかならない。
これもまた、私たちに教えてくれる。規制や制度のインターフェース、主流資金の流入について議論が進む中で、もしWeb3のアカウントが「署名/権限付与を一度行えば終わり」といった状態にとどまるなら、金融インフラは砂上の楼閣に過ぎない。
本当の問題は、「AAが主流になるかどうか」ではなく、「アカウントが進化しなければ、Web3はどこまで未来を担えるのか」だ。
これこそ、2025年が業界に残した最も重要な安全の教訓かもしれない。