2025年の暗号ハックが31億ドルを超え、アクセス制御の欠陥やAIの脅威が増大

暗号業界は2025年に前例のないセキュリティ侵害の波に直面しており、ブロックチェーンセキュリティ企業Hackenの包括的な新レポートによると、年初だけで31億ドル以上のデジタル資産が盗まれています。

主にアクセス制御の脆弱性、古いコードベース、AI駆動の攻撃によって引き起こされた損失は、2024年の年間合計28.5億ドルを既に超えており、Web3の採用が世界的に進展する中でセキュリティ危機が悪化していることを示しています。

Hackenの調査結果は、人間およびプロセスレベルのセキュリティにまつわる恒常的な構造的弱点を強調しており、これらは現在暗号理論的な欠陥を上回り、主要な攻撃ベクトルとなっています。2月の1.5億ドルのBybitハックなどの大規模インシデントは統計的には例外かもしれませんが、レポートでは、損失の大半が古いコード、誤った設定の許可、または保護されていないAPIに関連する防ぐことができる欠陥に起因することを強調しています。

Hackenは、カテゴリーエントリの失敗があるとし、許可設定が弱いために無許可のアクターが特権機能を制御することでアクセス制御の脆弱性が発生し、2025年に盗まれた資金の推定59%を占めると報告しています。これは、数十のインシデントで183億ドル相当の価値が失われたことに相当します。

このトレンドは2024年を反映しており、類似の制御レイヤーの脆弱性がデータを利用したことを示しています。しかし、攻撃のスケールと洗練度は2025年にかけて加速しており、いくつかの大規模侵入がレガシースマートコントラクトと過去の管理ロジックを中心にターゲットとされています。「完全に停止されていない限り、プロジェクトは古いまたはレガシーコードベースに注意を払う必要があります」と、Hackenのフォレンジックスおよびインシデント対応部門責任者であるYehor Rudytsiaは述べています。「多くのプロトコルはいまだに廃止されたと考えられていたバージョンから管理機能をさらしています。」

Rudytsiaは、2025年Q3にレガシーコントラクトアーキテクチャの脆弱性が積極的に悪用されたGMX v1の例を指摘しました。

DeFiとCeFiプラットフォームは依然として課題を抱えている

分散型金融（DeFi）と中央集権型金融（CeFi）プラットフォームは、今年度に1.83億ドルを超える損失を運用とセキュリティの欠陥により経験しました。Q2で最も重大なインシデントはCetusプロトコルの利用であり、わずか15分で2.23億ドルの損失を引き起こし、2023年初以来の最悪のDeFi期を作り、5四半期のハックボリューム減少トレンドを終わらせました。

Hackenの分析によると、Cetusアタッカーは流動性プール計算の欠陥であるオーバーフローチェックを利用したフラッシュローン攻撃を実施しました。264プールにわたる一連のマイクロポジションを開くことで、システムを圧倒し、実時間のセキュリティメカニズムを発動させることなく大量の流動性を排出しました。

「Cetusが動的TVLモニタリングシステムと自動停止しきい値を実装していた場合、盗まれた資金の90%を維持できたと私たちは推定します」と、Hackenはレポートに記載しています。

このインシデントはまた、Q2のエクスプロイトタイプの分布を変えました。アクセス制御の失敗は1,400万ドルに低下しましたが、スマートコントラクトのバグは急増し、許可の欠陥が長期的に支配的である一方で、コードレベルの問題が依然として重大なリスクを提起していることを示しています。

AIとLLMは新しい攻撃ベクトルをもたらす

Hackenの2025年レポートで最も懸念される発見の一つは、AI関連の暗号セキュリティインシデントの劇的な増加です。大規模な言語モデル（LLM）やAI統合Web3インフラに関連したエクスプロイトは2023年に比べて1,025%も急増しており、ほとんどの攻撃はチェーン上のロジックとチェーン外のインテリジェンスシステムを接続するために使用される不安全なAPIを標的にしています。

調査されたAI関連のインシデントには、次のようなものがあります：

AI関連の侵入の98.9%が露出または誤構成されたAPIに関与していました。
LLMに関連する5つの新しい共通脆弱性と露出（CVEs）が2025年に追加されました。
現在、34%のWeb3プロジェクトが本番環境でAIエージェントを展開しており、それらがますます魅力的なターゲットになっています。

これらの攻撃は、Web2の脆弱性とWeb3インフラの重なる増加を示しており、暗号プラットフォームがトレーディングボット、DAO、カスタマーサポートシステム、自律エージェントに機械学習を統合する急速さと重なり合います。

「従来のセキュリティフレームワークは遅れをとっています」と、ISO/IEC 27001やNISTサイバーセキュリティフレームワークのような標準について言及しながら、Hackenは記述しています。これらの標準は未だAI特定の脅威であるプロンプトインジェクション、モデル幻覚、データ中毒に対応していない。

Rug Pullと詐欺は依然として大きな問題

技術的なエクスプロイトを超えて、暗号空間は引き続きソーシャルエンジニアリング攻撃、詐欺スキーム、および「ラグプル」と呼ばれるプロジェクト、つまり投資家資金を引き寄せた後に突然消えるプロジェクトによる被害を受けています。

これらのインシデントは技術的な観点で量的に評価するのが難しいですが、Hackenは、詐欺を含む非技術的損失が、小売業と機関投資家からの追加750百万ドルの資本流出に寄与したと推定しています。

今年の最大の単一のラグプルは、開発者が62百万ドルのユーザー資金を操作された契約ロジックを通じて引き出し、その後すべてのプロジェクトコミュニケーションチャネルを削除してオフラインになるBNBチェーンのDeFi收益アグリゲーターに関して起こりました。

主要な教訓と推奨事項

Hackenのレポートは、急速に進化する脅威環境でプロジェクトがリスクエクスポージャーを削減するのを助けることを目的として、次のような一連の推奨事項で締めくくっています：

レガシーのコードベースレビュー：エレベーテッドパーミッションや管理機能を保持しているレガシースマートコントラクトを監査し、無効にする必要があります。Hackenは今年のエクスプロイトされたプロトコルの20%以上が依然としてアクティブな脆弱なレガシーモジュールを持っていたと指摘しています。
動的アクセス制御：硬直したホワイトリストや管理者限定機能は、マルチシグ、タイムロック、役割ベースのシステムに置き換える必要があり、変化する脅威レベルに適応します。
リアルタイム監視と自動停止システム：フラッシュローン攻撃中の資金の迅速な流失を防ぐために、チェーン上のテレメトリーとリアルタイムのTVL移動アラートを実装します。
AIリスクコントロール：LLMを使用するプロジェクトは、入力サニタイズ、監査ログを確立し、センシティブなチェーン上の機能へのアクセスを制限する必要があります。オープンエンドエージェントフレームワークは、厳格なAPIホワイトリストと応答検証なしにデプロイされるべきではありません。
ユーザー教育：ウォレットレベルのセキュリティは依然として弱いです。ハードウェアウォレットの使用を促進し、ブラインドサイニングを無効にし、トランザクションシミュレーションを実施することで、フィッシングキャンペーンからのプライベートキーの侵害を削減することができます。

セキュリティはもはや選択肢ではありません

暗号採用が主流の金融システムや機関インフラストラクチャに拡大する中で、セキュリティはもはや第二次的懸念事項ではありません。それはWeb3の長期的な有効性の基盤です。

攻撃者が技術的なエクスプロイトからプロセスレベルの操作、AIのエクスプロイトに進化するにつれて、積極的で適応的かつ包括的なセキュリティ標準の必要性はこれまでになく差し迫っています。

現在の傾向が続く場合、2025年は暗号セキュリティ史上最も高価な年となる恐れがあります。業界はその最も弱いリンク、つまり古いスマートコントラクトや安全でない機械学習の統合に直面する必要があります。