BitsLab AI検知ツール、BluefinのPerpDEX高リスク脆弱性を発見・修正

2025年8月27日2025年8月28日

プレスリリースのポイント

BitsLab AIがBluefin PerpDEXの金融ロジックに関わる重大な欠陥を発見
欠陥は速やかに修正され、今後のDeFiリスク軽減につながる
AI監査フレームワークにより、効率的かつ正確なセキュリティ確認が可能に

BitsLab AIがBluefin PerpDEXの重大な欠陥を発見

Web3セキュリティ組織のBitsLabは、AIを活用した監査プラットフォーム「BitsLab AI」により、Bluefinが提供するパーペチュアルDEX（PerpDEX）の監査コンテスト中に、高リスクのロジック不具合を含む4つの問題を発見したことを発表しました。

問題は責任ある開示に基づき報告され、Bluefinは速やかに修正対応を実施しました。

発見された脆弱性の内容

今回見つかった欠陥は、ポジション管理や損益計算を支える「比較ロジック」に起因するものでした。
Bluefinの符号付き数値を扱うヘルパーは { value: u64, sign: bool } という形式を採用していましたが、「lt（小なり）」関数の処理に誤りがありました。

具体的には、負数と正数を比較する際に必要な !a.sign ではなく、誤って a.sign を返していたため、以下のようなリスクが生じる可能性がありました。

ポジションの誤った並び替え
損益計算（PnL）の歪曲
不正な清算リスクの増大

修正は単純で、符号が異なる場合には必ず !a.sign を返すように処理を見直すことで、負の値が正の値より小さいと正しく扱えるようになりました。

BitsLab AIの監査アプローチ

BitsLab AIは、精選された専門知識ベース、厳格な内部レビュー工程、そしてコンテキストを考慮した静的解析を組み合わせています。Retrieval-Augmented Generationを活用してソースを『引用』し、専門的なレビューモデルで結果を相互照合し、さらにビジネスインパクトの観点から優先度を付けます。

また、静的解析によってプロトコル全体の制御フローや依存関係を明らかにし、複数のAIエージェントがアクセス制御、リエントランシー、算術/ロジックなどの分野を担当し、協調してコントラクト間やエッジケースの脆弱性を発見します。

BitsLabのチーフサイエンティストであるZorrot 氏は次のようにコメントしています。

「DeFiシステムには、実際の市場ストレス下において信頼性が求められます。私たちのフレームワークは、決定論的な静的分析と実証に基づいたAIを組み合わせることで、ノイズを減らし、実際に資金を動かすリスクを浮き彫りにします。今回のBluefinの事例は、私たちの仮説を裏付けるものです。信頼できるWeb3セキュリティには、実証的で、レビューされ、そして深みのあるAIが必要なのです。」

BitsLabのCEOであるLuis Lu 氏も次のようにコメントしています。

「BitsLab AIを他と差別化しているのは、厳選されたドメイン知識ベース、厳格な内部レビュー体制、そしてコンテキストを考慮した静的分析の組み合わせです。このフレームワークは、検索拡張生成を通じて“情報源を引用”し、専門的なレビューモデルによって検証を行い、さらにビジネスインパクトを基準に優先順位を付けることで、エンジニアリングの時間を最も重要な部分に集中させます。」

Web3エンジニアにとってのメリット

この監査フレームワークは、開発チームに次のような利点をもたらします。

利点をまとめると下記のようになります。

誤検知を減らし、アラート疲れを軽減
プロトコルの論理的リスクを詳細にマッピング
影響の大きい脆弱性を優先的に修正できる

高リスクなオンチェーン環境においては、精度と深さを兼ね備えた監査アプローチは、贅沢ではなく標準的な期待となりつつあります。

BitsLabについて

BitsLabは、Web3に特化したセキュリティ企業です。インフラセキュリティやAIを活用したスマートコントラクト監査を提供し、Moveベースのプロトコルなど新興エコシステムにも対応しています。

また、BitsLabのブランドには MoveBit、ScaleBit、TonBit などが含まれ、幅広いセキュリティソリューションを展開しています。

Cryptide AI

Cryptide AIがポイントを解説

ここからは、Cryptide AIが分かりにくい部分をピックアップして解説します！

分かりにくい用語などを解説

パーペチュアルDEXとは何か？
- 現物の売買ではなく、無期限にポジションを持ち続けることができる分散型取引所で、レバレッジを使える特徴がある。
スマートコントラクト監査とは？
- 自動で動くプログラムに不具合やリスクがないか調べる作業。資金流出や不正が起こらないように確認する目的がある。
静的解析とは？
- 実際にシステムを動かさず、プログラムのコードを調べてバグや脆弱性を探す手法。効率よく問題点を見つけられる。

気になる点をピックアップ解説

「AIで本当に人間の監査以上に正確に脆弱性を見つけられるのか？」という部分をピックアップ解説します。

AIは大量のデータとコードを処理するのが得意で、人間の監査では見落とす細かい誤りを発見できます。ただし判断にはノイズも含まれるため、多段階レビューや人間の確認と組み合わせることで精度を高めています。このアプローチが信頼性を持つ理由は、報告された脆弱性が現実に修正されている点からも分かると思います。

総合的なまとめ

BitsLab AIはBluefin PerpDEXで深刻な金融ロジックの不具合を発見し修正につなげました。AIと静的解析を組み合わせた監査フレームワークは、誤検知を減らし効率的にリスクを発見できます。今後こうしたAI監査は特別なものではなく標準となり、安心できる取引環境作りに不可欠になっていくと考えられます。

参考URL：

※本記事は、翻訳、要約および解説を作成する過程で生成AIを活用し、人との共同編集を通じて作成しております。生成AIの生成した情報については、正確性、完全性、有効性について保証されるものではありません。また、生成AIが生成したビジュアルコンテンツは説明的なものであり、実際の状況を正確に表すものではありません。
※プレスリリースの内容は、発信元から提供された内容であり、CRYPTIDE（クリプタイド）は、本記事におけるいかなる内容、正確性、品質、広告宣伝、商品、その他の題材についても、それを支持するものではなく、またそれらについて責任を負うものではありません。
※あくまで参考としての情報提供であり、イベントへの参加、サービス・商品の利用、投資の推奨および勧誘を目的とするものではありません。最終的な判断は、必ず読者自身による調査をお願い致します。CRYPTIDE（クリプタイド）は、本稿で言及したいかなる内容、商品、サービス、それを活用または信用したことにより生じた損害や損失などに対しても、直接的あるいは間接的な責任を負わないものとします。
※本記事の内容に誤りがある場合は「記事の誤り報告フォーム」から報告をお願い致します。弊社内にて内容を精査後、必要な対策を講じます。

記事の誤りを報告する