なぜDeFiはハッキングで数百万ドルを失い続けるのか

📄原文全文· trafilatura により自動抽出Gemini 翻譯8607 文字

概要 - DeFiプロトコルは2026年の最初の5ヶ月で10億ドル以上を失っており、4月だけでDrift、Kelp DAO、その他十数件の小規模な被害を合わせて6億ドル以上が流出した。 - TRM Labsによると、2026年4月までの世界の暗号資産ハッキング損失のうち76%がNorth Korea関連の攻撃者によるもので、2025年の64%、2020年の10%未満から上昇している。 - 専門家によれば、AIによって脆弱性発見のハードルが下がっており、古いまたは未検証のスマートコントラクトが自動偵察の標的になるケースが増えている。 DeFiハッキングにとって過去最悪の年の一つになりつつあり、まだ半分も経過していない。 2026年の最初の5ヶ月で、DeFiハッキングにより8億4,000万ドル以上が失われた。そのうち4月だけで6億ドル以上が盗まれており、年間最大級の2件の攻撃が主導した。2億9,200万ドルのKelpDAOエクスプロイトと2億8,500万ドルのDrift Protocol侵害である。損失は5月にも続いており、THORChainはセキュリティ研究者が1,000万ドル以上に影響を及ぼすクロスチェーン・エクスプロイト疑惑を指摘した後、取引を停止した。 DeFiLlamaのデータによれば、TrustedVolumes、Echo Protocol、Step Finance、Truebit、Resolv Labs、Volo Protocol、Rhea Finance、Verus-Ethereumブリッジ、その他多くがDeFiが依拠するあらゆる信頼前提のストレステストのような被害者リストを構成している。 Decryptが取材した専門家らは概ね、近年のDeFiハッキングがブリッジや管理システム全体にわたる構造的弱点を露呈しており、AIの進展が攻撃者の脆弱性発見を加速させている可能性があるという診断で一致している。 Web3セキュリティプラットフォームCertiKのシニア・ブロックチェーン調査員であるNatalie Newsonは、Decryptに対し、4月は暗号資産エクスプロイトにとって異常に深刻だったものの、より広範な傾向は依然として安定しており、2023年のピーク件数を下回っていると語った。「2026年4月は暗号資産エクスプロイトにとって悪い月だった。少なくとも10,000ドルが盗まれたエクスプロイトがなかった日はわずか3日しかなかった」と彼女は述べた。「しかし、より広い視点で見ると、(フィッシングを除く)インシデント数はかなり一貫しており、2023年のピークよりも依然として低い」とNewsonは指摘し、4月の深刻さは100万ドル以上の損失を出した14件のエクスプロイトによって引き起こされ、これは2025年9月の16件に次ぐ規模だと付け加えた。 North Koreaという要因 TRM LabsのGlobal Head of Policy and Government AffairsであるAri RedbordはDecryptに対し、急増の原因は、5年で周辺的なプレイヤーから決定的な脅威へと変貌した単一の国家アクターに遡ると語った。「支配的な要因はNorth Koreaであり、そのキャンペーンはより広範囲化するのではなく、より鋭くなっている」とRedbordは述べ、North Korea関連の攻撃者が2026年最初の4ヶ月における世界の暗号資産ハッキング損失の76%を占め、2025年の64%、2020年の10%未満から上昇したと指摘した。「North Koreaは技術だけでなく、洗練され綿密に計画されたソーシャルエンジニアリングも用いてこの分野を攻撃している」と彼は述べた。今年これまでで最大のDeFiハッキングは4月18日にKelpDAOを襲い、攻撃者はクロスチェーンブリッジから約116,500 rsETH(およそ2億9,200万ドル相当)を流出させた。ブリッジのメッセージングインフラを支えていたLayerZeroは最新のポストモーテム報告で、攻撃は3月6日に開発者がソーシャルエンジニアリングを受け、セッションキーが収奪されたことから始まったと述べた。 @Mandiantおよび@CrowdStrikeと協力して作成した、4月18日のインシデントに関する完全なポストモーテムを共有します。エグゼクティブサマリーと完全なレポートの両方を以下のリンクで公開します。過去4週間、私たちは何百ものパートナーと協力して、彼らを支援してきました… pic.twitter.com/yVZdqjLTeT — LayerZero (@LayerZero_Core) 2026年5月20日クロスチェーンメッセージングプロトコルは、Mandiant、CrowdStrike、独立した研究者らにより、攻撃はUNC4899としても知られるDPRKの脅威アクターTraderTraitorに帰属されたと述べた。 DeFiが打撃を吸収し続ける構造的理由は、資金がどこにあり、どのように動くかに帰着するとRedbordは付け加えた。「DeFiのクロスチェーンの複雑性は標的に富む環境を生み出しており、ブリッジは一貫して最大の単一インシデント損失を生み出し、中核的な問題がアーキテクチャ的であるため失敗モードが驚くほど一貫して繰り返される」と彼は指摘した。繰り返されるパターンオンチェーンセキュリティプラットフォームBlockaidの共同創業者兼CTOであるRaz NivはDecryptに対し、今年の最大級のインシデント全体で3つの技術的パターンが繰り返し現れていると語った。特権アクセス制御の失敗、攻撃者が実装コントラクトをバックドア化されたバージョンに交換する悪意あるプロキシアップグレード、そしてクロスチェーンメッセージ検証のギャップである。特権アクセスについて、Nivは同社が「異常な『Role Granted』イベントと不正な権限昇格」を監視しており、Echo Protocolエクスプロイトのようなインシデントは侵害されたまたは誤って設定された管理者キーに遡るものだと述べた。「攻撃者は秘密鍵にソーシャルエンジニアリングで到達するか、設計が不十分なマルチシグの閾値を悪用する」と彼は付け加えた。彼は特権アクセス制御、悪意あるプロキシアップグレード、クロスチェーン検証システムに関わる失敗を指摘し、近年の攻撃がますます複雑化するインフラを結びつける前提におけるより深い弱点を露呈していると述べた。「共通の糸は複雑性そのものではない」とNivは語った。「各抽象化層(プロキシ、管理者ロール、クロスチェーンメッセージング)が、攻撃者が体系的に探る信頼前提を導入していることだ」 AIの影響 NivはAIがエクスプロイト発見をますます変容させていると述べたが、その影響はしばしば誤解されていると注意を促した。現在のモデルは既知の脆弱性を大規模に特定することにおいてますます効果的になっており、「熟練した監査人が行うことを自動化している」と彼は述べた。一方で「真の懸念はAIが人間の攻撃者を置き換えることではない」とし、AIが偵察を担い、攻撃者がより洗練された手法に集中できるようにすることで「攻撃者を増幅させている」と警告した。「良いニュースは、防御側も同じツールを使えることだ。AI支援の監視とシミュレーションは、ペースに追いつこうとするセキュリティチームにとって不可欠になりつつある」とNivは付け加えた。 DeFiハッキングの急増について、Newsonは同様の傾向を指摘し、「唯一の要因ではないが、寄与している可能性が高い一つの要因がAIの進歩だ」と述べた。彼女はCertiKが古く未検証のコントラクトが悪用されるケースの増加を確認しており、「AIが脆弱性発見を支援しているという論理的な仮定」が成り立つと付け加えた。同様にRedbordは「悪意ある行為者がAIを大規模に展開している」と述べ、偵察、ソーシャルエンジニアリング、エクスプロイト設計全般にわたり、Driftのような攻撃で見られる洗練度は「AI支援ワークフローと一致している」ように見えると付け加えた。 TRMのアナリストらはNorth KoreanのオペレーターがオペレーションにますますAIツールを組み込んでいると考えており、彼は「答えは、敵対者が攻撃にAIを展開しているのと同じ攻勢で防御にAIを展開することだ」と述べた。コードを超えて RedbordはDeFiハッキングは「解決可能な問題」だと述べたが、業界は失敗が実際にどこで起きているかについてより正直になる必要があると語った。彼は「監査はコードのバグを防ぐ」が、報じられたところによるとNorth Koreanのプロキシが侵害前に数ヶ月にわたりアクセスを培ったDriftのような洗練されたソーシャルエンジニアリングキャンペーンには対応できないと指摘した。「機能するモデルは、リアルタイムの官民協調だ」と専門家は付け加えた。 Newsonは2026年は「進化的な転換点」を表すかもしれないと述べ、業界はサイバーセキュリティが「AI、DPRK、あるいはインフラと人員」にまたがる「フルスタックの問題」であることを学んでいると語った。「オンチェーンの数学がどれほど完璧でも、オフチェーンの人間プロセスが脆弱であれば意味がない」と彼女は述べ、業界はインフラとソーシャルエンジニアリングのリスクに対処するため「実用的で構造的な解決策」へとますますシフトしていると指摘した。信頼への打撃 DeFi分野における信頼への被害は定量化が難しいが、観察は容易だ。 Kelp DAOエクスプロイトはAaveだけから62億ドル相当の引き出しの波を引き起こし、その後Aave CEOのStani Kulechovが主導する「DeFi United」と名付けられた救済努力が、不良債権を裏付けるためにおよそ3億300万ドル相当の132,650 ETHを調達した。協調的な対応は業界が結集できることを示している。同時に、単一のブリッジエクスプロイトを取り繕うためにどれほどの資本が必要かも示している。 Newsonは余波は誰が影響を受けるかに完全に依存すると述べた。「経験豊富な業界のベテランは、過去6週間を当然のこと、すなわち次の進化的な常態であり、そこから学ぶべき厳しい経験と見なすかもしれない」と彼女は語った。彼女は繰り返されるエクスプロイトの影響は新しい市場参加者にとっては大きく異なって見えると指摘し、多額の資金を失うユーザーにとって、余波は「学習体験」ではなく、暗号資産の長期的な「実行可能性と安全性」についての「実存的な問い」を提起すると警告し、技術的な修正は損害を取り消すには遅すぎることが多いと述べた。

データステータス✓ 全文抽出済み原文を読む（Decrypt）

🔍過去の類似イベント· キーワード + 銘柄照合6 件

2026-04-26

大規模なエクスプロイトと130億ドルの投資家流出にもかかわらず、なぜDeFiは死んでいないのか

類似度 150%關鍵字 why/defi/exploits

2026-05-28

幼児は転びながら学ぶ：DeFiの200億ドルTVL減少が単なる市場のストレステストである理由

類似度 130%關鍵字 why/defi

2026-05-27

Stake DAO のエクスプロイトが示す、DeFi において「Audited」が安全を意味しない理由

類似度 130%關鍵字 why/defi

2026-05-25