カストディの逆説

伝統的金融において、カストディとは信頼の連鎖である。資産は投資家からカストディアンへ、カストディアンからブローカーへ、ブローカーから取引所へと移動する。各段階でカウンターパーティリスクが加算される。各段階でコストが発生する。この構造全体が存在する理由は単純だ——数百年間、他に方法がなかったからである。

オンチェーンプロトコルはこの連鎖を排除した。資産は自分のウォレットにある。トランザクションに署名する。決済は即座にファイナルとなる。仲介者なし、T+2なし、会ったこともない取引相手からのマージンコールもない。

それにもかかわらず、このアーキテクチャから最も恩恵を受けるはずの機関資本は、その大部分が不在のままである。

数兆ドルの傍観者

オンチェーン無期限取引所は2025年を通じて12兆ドル超の取引高を処理した。単一のプロトコルであるHyperliquidは、ピーク時に日次300億ドルを処理する——世界最大の中央集権型取引所に匹敵する数字だ。インフラは機能している。流動性は実在する。

しかし、実際に取引している主体を見ると様相は異なる。アクティブアドレスは25万未満。圧倒的多数がリテールである。機関資本——年金基金、資産運用会社、ファミリーオフィス——は数十年来使い続けてきた同じカストディ体制の中に留まっている。

理由はパフォーマンスではない。流動性でもない。カストディだ。

規制を受ける機関は、一つの問いに明確な回答がなければ資本を動かせない。資産を誰が管理しているのか。「理論上は誰が」でも「デフォルトでは誰が」でもない。監査人、コンプライアンスオフィサー、複数管轄の規制当局を満足させる形で、誰が管理しているのか。

オンチェーンの回答——「ご自身が、秘密鍵で」——は技術的に正確であり、機関実務では役に立たない。

トリレンマ

オンチェーン取引を望む機関は、最近まで同時に充足することが不可能だった三つの要件に直面する。

資産管理権。 機関が資金に対する最終的な権限を保持しなければならない。第三者が明示的な承認なく資産を移動・引き出し・差し押さえることがあってはならない。

リアルタイム執行。 クオンツ戦略、アービトラージ、アクティブトレーディングはミリ秒単位の注文執行を要求する。署名遅延が数秒でも発生すれば、スリッページとアルファの喪失に直結する。

規制整合性。 カストディ構造が規制当局に評価可能な形でなければならない。「コードがカストディアン」というのは哲学であり、コンプライアンスフレームワークではない。

従来の仕組みは選択を強いた。取引所のAPIキーをトレーディングファームに委任すれば速度は得られるが——キー保有者が事実上の資産受託者となる。MPCウォレットで全取引に共同署名を要求すれば管理権は維持できるが——実行遅延がタイミング依存の戦略を破壊する。スマートコントラクトのボールトに資産をロックすればプログラマブルな管理が得られるが——そのコントラクトのあらゆる脆弱性を継承する。2025年、Cork Protocolは単一トランザクションのコントラクトエクスプロイトにより1,160万ドルを失った。

三つのうち二つ。どれを諦めるか選ばなければならなかった。

鍵と金庫の分離

解決策は欺瞞的にシンプルだ。取引権限と資産権限をプロトコルレベルで分離する。

この概念はセッションキーと呼ばれる——APIウォレットまたはエージェントウォレットとも言う。仕組みはこうだ。資産を保有し全ての引き出し権限を保持するマスターウォレットが、限定的な権限をセカンダリーキーに委任する。セカンダリーキーは取引を執行し、ポジションを変更し、エクスポージャーを管理できる。資金を引き出すことはできない。資産を送金することもできない。同一のL1レジャー上でポジションを建て・閉じること以外には、マスターウォレットの残高に一切アクセスできない。

マスターウォレットはこの委任を即座に取り消すことができる。有効期限も設定可能だ——3ヶ月、1ヶ月、1週間。セッションキーが漏洩した場合の最悪のシナリオは一連の不利な取引であり、ウォレット全額の流出ではない。

これは新しい発明ではない。伝統的金融が数百年にわたり使用してきた限定委任状（Limited Power of Attorney）のオンチェーン実装だ。ポートフォリオマネージャーはクライアントに代わり取引を執行できるが、クライアントの資金を送金することはできない。クライアントはいつでも委任を撤回できる。

違いは執行の方法にある。伝統的金融において制限は契約により成立する。違反は事後に罰せられる。オンチェーンにおいて制限はプログラム的だ。セッションキーは文字通り引き出し関数を呼び出すことができない。「事後」は存在しない。当該行為自体が不可能だからである。

ハッキングすべきコントラクトが存在しない

ここで重要なニュアンスがある。大半のDeFiプロトコルはユーザーに資産をスマートコントラクトに預け入れることを求める。トークンはウォレットを離れ、プロトコルのコントラクトに入り、共有プールやボールトの一部となる。以降の処理はプロトコルのコードが管轄する。

攻撃面はまさにここにある。あらゆる主要なDeFiエクスプロイト——Euler、Mango、Cork——はユーザー資金を保持するコントラクトを標的とした。ロジックを突破し、プールを空にする。

一部のL1プロトコルは根本的に異なるアーキテクチャを採用している。資産がアカウントを離れない。サードパーティのコントラクト内部ではなく、チェーン自体のレジャー上に残高として存在する。取引とはプロトコルエンジンが残高を直接更新すること——ここで差し引き、そこで加算——であり、間に資金を保持するコントラクトは介在しない。

実質的な帰結：空にすべきプールが存在しない。エクスプロイトすべきボールトコントラクトが存在しない。DeFiユーザーに数十億ドルの損害を与えた攻撃面そのものが、このモデルには存在しない。残るリスク——バリデータの妥協、ブリッジの脆弱性——はチェーン全ユーザーが共有するインフラリスクであり、カストディ構造固有のリスクではない。

規制の追い風

長年にわたり、オンチェーン取引インターフェースに対する規制の姿勢は、曖昧であれば幸いで、敵対的であることが多かった。プラットフォームが証券取引を仲介するのであれば、資産を保管しているか否かにかかわらず、ブローカー・ディーラーライセンスが必要になりうるという立場であった。

それが変わりつつある。2026年4月、SECのDivision of Trading and Marketsは特定の暗号資産ユーザーインターフェースに関するスタッフステートメントを発表した。核心はこうだ。セルフカストディアルウォレットを通じてユーザーが自ら開始する取引を支援するプラットフォームは、投資家を勧誘せず、執行経路に影響を与えず、適切な内部ポリシーを備えていれば、ブローカー・ディーラー登録なしに運営できる。

スタッフステートメントであり正式な規則ではない。全ての疑問を解決するものではない。しかし方向性は明白だ。前政権下で事実上あらゆる暗号資産トークンを証券として扱った同じ機関が、今や非カストディアルインターフェースが法の枠内で運営しうるフレームワークを積極的に構築している。

セッションキーはこの立場を強化する。ユーザーのマスターウォレットが本人の管理下を離れず、取引キーが資金にアクセスできず、ユーザーがいつでも委任を撤回できるのであれば——「セルフカストディ」の論拠は、中央集権型取引所のAPIキー委任よりも実質的に明確となる。

未解決の課題

誠実さのために、セッションキーが解決できないものを認めなければならない。

悪意ある、あるいは漏洩したセッションキー保有者は資産を窃取できないが、価値を毀損することはできる。過度なレバレッジポジションを意図的に構築する、流動性の薄い市場で取引する、清算を誘発する——いずれも「取引権限」の範囲内で可能だ。資金がウォレットを離れなくとも、経済的損害は深刻となりうる。これを緩和するには、モニタリングシステム、ポジション制限、プロトコルレイヤーの外側にある契約上の保護措置が必要だ。

バリデータの中央集権化は現実的な懸念だ。一部のL1チェーンは少数のバリデータセットと集中したステークで運営されている。バリデータが連携して妥協された場合、理論上は未承認の状態変更を承認しうる。このリスクは構造的であり、セッションキーユーザーだけでなく全ユーザーに該当する。

そして法的な問い——「引き出し権限なし」が日本、シンガポール、EU、その他の管轄権の法律の下で確定的に「非カストディ」を意味するか——は依然として法的解釈の領域に留まっている。SECの声明は心強いが決定的ではなく、数多くの管轄権のうちの一つにのみ適用される。

門は開きつつある

カストディの逆説が機関資本を傍観席に留めたのは、技術が不十分だったからではなく、信頼モデルが不完全だったからだ。セッションキーがそのモデルを完成させる——完璧ではなく、リスクは残るが、機関の論理が初めて成立する水準まで。

技術は準備できている。規制の方向も、少なくとも米国においては、好転しつつある。残されているのは運営インフラだ——モニタリング、コンプライアンスツール、そしてセッションキーモデルを証券口座へのログインと同じくらい直感的にするインターフェース。

機関はより良いブロックチェーンを待っているのではない。実際に承認できるカストディ構造を待っているのだ。その待ち時間は短くなりつつある。