株価暴落や為替高騰による資産の損失を免れたからといって、資産が安全だと思っていませんか？答えは、あなたが想像するよりもずっと厳しいものかもしれません。

2025年末を振り返り、ローソク足チャートだけを見れば、今年の状況は、浮き沈みの激しい、お馴染みの強気相場と弱気相場のサイクルのように見えます。しかし、価格カーブの裏には、もう一つ、より息を呑むような軌跡が存在します。今年は、ハッカーによる攻撃がより精密かつ致命的になりました。SlowMist Blockchain Hack Archiveなどのオンラインソースによる不完全な統計によると、12月15日時点で、オンチェーンおよび暗号資産関連のセキュリティインシデントは年間で189件発生し、累積損失は約26億8,900万ドルに達しています。

データパノラマ

時期的に言えば、今年の致命的な「爆弾」のほとんどは第 1 四半期に爆発し、その後の 3 四半期では、業界は小規模および中規模の安全インシデントによる継続的な嫌がらせに直面しました。

第1四半期は68件のインシデントが発生し、約16億5,800万ドルの損失が公表され、件数と金額の両方で年間最大の四半期となりました。これには、Bybit事件を含む10億ドル規模のインシデントが含まれており、この期間の記録を大幅に更新し、他の四半期の記録を上回りました。

第 2 四半期には 52 件のインシデントが発生し、損失は約 4 億 6,500 万ドルでした。第 3 四半期には 38 件のインシデントが発生し、損失は約 3 億 2,800 万ドルでした。12 月 15 日を末日とする第 4 四半期には 31 件のインシデントが発生し、損失は約 2 億 3,800 万ドルでした。

金額で見ると、損失が公表された127件のうち、約半数（62件）は100万ドル未満の損失でした。これらの「小規模事例」は全体の半分を占め、その額は約1,437万ドルで、年間損失総額のわずか0.53%を占めています。真の危機はピラミッドの頂点に大きく集中していました。

Bybitを含む数億ドル規模の3件の大規模ハッキングは、ハッキング件数全体の3%未満を占めるものの、その総額は約18億1,100万ドルに達し、年間総額の67.35%を占めました。特にBybitのケースは、損失額が14億6,000万ドルに達し、年間損失額の半分以上（54.29%）を占めるという、特異な事例となっています。ハッカーにとって、100件の中小規模プロジェクトへの攻撃は、トップクラスの標的への高レベルの「シングルポイント攻撃」を1回行うよりもはるかに利益が少ないのです。

残りのインシデントのうち、損失額が100万ドルから1,000万ドルのインシデントは42件発生し、全インシデントの33.07%を占め、総損失額は約1億9,200万ドル（7.15%）となりました。損失額が1,000万ドルから5,000万ドルのインシデントは15件発生し、全インシデントの11.81%を占め、総損失額は約3億3,700万ドル（12.54%）となりました。損失額が5,000万ドルから1億ドルのインシデントは5件発生し、全インシデントの3.94%を占め、総損失額は約3億3,400万ドル（12.42%）となりました。

2025年のセキュリティインシデントトップ10

公表された被害額に基づき、筆者は今年最も悪質な10件の被害事例を選定しました。これらの10件は被害件数全体から見ればごくわずかな割合に過ぎませんが、年間の盗難総額の大部分を占めています。

1. バイビットのサプライチェーン攻撃：ゴースト署名14億6000万ドル

1. バイビットのサプライチェーン攻撃：ゴースト署名14億6000万ドル

これはWeb3史上最大の単一ハッキングです。オンチェーン調査会社ZachXBTと公式フォレンジックレポートによると、この攻撃はBybitの秘密鍵を直接解読したものではなく、悪名高い北朝鮮のハッカー集団Lazarus Groupによるサプライチェーンポイズニング作戦だったようです。攻撃者はソーシャルエンジニアリングの手法を用いて、マルチシグネチャサービスプロバイダーSafe Walletの開発者のコ​​ンピュータに侵入し、悪意のあるコードを埋め込んだようです。

Bybitチームが通常のコールドウォレットとホットウォレットの集約操作を実行した際、改ざんされたフロントエンドUIは視覚的な欺瞞を仕掛けていました。画面には正当な送金アドレスが表示されていましたが、その基盤となるスマートコントラクトのロジックは、悪意のあるバックドアにひそかに置き換えられていました。その結果、Bybitは知らないうちに499,000ETHをハッカーに送金するトランザクションに署名してしまいました。

しかし、事件発生後、Bybitは迅速にライブ配信と声明を発表し、攻撃の拡大を防ぐため、影響を受けたウォレットとのやり取りを直ちに停止したが、出金・入金機能は正常に維持し、パニックによるプラットフォームへの駆け込みを避けると説明した。アクセスの急増により、一部の出金に遅延が生じる可能性があるとのことだ。また、影響を受けたのはETHのコールドウォレット1つだけで、その他の資産は安全であるとも発表した。Bybitは、プラットフォームには十分な準備金があり、ユーザーの損失を完全に補償することで、ユーザー資金の1：1の安全性を確保すると強調した。

2. Cetusコントラクトの脆弱性：2億6000万ドルのDeFi数学的罠

Cetusは、SUIパブリックチェーンエコシステムにおける重要な流動性提供プロトコルです。事後分析の結果、Cetusのスマートコントラクトには、特定のパラメータを処理する際に数学ライブラリの精度の問題（オーバーフローチェックの欠陥）があることが判明しました。

ハッカーたちはこの論理的な欠陥を悪用し、プール内の価格を下落させることで高価格帯でのポジションを蓄積しました。さらに、オーバーフロー脆弱性を利用して、最小限のトークンコストで人為的に水増しされた流動性をプールに注入し、最終的に2億6000万ドル相当の資産を魔法のように流出させました。しかし、この事件のクライマックスは攻撃そのものだけでなく、その後の救出活動でもありました。ハッカーたちが資金の一部をチェーン間で移動させることに成功した後、Suiバリデータノードは攻撃者がチェーン上に残した約1億6200万ドル相当の資産を迅速に特定し、ロックしました。

この巨額の資金を回収するため、Suiコミュニティは非常に物議を醸すアップグレード提案を可決しました。Suiは、プロトコルアップグレードにハードコーディングによる2つの特別なトランザクションを追加することを公式に支持し、ハッカーのアドレスからCetus、Sui Foundation、セキュリティ会社が共同管理するマルチシグネチャウォレットに資産を強制的に直接送金しました。この提案は承認され、1億6,200万ドルが「没収」され、ユーザーに補償されました。財団からの融資と相まって、Cetusは最終的に被害を受けたユーザーへの全額補償を実現しました。これは被害者を守るための正当な行為でしたが、ブロックチェーン技術の「不変性」という仮面をも打ち砕くものでした。

3. バランサーの論理的欠陥：1億2800万ドルの四捨五入の誤り

長年実績のあるDeFiプロトコルであるBalancerですが、V2においてロジックの脆弱性により大きな打撃を受けました。分析によると、この脆弱性は極めて微妙な丸め方向のエラーに起因することが示唆されています。つまり、非整数のスケーリング係数を含むEXACT_OUT交換を処理する際に、プロトコルが誤って切り捨てを実行していたのです。

攻撃者はこのわずかな差異を巧みに利用し、バルク交換機能を用いて裁定取引を繰り返し、最終的にイーサリアム、アービトラム、アバランチを含む複数のチェーンの流動性プールを空にし、合計1億2,800万ドルの損失をもたらしました。この攻撃はすぐにドミノ効果を引き起こしました。脆弱性が自社のBEXに影響を及ぼすのを防ぐため、Berachainは緊急ハードフォークを通じてネットワーク運用を停止しました。Balancerの流動性に依存するStakeWiseやBeetsなどのプロトコルは深刻な被害を受けました。

4. ノビテックス、州レベルの取り締まりに苦しむ：9000万ドル規模のデジタル地政学的紛争

Nobitexが公式にインシデントを公表した際、金銭的損失と事業への影響について大まかな説明のみを提供しました。インシデントは、イランとイスラエル間の12日間にわたる軍事紛争という、まさに緊張感に満ちた時期に発生しました。攻撃者であるPredatory Sparrowは、インシデントの隠蔽や資金洗浄を試みることなく、ブルートフォース攻撃によって生成された、イラン革命防衛隊（IRGC）を非難するスローガンを含むアドレスに資金を送金しました。

Nobitexが公式にインシデントを公表した際、金銭的損失と事業への影響について大まかな説明のみを提供しました。インシデントは、イランとイスラエル間の12日間にわたる軍事紛争という、まさに緊張感に満ちた時期に発生しました。攻撃者であるPredatory Sparrowは、インシデントの隠蔽や資金洗浄を試みることなく、ブルートフォース攻撃によって生成された、イラン革命防衛隊（IRGC）を非難するスローガンを含むアドレスに資金を送金しました。

この行為は資金を直接的に使用不能にし、回収不能に陥れ、ブロックチェーン上に事実上「デジタル焦土作戦」を作り出した。その目的は極めて明確だった。金銭目的ではなく、イランの金融の生命線を麻痺させ、敵対勢力に屈辱を与えることだった。この攻撃はNobitexのソースコードの漏洩にもつながり、イランの暗号経済の「諸刃の剣」が露呈した。コードから、Nobitexには法執行機関向けの「バックドア」が組み込まれており、令状なしで一般ユーザーを監視できることがわかった。同時に、VIP（通常は制裁対象となった高官や団体）向けに特別なプライバシー保護ロジックが設計されており、国際的な制裁やマネーロンダリング対策の監視を回避できるようにしていた。

5. UPCXアクセス盗難：7000万ドルの流動性不足

一見華やかなハッキング作戦に見えたが、実際にはジレンマに陥っていた。4月1日、Cyversは決済パブリックチェーンUPCXの管理アカウントに異常を検知した。

攻撃者は管理者権限を取得し、ProxyAdminコントラクトをアップグレードしてwithdrawByAdmin関数を呼び出すことで、3つの管理アカウントから1,840万UPCトークン（帳簿価格最大7,000万ドル）を一度に引き出したとされています。しかし、CoinGeckoのデータによると、当時のUPCXの流通量はわずか約400万トークンでした。つまり、ハッカーは流通量全体の4.6倍を保有していたことになります。

6. Phemexホットウォレットが侵害され、7000万ドルのマルチチェーンが流出

1月23日、シンガポールを拠点とする仮想通貨取引所Phemexは大規模なサイバー攻撃を受け、最大7,000万ドルの損失が発生しました。セキュリティアナリストは、攻撃者は北朝鮮系ハッカー集団TraderTraitorである可能性が高いと推測しています。攻撃者は並外れたプロ意識と実行力を発揮し、少なくとも8つのアドレスを使用して、ETH、Solana、Polkadotを含む複数のパブリックブロックチェーン間で同時に資産を転送し、標的を絞った攻撃を仕掛けました。

攻撃者は、USDCやUSDTなどの凍結可能な資産をETHに変換することを優先し、その後、数百ドル相当の小額の暗号資産も盗みました。その後、Phemexは約18億ドルの準備金を活用し、補償金の支払いとサービスの復旧を開始し、プラットフォームの運用を一時的に安定させました。

7. Bitcoin Turk ホットウォレットが 5,400 万ドルの 2 度目の大損失を被る。

トルコ最大の暗号通貨取引所BitTorqueにとって、今回の事件はお馴染みの悪夢です。14ヶ月前、同取引所はホットウォレットから5,500万ドルが盗難された事件を受け、大規模な経営陣の刷新を行いました。そして再び悲劇が訪れ、ハッカーたちは7つのブロックチェーンの秘密鍵に容易にアクセスし、約5,400万ドルを盗み出しました。

この事件で最も残念なのは、被害額ではなく、同じミスが繰り返されたことです。2件連続の盗難は、ホットウォレットの秘密鍵の管理が不十分だったことが原因です。これはユーザーにとって最悪のニュースです。プラットフォームが本当に教訓を学んだのか、それとも次の盗難を待っているだけなのか、全く分からないからです。

8. インフィニアクセス盗難：ギャンブラーに5000万ドル盗まれる

当初、チームはオンチェーンアナウンスを行い、20%の報奨金を提供することでハッカーを募集しようとしましたが、調査が深まるにつれて、衝撃的な真実が明らかになりました。それは外部からの侵入ではなく、コアエンジニアによる盗難だったのです。

ネット上に流布されている裁判所文書によると、第一被告の陳善軒（Infiniのコア契約エンジニア）は、契約の展開中にスーパー管理者権限を保持し、マルチ署名アクセス権が移管されたとチームに虚偽の主張をするなど、職権を乱用した。被告は、ハイレバレッジ契約取引とオンラインギャンブルへの長年の依存により、多額の負債を抱えていた。事件以前にも、同僚から繰り返し借金をし、闇金業者にも接触していた。

債務のプレッシャーに駆られた彼は、権力を乱用し、金庫から5,000万ドルを空にしました。USDCをDAIに、そしてETHに交換し、暗号通貨ミキシングによる資金洗浄を企てました。この信頼に基づく場当たり的な管理スタイルは、暗号通貨の核となる価値観の一つである「信頼するな、検証せよ！」を改めて証明しています。

債務のプレッシャーに駆られた彼は、権力を乱用し、金庫から5,000万ドルを空にしました。USDCをDAIに、そしてETHに交換し、暗号通貨ミキシングによる資金洗浄を企てました。この信頼に基づく場当たり的な管理スタイルは、暗号通貨の核となる価値観の一つである「信頼するな、検証せよ！」を改めて証明しています。

9. CoinDCX管理の脆弱性：フリーランスの仕事を引き受けることで4420万ドルのジレンマ

インドの取引所CoinDCXが、突如として「インサイダー」による危機に見舞われました。ハッカーたちは早朝、1USDTの小規模なテスト取引を行い、その後、ダム決壊のように4,420万ドル相当の資産を盗み出しました。警察の捜査により、同社の従業員であるラフル・アガルワル容疑者がすぐに特定され、逮捕されました。

調査の結果、アガルワル氏は長期間にわたり会社支給のノートパソコンを私用で使用し、過去1年間で約1万8000ドルの副収入を得ていたことが明らかになりました。しかし、この悪用された会社所有物は、最終的に外部のハッカーが社内ネットワークに侵入するために利用したトロイの木馬と化しました。従業員のエンドポイントセキュリティと行動規範は、目に見えないとはいえ、取引所にとって極めて重要な防御策であり、決して無視することはできません。

10. GMX経営の脆弱性：修復にもかかわらず悪化する4200万ドルのブーメラン

分散型デリバティブ取引プロトコルGMX V1は、スマートコントラクト攻撃における古くからある脆弱性、すなわちリエントラント（再入性）の影響を受けています。リエントラント攻撃は、コントラクトロジックの時間差を悪用し、システムが最終計算を完了する前に強制的に「割り込み」を行い、再度呼び出しを開始します。今回のケースでは、ハッカーはシステムによるポジション数の更新と平均価格の差を悪用し、システムが誤って古い価格を使用して資産価値を計算するように仕向けることで攻撃を仕掛けました。

皮肉なことに、この致命的な脆弱性は、2022年にGMXチーム自身が緊急にバグを修正している際に作り出したものでした。十分な監査が行われなかったため、3年前のこの爆弾はついに爆発しました。幸いなことに、ハッカーたちは最終的にホワイトハット契約に同意し、資金の大部分を返還しました。

攻撃方法

攻撃手法を細かく分析すると、ハッカーによるWeb3への侵入は階層化された「3次元戦争」のようであることがわかります。攻撃手法が異なれば、技術的な深度と破壊力の限界のレベルも全く異なります。

サプライチェーン攻撃は、その破壊力の限界が非常に高いことを示しています。年間を通して記録された攻撃はわずか4件で、そのうち3件は比較的軽微な被害にとどまりましたが、Bybitの事例（14億6000万ドル）は、この攻撃手法の恐ろしさを如実に示しています。この攻撃は、オンチェーンのスマートコントラクト防御を回避し、インフラやコードソースを直接汚染するのです。このような攻撃は実行が非常に困難な場合が多いですが、ひとたび中央集権的な巨大企業のサプライチェーンに侵入すれば、壊滅的な被害をもたらします。最も頻繁な脅威ではありませんが、業界にとってまさにダモクレスの剣と言えるでしょう。

契約とプロトコルの脆弱性は、ハッカーやプロジェクトチームにとっての主戦場です。これはセキュリティインシデントの主な原因であり、63件のインシデントで約6億7,500万ドルの損失が発生しています。これは典型的な「テクニカルゲーム」であり、ハッカーは数学的または論理的な欠陥を見つけるためにコードロジックに精通している必要があります。単一のインシデントの破壊力はBybitほど壊滅的ではありませんが、DeFiプロトコルには多額の資金が預けられているため、小さな侵害でさえ数百万ドルから数千万ドルの不正利益をもたらす可能性があります。

対照的に、アカウント／フロントエンド攻撃は、低コストの周辺的な嫌がらせと言えるでしょう。このカテゴリーには57件もの事例（Twitterハッキングやフロントエンドインジェクションを含む）が記録されていますが、記録された損失額はわずか1,774万ドルです。これらの攻撃は、通常、トラフィックハイジャックやフィッシングリンクといった手法を用いており、侵入の技術的障壁は比較的低いです。ソーシャルメディア上で最も大きなパニックを引き起こしますが、オンチェーンの金庫に直接アクセスできないため、実際に引き起こされる損失は「表面的な損害」にとどまることが多いのです。

さらに、人的要因も無視できません。逃亡、内部妨害、秘密鍵の漏洩も大きな損失をもたらしました。管理は常に最優先されるべきです。システムがどれほど完璧であっても、鍵を持つ人間は必ず抜け穴を塞ぐことができないのです。

暗号通貨愛好家のための救世主リスト

ハッカーのKPI達成を手助けする側にはならないでください。Web3の世界で長く生き残るための、役立つチェックリストをご紹介します。

1. 公式の情報源であっても誤解を招く可能性があると想定されています。

「公式エアドロップ」や「緊急補償」といったリンクはクリックしないでください！Twitterはハッキングされる可能性があり、Discordは侵入される可能性があり、大統領でさえ偽札を発行する可能性があります。

公式サイトやオンラインコミュニティで情報を確認してください。投資回収に10年かかるよりも、1分余分に確認する方がずっと良いでしょう。

「公式エアドロップ」や「緊急補償」といったリンクはクリックしないでください！Twitterはハッキングされる可能性があり、Discordは侵入される可能性があり、大統領でさえ偽札を発行する可能性があります。

公式サイトやオンラインコミュニティで情報を確認してください。投資回収に10年かかるよりも、1分余分に確認する方がずっと良いでしょう。

2. よく知らないプロジェクトの場合は、セカンダリアカウントのみを使用して参加してください。

メインウォレットで、馴染みのないDAppsや聞いたことのないDAppsに多額の資金を保管するのはやめましょう。まずは数百USDTだけを入れたウォレットを用意し、様子見をしましょう。

孤立の習慣を身につければ、爆弾が発射されたとしても、少数の部隊に影響を与えるだけで、主要基地は無傷のままです。

3. 無制限の権限付与は極力避け、定期的に権限を取り消します。

全財産を託すような契約は存在しません。承認された限度額のみを入力してください。ガソリン代を節約するために無制限の限度額を入力しないでください。

Revoke.cash を定期的に使用して、長期間使用されていない承認や見慣れない承認を取り消します。

4. 署名に時間がかかり、確認が複数回必要になる

小さなキツネからのポップアップ署名ボックスが表示されたら、「確認」をクリックするだけではいけません。次の3つの質問を自問自答してください。この取引は一体何のためのものなのか？契約アドレスは正しいのか？もし盗難に遭ったら、損失を負担できるのか？

質問に答えられない人は、署名を拒否します。

5. 資金は取引用の資金と貯蓄用の資金に分けておく必要があります。

一部の資金を取引所に、一部をオンチェーンウォレットに預け、さらに複数のチェーンに分散させます。取引口座＝柔軟にアクセスできる資金（取引所／ホットウォレットに預ける）、一方、貯蓄口座＝ほとんど使われない資金（コールドウォレット／マルチシグネチャに預ける）です。

貯蓄口座で、無作為のリンクをクリックしたり、不要な権限を許可したりしないでください。分散投資とは、より多くのお金を稼ぐことではなく、口座の一部が破綻した場合でも回復できる資金を確保することです。

覚えておいてください、Web3 にはチャンスが不足しているわけではありませんが、常に参加できる人材が不足しています。