Anthropic SCONE-benchが示すAIエージェントのDeFi攻撃力：460万ドルスマートコントラクト搾取の現実

DeFiのスマートコントラクトを、AIエージェントが「いくらまで盗めるのか」をドル建てで測ったらどうなるのか。

SCONE-benchが突きつけたのは、ClaudeやGPT‑5がすでに人間ハッカー級の“経済攻撃力”を手にしつつある、という現実です。

12月1日AnthropicとMATSの研究チームは、AIエージェントが実世界のDeFiスマートコントラクトからどの程度の金額を「盗めてしまうのか」を、ドル建てで測定した内容を公開しました。

2020〜2025年に実際に攻撃された405件のコントラクトを集めたSCONE-bench上で、Claude Opus 4.5、Claude Sonnet 4.5、GPT-5など10モデルを評価し、特に2025年3月1日以降に悪用された34件のうち19件について、合計460万ドル相当の搾取が技術的に可能だったと示しています。

また、Binance Smart Chain上の2,849件の新規コントラクトを対象にしたシミュレーションでは、Sonnet 4.5とGPT-5が2件のゼロデイ脆弱性を発見し、3,694ドル相当の攻撃が成立し得ることが確認されました。

さらにGPT-5による全コントラクト走査のAPIコストは3,476ドル、1回あたり平均1.22ドル、1件の脆弱コントラクトの特定あたり1,738ドル、1件あたり平均収益1,847ドル、平均純利益109ドルという、攻撃側から見たコスト/リターンの数字も示されています。

From: AI agents find $4.6M in blockchain smart contract exploits

【編集部解説】

この研究がインパクトを持つのは、「AIがサイバー攻撃に使える」といった抽象論ではなく、「どれだけの金額を動かせるのか」という経済的インパクトを、実データで示している点にあります。従来のベンチマークは成功率や難易度で能力を測ることが多かった一方で、SCONE-benchは「いくら盗めるのか」を直接評価しており、政策決定者やエンジニアにとって判断材料にしやすい指標になっています。

2025年3月以降に攻撃された34件のうち、Opus 4.5・Sonnet 4.5・GPT‑5が19件で460万ドル相当を奪取し得た、という結果は、知識カットオフ後の事件に対してもAIが実行可能な攻撃パターンを自律的に構築できたことを意味します。これは「過去の事例を知っていたからできた」ではなく、「汎用的なプログラミング能力と長期的なツール操作能力だけで、現実世界のハッカーと同等の結果に到達できる」という証左といえます。

さらに2,849件の新規コントラクトから2件のゼロデイを発見し、3,694ドル相当の搾取が可能だった点は、「AIが未知の脆弱性を見つけて収益化する」ことが、もはや概念実証レベルで成立していることを示します。ここで重要なのは金額の大小より、「完全に新しいバグでも、API課金だけで継続的に探せる」というスケーラビリティです。

コスト構造を見ると、GPT‑5で2,849件を一括走査して3,476ドル、1コントラクトあたり平均1.22ドルという水準は、人間の監査やペネトレーションテストとは比較にならない効率です。1件の脆弱コントラクト特定に1,738ドル、平均収益1,847ドル、純利益109ドルという数字は、現時点ではギリギリの採算ですが、モデルの性能向上とトークンコスト低下が続けば、短期間で大きく改善する可能性があります。

この構造は、スマートコントラクトに限らず、あらゆる「コードで動く金融インフラ」に波及し得ます。今回AIが使っているスキルセットは、コントロールフロー解析、境界条件の洗い出し、ツール連携を前提とした長時間タスク実行などであり、オンチェーンに限らない一般的なソフトウェア攻撃にもそのまま転用できる要素です。オープンソースのライブラリやSaaSのAPI、ログ基盤など、「資産の入り口」になり得るコードはすべてスキャン対象になっていくでしょう。

一方で、SCONE-benchや本研究のエージェントは、防御側の武器にもなり得ます。リポジトリは監査用途を想定した作りになっており、デプロイ前のスマートコントラクトを同様のフローで自動ストレステストすることも可能です。実際に見つけたゼロデイについても、SEALとの連携やホワイトハットによって資金保護が行われており、「攻撃にも使えるが、防御に先に使うこともできる」技術であることが示されています。

みなさんの多くは、Web3プロジェクトの関係者だけでなく、SaaSや業務システム、デジタルサービス全般に関わる立場にいるかもしれません。その観点では、スマートコントラクトの話を「自分とは遠いDeFiの世界」と切り離すよりも、「AIエージェントがコードとお金をどう結びつける時代に入ったか」を測るリトマス試験紙として捉える方が現実的です。攻撃者だけがAIをフル活用する世界になるのか、防御側が先に実装しておくのか──その差は、これから数年で一気に開いていくかもしれません。

【用語解説】

スマートコントラクト
Ethereumなどのブロックチェーン上で動作するプログラムで、送金や取引、レンディングなどの処理を自動実行する契約コードのこと。

ゼロデイ脆弱性（zero-day）
開発者にまだ認識されておらず、パッチや対策が存在しない状態で悪用可能な未発見の脆弱性を指す。

DeFi（分散型金融）
中央管理者を置かず、スマートコントラクト上で取引・融資・資産運用などの金融サービスを提供するエコシステムの総称。

AIエージェント
大規模言語モデルがシェルやブロックチェーンノード、コードエディタなどの外部ツールを呼び出しながら、複数ステップのタスクを自律的に進めるシステム構成。

SCONE-bench（Smart CONtracts Exploitation benchmark）
2020〜2025年に実際に攻撃された405件のスマートコントラクトを集め、AIエージェントの攻撃能力を盗める金額で評価するためのベンチマーク。

Best@N
同じモデルを同じ問題に対してN回実行し、その中で最も高い収益を上げた結果を、そのモデルの性能として採用する評価手法。

【参考リンク】

SCONE-bench GitHubリポジトリ（外部）
Anthropicらが公開したスマートコントラクト攻撃ベンチマークの公式リポジトリで、405件の脆弱コントラクトと評価環境を提供している。

DefiHackLabs（外部）
過去のスマートコントラクト攻撃を再現するSolidityスクリプトを集めたリポジトリで、SCONE-benchの元データとして活用されている。

Balancer（外部）
Ethereum系チェーンで動作するDeFiプロトコルで、複数トークンプールによる自動マーケットメイクと流動性提供機能を提供している。

BscScan（外部）
Binance Smart Chain向けのブロックチェーンエクスプローラで、トランザクションやコントラクトソースコード、トークン情報などの検索機能を提供している。

CoinGecko API（外部）
暗号資産の価格や時系列データを取得できるAPIサービスで、本研究では過去時点のトークン価格をUSD換算する用途で利用されている。

SEAL（Security Alliance）（外部）
スマートコントラクトを含むWeb3セキュリティ支援やインシデント対応に取り組む組織で、本研究で発見された脆弱性の資金保護にも関与した。

MATS Program（外部）
機械学習の安全性やアライメント研究の若手研究者を支援するプログラムで、本研究の主要著者が所属している研修プログラムの一つである。

Anthropic Fellows Program（外部）
Anthropicが運営するフェローシップで、LLMやサイバーセキュリティなどの研究プロジェクトに参加する研究者を支援する制度である。

【参考動画】

【参考記事】

Anthropic Research Shows AI Agents Are Closing In on Real DeFi Attack Capability（外部）
CoinDeskがAnthropicのSCONE-bench研究を紹介し、4.6Mドルのシミュレート被害やゼロデイ2件、APIコストなどの数字を整理しつつ、DeFiプロジェクトにとってのリスクと防御でのAI活用の必要性を解説している。

Anthropic study says AI agents develops $4.6M in smart contract bugs（外部）
Cointelegraph系の記事で、SCONE-benchにおける10モデルの結果、Opus 4.5のパフォーマンス、4.6Mドルという下限推定、2,849件スキャンからのゼロデイ2件・3,694ドル収益を報じ、AI主導のDeFi攻撃リスクに焦点を当てている。

Smart Contract Security: AI Finds High-Value DeFi Exploits（外部）
The Cryptonomistが、AIエージェントが高額なDeFi脆弱性を見つけた事例として4.6Mドルのシミュレート収益やゼロデイ2件、コスト効率改善をまとめ、防御側も同様のツール導入が必要だと論じている。

AI agents identified multiple smart contract vulnerabilities in DeFi, study warns（外部）
RootDataがAnthropic研究の主要数値（4.6Mドル、3,694ドル、3,476ドルなど）を短く紹介し、DeFi分野における自動化されたスマートコントラクト攻撃リスクの高まりを警告している。

【編集部後記】

スマートコントラクトやDeFiの話は、どうしても「開発者だけのもの」に見えがちですが、今回の研究は、私たち一人ひとりの資産やサービス体験にもつながるテーマだと感じました。AIエージェントがコードを攻撃する側にも、防御する側にも回りうるとしたら、自分のプロダクトや仕事の中でどこから備えを始めるか。そんな問いを一緒に考えられたらうれしいです。

「うちにはブロックチェーンなんて関係ない」と思える現場でも、公開APIやOSSのコンポーネントは、すでにAIにとって“スキャン可能な資産”になりつつあります。この連載やレポートを通じて、未来のリスクをいたずらに煽るのではなく、「どの技術をどう味方につけるか」を一緒に探していければと思います。