分散型金融の終わらない悪夢──170億円ハッキングで開発母体が『負債』となり解散する末路

2023年に発生した約170億円（$116M）規模のハッキング事件は、大手DeFiプロトコル「Balancer」に致命的な傷を残しました。この事件の本当の恐ろしさは、分散型であるはずのプロトコルの責任が、開発を主導した中央集権的な法人に集中し、その法人格を「負債」へと変えてしまった点にあります。これは、DAO（自律分散型組織）や分散化の理想を追い求める日本の多くのWeb3プロジェクトにとって、決して他人事ではない「不都合な真実」なのです。

分散型の理想はどこへ？Balancerを襲った悲劇

Balancerは、複数の暗号資産を自動でリバランスし、ユーザーに最適な取引レートを提供するAMM（自動マーケットメーカー）の代表格でした。銀行や証券会社といった仲介者を必要とせず、スマートコントラクト（プログラムで自動実行される契約）だけで金融取引が完結する──まさに分散型金融（DeFi）の理想を体現する存在として、多くの投資家から資金を集めていました。

しかし、その理想郷は2023年9月に突如として崩壊します。特定のバージョン（V2）の流動性プールに存在する深刻な脆弱性を突かれ、ハッカーによって当時のレートで1億ドルを超える資産が不正に流出したのです。これは単なるコードのバグではありませんでした。Balancerの信頼性そのものを根底から揺るがす、致命的な一撃となったのです。

事件後、プロジェクトを統治するはずのBalancerDAOは機能不全に陥りました。ハッキングされた資産を誰が、どのように補償するのか。その責任の所在を巡って議論は紛糾。分散型ガバナンスの理想とは裏腹に、明確な意思決定を下すことも、被害者を救済することもできませんでした。まるで、船長不在の船が巨大な嵐に飲み込まれていくかのようでした。

なぜ「法人」が解散に追い込まれたのか

ここで誰もが抱く疑問は、「プロトコルは分散型なのに、なぜ特定の法人が責任を負うのか？」という点でしょう。この悲劇の核心は、DeFiプロジェクトが抱える構造的な矛盾にあります。

Balancerプロトコルの初期開発と運営を主導していたのは、「Balancer Labs」という営利法人でした。多くのWeb3プロジェクトがそうであるように、彼らもまた、プロトコルが十分に分散化した後はDAOに権限を移譲し、法人としての役割を終える計画でした。しかし現実は、そう甘くはありません。

ハッキング後、Balancer Labsは集団訴訟のリスクに直面します。被害を受けた投資家たちが、「脆弱性を放置した開発者」として法人の責任を追及し始めたのです。プロトコルは分散型でも、そのコードを書いた主体は明確に存在します。そして、その主体が法人である以上、現実世界の法律から逃れることはできません。

巨額の損害賠償請求という潜在的なリスクは、Balancer Labsという法人格そのものを「資産」から「負債」へと転落させました。結果として、同社は事業を継続することが不可能と判断し、法人格を閉鎖するという苦渋の決断を下さざるを得なかったのです。これは、DAOが現実世界の法的責任を吸収できないという事実を、業界全体に突きつけました。

DAOと法人の「ねじれ」が招いた末路

Balancerの事件が浮き彫りにしたのは、多くのWeb3プロジェクトが内包する「DAOと開発法人のねじれ構造」という時限爆弾です。

表向きは「コミュニティが主導する分散型プロジェクト」を謳いながら、その実態は特定の法人が開発・マーケティング・資金調達の大部分を担っています。この二重構造は、平時であればプロジェクトを効率的に推進するエンジンとして機能します。しかし、ひとたびハッキングのような危機が発生すると、その構造は一転して致命的な弱点となります。

DAOは法的な主体ではないため、訴訟の当事者になることも、損害賠償の責任を負うことも困難です。その結果、すべての責任の矛先は、登記された住所と明確な代表者を持つ「法人」へと向かいます。「コードは法（Code is Law）」というスローガンは、現実の裁判所の前ではあまりにも無力でした。この理想と現実の乖離こそが、Balancer Labsを解散へと追い込んだ根本原因なのです。

日本への影響と今すぐできること

「海外のDeFiプロジェクトの話だろう」と考えるのは早計です。この事件は、日本のWeb3業界にこそ深刻な警鐘を鳴らしています。

海外ではケイマン諸島やスイスなどに法人を設立し、法規制の緩やかな環境で開発を進めるプロジェクトも少なくありません。しかし、日本では金融商品取引法や資金決済法といった世界でも特に厳格な規制が存在します。万が一、国内のプロジェクトで同規模のハッキングが発生した場合、開発法人の経営陣が善管注意義務違反や、場合によっては詐欺の疑いで刑事責任を問われる可能性すら否定できません。過去に起きた国内取引所のハッキング事件で、経営陣が厳しい追及を受けた事実を忘れてはなりません。

ソニーやNTTドコモのような大企業がWeb3に参入する今、この法的リスクの管理は最重要課題です。また、スタートアップにとっては、一つの脆弱性が会社の存続を揺るがす文字通りの死活問題となります。

では、私たちは今、何をすべきでしょうか。

投資家やビジネスマンがすべきこと:
プロジェクトの将来性を評価する際、技術やトークノミクスだけでなく、背後にある法人のリスク管理体制を精査することが不可欠です。具体的には、「CertiK」や「Quantstamp」といった第三者機関によるスマートコントラクトの監査レポートを確認しましょう。さらに、プロジェクトがサイバーセキュリティ保険に加入しているか、インシデント発生時の補償計画を公開しているかどうかも、重要な判断材料となります。

開発者がすべきこと:
コードのセキュリティは、もはや技術者の自己満足であってはなりません。Balancerの事例は、コードの脆弱性が開発者自身の法的責任に直結する可能性を示しています。定期的な監査の実施はもちろん、Web3に詳しい弁護士と連携し、プロジェクトの法的構造や責任範囲を明確にしておくことが、自分自身と会社を守るための最低限の防衛策と言えるでしょう。

Balancerの悲劇は、分散化という美しい理想の裏に潜む、冷徹な現実を私たちに教えてくれます。この教訓から目を背けることなく、より安全で持続可能なWeb3エコシステムを日本で構築していく必要があります。