CertiK Audit:最大規模のWeb3セキュリティ監査機関の内部
「CertiKによる監査済み」というフレーズは、チャイルドシートに貼られた安全ステッカーのように、トークンのランディングページに表示されます。これは、「誰かがチェック済みなので、安心して利用できます」という意味合いです。CertiKはWeb3セキュリティ分野で最も有名な企業であり、多くの投資家にとって、このバッジは「おそらく安全」の代名詞となっています。しかし問題は、このバッジを付けているプロジェクトでも、数百万ドルが流出してしまったケースがいくつかあることです。では、CertiKの監査を受けることで、実際にはどのようなメリットがあるのでしょうか?この記事では、CertiKとは何か、その監査とSkynetスコアの仕組み、監査が役立つ場面、そしてこのバッジがいつの間にか意味を失ってしまう場面について解説します。
CertiKとは何か、そしてなぜWeb3セキュリティを席巻しているのか
CertiKはスマートコントラクト監査を発明したわけではない。それを工業化したのだ。同社は、少数の暗号学者が行っていた時間のかかる手作業のプロセスを、プロジェクトが購入し、提示し、投資家からコードの安全性を問われた際に参照できるブランドへと変えた。
イェール大学の研究室から20億ドル規模の企業へ
2018年にコロンビア大学のRonghui Gu教授とイェール大学のZhong Shao教授という2人のコンピュータサイエンス教授がCertiKを立ち上げた。その構想は学術的で、ほとんど頑固なまでに学術的だった。ソフトウェアが主張どおりに動作することを証明する数学的手法である形式検証を用いて、ブロックチェーンコードを単に「テスト済み」ではなく、証明可能な正しさにするというものだった。ニッチなアイデアだったが、それでも多額の資金を集めた。TechCrunch によると、2022年4月までにCertiKは約8800万ドルを調達し、企業価値は20億ドルと評価された。ゴールドマン・サックス、タイガー・グローバル、セコイア・キャピタル、ソフトバンクのビジョン・ファンドなどが投資を行った。9回の資金調達ラウンドで、総額は約2億9600万ドル。コンパイラに関する定理の証明から始まった2人の学者にとっては悪くない成果だ。
「最大規模の監査法人」が実際に測定しているもの
CertiKの目玉となる数字は、その規模の大きさです。6,100件以上のプロジェクトを監査し、それらのセキュリティ監査で91,000件以上の脆弱性を指摘しました。Aave、Polygon、BNB Chainなどのクライアントを抱え、3,600億ドルを超える資産をレビューしました。その規模は確かに大きいですが、同時に落とし穴でもあります。「最大」とは、監査会社がどれだけの監査レポートを発行しているかを示すものであり、個々の監査の深さを示すものではないからです。他社よりも多くのレポートを発行する工場は確かに印象的ですが、量と厳密さは同じものではなく、そのギャップこそが批判の的となっています。その批判の具体的な例を挙げると、CertiKは非常に多くのプロジェクトをレビューするため、使い捨てのミームトークンから真面目なプロトコルまで、あらゆるプロジェクトにその名前が付けられ、2日間のパスでも数ヶ月にわたるレビューと同じバッジが付与されます。購入者はどちらがどちらなのかをほとんど区別できません。この格差こそが、バッジの本当の問題点なのです。
CertiK監査の実際の仕組みをステップごとに解説
CertiK監査は単一のものではありません。それは2つの層が重なり合ったものであり、その違いを理解することで、最終報告書が何を約束できるのか、何を約束できないのかが明確になります。
形式検証と手動レビューの比較
最初の層は形式検証です。CertiKはスマートコントラクトを実行して結果を監視するのではなく、コードの数学モデルを構築し、入力に関係なく特定の特性が常に成り立つかどうかを証明します。DeepSEAコンパイラはこの検証をサポートするために存在します。形式検証は「この残高がマイナスになることはあるか」といった限定的な質問に対しては強力ですが、誰かが指定した特性しか検証できません。
第2段階は手動レビューです。人間のエンジニアがコードを一行ずつ読み、論理エラー、誤った前提、そしてモデルでは検出できないような微妙なミスを探します。これは、モデルにチェックするように指示されていないためです。実際の発見のほとんどはここから得られます。コードの量と複雑さにもよりますが、このプロセス全体は、小規模なものであれば約48時間、大規模なプロトコルであれば数週間かかります。
レポートを読む:「解決済み」と「承認済み」の違い
成果物はレポートです。レポートでは、各脆弱性を重大度(クリティカル、メジャー、マイナー、情報)で分類し、プロジェクトがそれに対して行った対応を記録します。最後の列は、人々が思っている以上に重要です。「解決済み」とマークされた発見は、チームがそれを修正し、CertiKが再確認したことを意味します。「確認済み」とマークされた発見は、チームがそれを読んだものの、気にせずリリースしたことを意味します。2つのプロジェクトが同じバッジを掲げていても、片方はすべてを修正し、もう片方は重大な警告を無視している可能性があります。バッジでは区別できませんが、レポートは区別できます。これが、レポートの日付が重要な理由でもあります。コードはリリースされ、その後変更されます。1年前、10回のアップグレード前の監査では、レビューされた形式ではもはやオンチェーンに存在しないプロジェクトについて記述されている可能性があります。
| ステージ | CertiKが行うこと | キャッチ | 死角 |
|---|---|---|---|
| 形式検証 | コードの特定の特性を数学的に証明する | 定義されたルールにおける数学的および論理的な欠陥 | 指定されたプロパティ以外のもの |
| マニュアルレビュー | エンジニアはコードを手書きで読みました | 論理バグ、誤った前提、既知の攻撃パターン | オフチェーンシステム、監査後のコード変更 |
| 報告と再監査 | 重大度別に検出結果を一覧表示し、修正内容を再確認します。 | 問題が対処されたかどうか | チームが実際に修正版をデプロイしたかどうか |
SkynetとCertiK Web3セキュリティスコア
監査は一度限りのスナップショットに過ぎません。CertiKが提供しようとしているのは、継続的なソリューションであるSkynetです。これは、プロジェクトが開始された後もリアルタイムで監視し、それぞれにセキュリティスコアを割り当てるダッシュボードです。同社によれば、2万以上のプロジェクトをオンチェーンで監視しているとのことです。
このスコアはいくつかの要素を組み合わせて算出されます。プロジェクトが監査を受けているか、チームがCertiKのKYCチェック(ゴールド、シルバー、ブロンズの3段階)に合格しているか、そしてコントラクトの動作はどうなっているかなどが考慮されます。Skynetはランタイムモニタリングを通じてオンチェーンでコントラクトの動作を分析し、異常が発生するとすぐにフラグを立てます。Skynetは、出口詐欺やエクスプロイトに対するオンチェーンモニタリングアラートや、プロジェクト同士を比較するリーダーボードも実行します。スカイネットスコアは、一見すると確かに有用な指標です。完全なレポートを読むよりも速く、明らかな危険信号を警告してくれます。しかし、これはCertiKが販売する製品であり、CertiKが提供する入力情報に基づいて構築されているため、高いスコアはプロジェクトの安全性を保証するものではありません。あくまでも一つのデータポイントとして捉え、最終的な判断を下すべきではありません。過去の実績がそれを証明しています。過去の動作に基づいて構築されたスコアでは悪意のある変化を予測できないため、プロジェクトがエクスプロイトされたり、ひっそりと放棄されたりする直前まで、スカイネットスコアが高かったケースも少なくありません。それは、プロジェクトがまだ破綻していないことを示しているだけで、決して破綻しないと断言できるものではない。
監査を超えて:CertiKのエコシステムのその他の部分
監査が目玉ではありますが、CertiKは監査以外にも幅広いサービスを提供しています。侵入テストでは、ウォレット、取引所、アプリに対して模擬攻撃を行います。プラットフォーム手数料無料のバグ報奨金プログラムでは、犯罪者よりも先に脆弱性を発見した外部ハッカーに報酬を支払います。さらに、匿名の創業者に実名を証明するKYC、MiCAやDORAで規制対象企業が必要とするコンプライアンスとマネーロンダリング対策のためのSkyInsights、そして問題が発生した場合にチェーンを横断して盗まれた資金を追跡するSkyTraceもあります。これらのサービスはどれも監査に取って代わるものではありません。監査を補完するものであり、こうして単発の契約が、分散型プロジェクトのライフサイクル全体をカバーするサブスクリプションへと静かに発展していくのです。
監査後にハッキングされる:攻撃ベクトルがすり抜ける時
光沢のある解説書では省略されている重要な点があります。監査とは、特定の時点における特定のコードのスナップショットです。これは保証ではありません。保証のように扱うと、書類上はすべて「正しく」行われたはずのプロジェクトで損失を被ることになります。
監査でカバーされないもの
スマートコントラクト監査は、コントラクトそのものを検証するものです。創設者がプールから資金を抜き取れる管理者キーを保有しているかどうかは検証しません。ウェブサイト、サーバー、あるいはそれらを支える秘密鍵も検証しません。監査終了後にチームがデプロイするコードのバージョン(監査対象となったものと異なる場合がある)も検証しません。そして、資金を持ち逃げしようと決めたチームを阻止することもできません。プロジェクトを空にする攻撃のほとんどは、監査対象のコントラクトのバグではなく、その周辺の隙間に潜んでいるのです。
Merlin DEX事件:警告は出ていたものの、悪用された
Merlin DEXはその最も分かりやすい例だ。CertiKが監査を実施し、その監査で問題点が指摘された。プロジェクトの契約が危険なほど集中管理されており、悪意のある内部関係者が悪用できる特権アクセスが存在していたのだ。2023年4月、まさにその脆弱性が悪用され、約182万ドルが不正に流出した。監査は間違っていなかった。リスクを明確に指摘していたのだ。しかし、その警告は「解決済み」欄ではなく「認識済み」欄に記載されたままで、報告書が既に指摘していた脆弱性を悪用された。欠陥を発見すること自体は容易だった。問題は、それに対処することであり、Merlinのチームはそれを実行しなかった。
視野を広げると、この傾向は業界全体にとって不都合なものである。CertiKのHack3dレポートによると、損失は減少するどころか増加している。同社は2024年に760件の事件で約23億6000万ドルが盗まれたと報告しているが、 2025年には630件の事件で約33億5000万ドルが盗まれた。この年は、14億5000万ドルのBybitの侵害事件によって膨らんだ年である。Chainalysis の独立データによると、2025年の盗難額は約34億ドルで、そのうち約20億2000万ドルは北朝鮮関連グループによるものだった。これらのグループは、契約そのものよりも、契約に関わる人物やインフラを標的にする傾向が強まっており、これはまさに監査ではカバーされない領域である。監査の増加は犯罪の減少にはつながっていない。
| 年 | 報告された損失 | 事件 | 最大のヒットシングル |
|---|---|---|---|
| 2024 | 23億6000万ドル | 760 | — |
| 2025 | 33億5000万ドル | 630 | Bybit、14億5000万ドル |
クラーケン事件とCertiKの信頼性問題
信頼を売り物とする企業にとって、自社の行動そのものが商品の一部となる。今回の2つの出来事は、その点を厄介なものにした。
2024年6月、CertiKの研究者は取引所Krakenにゼロデイ脆弱性を発見し、それを報告するだけでなく、 Krakenのシステムから約300万ドルを引き出すために利用した。CertiKはこれをバグの深刻さを証明するものだと主張した。Krakenはこれを恐喝だと非難し、CertiKは当初、圧力をかけられるまで資金の返還を拒否したと述べた。最終的に資金は返還されたが、この一件はセキュリティ会社が主張を通すために顧客を大規模に悪用したという悪い印象を与えた。その後、2025年初頭、CertiKはカンボジアのHuione社との業務について謝罪した。Huione社は後に強制労働詐欺施設と関連付けられた。これらのどれも、CertiKの監査が無価値であることを意味するものではない。しかし、市場に信頼を求めてきた企業が、その信頼を再構築する必要があることを意味し、報道によると、同社は最終的に約20億ドルの評価額でのIPOの準備を進めている。
CertiKとその他のWeb3セキュリティ企業との比較
CertiKはブロックチェーンセキュリティ分野で最も有名な企業ですが、唯一の企業ではありません。また、多くのプロジェクトにとって、CertiKが最適な選択肢とは限りません。監査市場は大きく分けて、大規模企業と小規模企業に分かれます。小規模企業は顧客数を絞り、より深いレベルの監査を行う傾向があり、多くの場合、大規模企業が対応できる範囲を超える独自のセキュリティ基準を設定しています。多額の資金を扱うプロトコルは、まさにこの理由から、小規模企業にセカンドオピニオンを求めることがよくあります。規模と深みは同じものではなく、最適な選択はプロジェクトの段階と予算によって異なります。価格帯もその幅広さを反映しており、小規模トークンの監査は数千ドル程度で済む一方、複雑なプロトコルの包括的なレビューは6桁を超える金額に達することもあります。
| 固い | 集中 | で知られているのは | モデル |
|---|---|---|---|
| サーティク | ウェブ3セキュリティ | ボリューム、スカイネット、ブランド認知度 | 規模 |
| 断片の軌跡 | 高信頼性セキュリティ | 詳細な手動レビュー、調査 | ブティック |
| オープンツェッペリン | スマートコントラクトのセキュリティ | 広く利用されている契約ライブラリ | ブティック |
| ハルボーン | ブロックチェーンとインフラセキュリティ | 侵入テスト、高度なエクスプロイト | 中規模 |
| ハッケン | Web3の監査と監視 | 費用対効果の高い監査 | 中規模 |
CertiKによる監査済みバッジの読み方
プロジェクトに「CertiKによる監査済み」と記載されている場合、それを鵜呑みにする前に、実際のレポートを開いて以下の5つの点を確認してください。まず、監査範囲:どの契約がレビューされたのか、そしてあなたの資金が管理されている契約がその対象に含まれているのか。次に、日付とコミットハッシュを確認し、実際に稼働中のコードと比較してください。これらはしばしば異なるためです。3つ目は、監査結果:重大な問題はいくつあったのか、そしてそれらは解決されたのか、それとも単に認識されただけなのか。4つ目は、監査対象バージョンが実際にデプロイされたバージョンであるかどうか。5つ目は、Skynetスコアだけに頼らないことです。これは概要であり、文書そのものではありません。
ティッカーシンボルについて少し補足しておきます。よく混同されるので。CertiK社は非公開企業であり、株式は発行していません。CTKはShentuチェーンのトークンであり、ShentuチェーンはCertiKの初期プロジェクトに関連する独立したプルーフ・オブ・ステーク・ネットワークです。CTKを購入しても、監査事業の株式を購入することにはなりません。「CertiK株」をお探しでしたら、現時点では発行されていませんのでご注意ください。
CertiK監査の真の価値とは
では、CertiK監査は役に立つのでしょうか? ある程度は役に立ちます。最低限のレベルを引き上げ、手抜きコードを排除し、実際のリスクを明確にし、真剣なチームには取り組むべき課題リストを提供します。しかし、監査ができないのは、担当者の能力を保証することです。デプロイされたコードがレビューされたコードと一致していること、あるいは指摘されたリスクが実際に解決されたことを保証することはできません。このバッジは、デューデリジェンスの出発点であり、ゴールではありません。ですから、次に「CertiK監査済み」という表示を見かけたら、ほとんど誰もやらないような面倒なことをしましょう。レポートを開いて、修正された内容が記載されている欄を読んでください。もしプロジェクト側がレポートを見せてくれないとしたら? その消極的な態度こそが答えです。確認できないバッジは、単なるロゴに過ぎません。
