暗号資産ハッカーは2026年上半期に207件の攻撃を実行し、過去最多の半年間件数を記録するとともに、被害額は9億7,200万ドルに達した。件数は倍増以上となった。
重要ポイント
- 2026年上半期の暗号資産ハックは207件と過去最多となった一方、被害総額は9億7,200万ドルと前年の半分以下にとどまった。
- 北朝鮮系ハッカーは盗まれた資金の66%に関与しており、4月の2億9,200万ドル規模のKelpDAO攻撃や2億8,500万ドル規模のDrift Protocol窃取などが含まれる。
- インフラや鍵の流出による侵害は全体の15%の件数に過ぎないにもかかわらず、被害額の約76%を占め、業界全体のオペレーションセキュリティの弱さを露呈した。
暗号資産ハックが急増
ブロックチェーンセキュリティ企業のTRM Labsは、2026年最初の6か月間に207件の暗号資産ハックを記録し、同社が追跡してきた中で半年ベースで過去最多となったと報告した。スマートコントラクトの脆弱性を突いた攻撃が急増の主因となり、全体の約60%に当たる125件を占めた。1件あたりの被害額中央値は約21万9,000ドル、平均値は470万ドル超となり、ごく少数の大型攻撃が全体の額を押し上げた。
それでも被害総額は9億7,200万ドルと、2025年同時期の23億ドルから半分以下に減少した。
攻撃は年が進むにつれて激しさを増した。第2四半期だけで123件と四半期ベースの新記録を更新し、すでに高水準だった第1四半期に続く結果となった。
関連記事: OpenAIとAnthropicはSpaceX級のIPOを狙うが、ウォール街は難色を示す可能性
北朝鮮が被害額を主導
TRM Labsによると、北朝鮮系とみられるハッカーは、この半年に盗まれた約9億7,200万ドルのうち約66%を占めた。
これは年初に記録された76%からやや低下したものの、同国の存在感は2020年以降一貫して拡大しており、当時は世界全体のハック被害額の1割に満たなかった。
4月には、リステーキングプロトコル KelpDAOと取引プラットフォーム Drift Protocolを標的にした2つの攻撃で合計5億7,700万ドルが流出し、同グループに紐づく被害額の大部分を占めた。
KelpDAOの侵害では、クロスチェーンブリッジ上の検証データを偽造して裏付けのないトークンをミントし、単独で2億9,200万ドルの損失を発生させた。ブロックチェーン調査によると、盗まれた資産はその後クロスチェーンプラットフォームのTHORChainを経由してビットコイン(BTC)にスワップされた。
不正にミントされたトークンはその後レンディングプラットフォームAave上で担保として差し入れられ、同プラットフォームのロック総額(TVL)は2日間で数十億ドル急落した。この攻撃を受け、Aaveは損失の連鎖拡大を防ぐため、影響を受けたマーケットの凍結を余儀なくされた。この一件は、すでに弱気ムードの強まっていた分散型金融市場の悲観論をいっそう強めた。
TRM Labsは、損失額の約4分の3はスマートコントラクトのバグではなく、インフラやカストディの不備に起因していると指摘し、オンチェーンの複雑さが増す一方で、オペレーションセキュリティが追いついていないことを示した。
こうしたハックはDeFi市場の苦境に追い打ちをかけている。DeFiプロトコル全体のロック総額は、1月の約1,150億ドルから6月下旬には約700億ドルまで減少し、2年ぶりの低水準となった。この期間に価値を増やしたのはTronなどごく一部の主要ブロックチェーンにとどまり、多くの主要ネットワークは2桁台の下落を記録した。同期間中、ビットコインは28%超、イーサ(ETH)は40%超下落し、預かり資産の減少に苦しむプロトコルへの下押し圧力を強めた。





