2025年と2026年初頭の暗号資産ハッキングによる被害額は、ドル建てで過去すべての年間記録を上回り、スマートコントラクトのバグ、サプライチェーンの侵害、オラクル操作、キー窃取、政治的動機によるサボタージュといった多様な事例を通じて、業界最大の脆弱性が「悪いコード」だけではなく、集中した信頼ポイントそのものにあることを浮き彫りにした。損失総額は最大で34億ドルに達した。
2025〜2026年のクリプトハックの状況
手法によって数字は異なるものの、データそのものは否定しがたい。
Chainalysis は、2025年の暗号資産窃盗額は合計34億ドルに達し、史上最悪の年になったと推計した。TRM Labs と TechCrunch は別途、27億ドルという数字を報告している。CertiK は、2025年上半期だけで344件のインシデントから24億7,000万ドルの損失が出たとするレポートを公表しており、すでに2024年通年の純損失額19億8,000万ドルを上回っていた。
比較のために言うと、TRM Labs は2024年通年の暗号資産関連ハックによる被害額を22億ドルと算出していた。つまり、2025年の最初の6か月だけで、前年1年間の総額を超えたことになる。
この期間を特徴づけているのは、インシデント件数の多さではない。損失の「集中」である。
Immunefi は、2025年第1四半期が暗号資産ハックの歴史上最悪の四半期となり、わずか40件の事件で16億4,000万ドルが失われ、2024年第1四半期比で約4.7倍になったと報告している。中でも Bybit と Cetus の2件だけで、CertiKが集計した2025年上半期被害額の約72%にあたる17億8,000万ドル前後を占めた。
攻撃のカテゴリー自体は大きく変わっていない。スマートコントラクトの脆弱性、オラクル操作、秘密鍵の侵害、取引所のオペレーション障害、国家支援のサイバー攻撃——いずれも従来から存在するものだ。変わったのは「規模」である。2025年上半期の平均ハック規模は、1年前の同期間と比べて2倍となり、ごく少数の壊滅的なイベントに損失が極端に集中するようになった。
以下で取り上げる最悪ケースに共通する糸は、技術的な複雑さではない。「信頼」の集中である——単一の秘密鍵、単一のベンダー、単一のガバナンス構造、単一の流動性ハブといった形で。
関連記事: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv:裏付けなしのミントがステーブルコインをバランスシート危機に変えた経緯
2026年3月22日、攻撃者は Resolv が AWS Key Management Service に保管していた特権的な秘密鍵を侵害し、プロトコルのステーブルコイン「USR」で2回にわたる巨大な過剰ミントを承認させた。
1回目のトランザクションでは、約10万ドル相当の USDC (USDC) のデポジットに対して5,000万USRがミントされた。続く2回目では、さらに3,000万USRがミントされた。
合計で約8,000万枚の裏付けのないトークンが流通に流れ込み、ミント権限を持つ鍵はマルチシグではなく単一の外部所有アカウントであり、コントラクトにはミント上限、オラクルチェック、金額バリデーションといった制御が存在しなかった。
攻撃者は、ミントしたUSRをwstUSRや他のステーブルコイン経由で約1万1,400 Ether (ETH) に交換し、約2,400万〜2,500万ドルを引き出した。USRの価格は、Curve Finance 上で17分以内に0.025ドルまで暴落し、97.5%もの下落となった。
ステーブルコインのエクスプロイトがとりわけ破壊的なのは、担保が本当に存在するのか、それとも脆弱なのかを一瞬で露呈してしまう点にある。
プロトコルが保有していた約9,500万ドル相当の元々の担保プールは技術的には無傷のままだったが、そこに新たな裏付けのないトークン8,000万枚が流通したことで、Resolv は約9,500万ドルの資産に対して約1億7,300万ドルの負債を抱える構図となった。Aave、Morpho、Euler、Venus、Fluid などのDeFiプロトコルは、自らのエクスポージャーを隔離するための予防的措置を講じた。
エクスプロイト、強制売却、ペッグ崩壊、負債ギャップ、パニックという連鎖反応は、1日もかからずに進行した。
関連記事: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit:その年を象徴した15億ドル級メガ流出
暗号資産窃盗の歴史の中で、ドル建てで Bybit に起きた出来事に匹敵する単一イベントは存在しない。2025年2月21日、その事件は発生した。
オンチェーン調査員の ZachXBT は最初に、同社の Ethereum (ETH) コールドウォレットから14億6,000万ドル超の不審な流出を検知した。FBI は後に、この窃盗を北朝鮮の TraderTraitor クラスター(Lazarus Group の一部)の犯行と断定し、被害総額を約15億ドルと推計した。
盗まれたETHは約40万1,347ETHに上り、これはそれ以前に最大とされていたRonin NetworkおよびPoly Networkのハックの被害額合計をも上回る規模だった。
この侵害は、Bybit 自身のコードの欠陥ではなかった。Sygnia と Verichains によるフォレンジック調査は、サードパーティのマルチシグプラットフォーム Safe{Wallet} におけるサプライチェーン侵害に根本原因があったことを突き止めた。攻撃者は、早くも2月4日の時点でSafe開発者のmacOSワークステーションを侵害し、AWSセッショントークンを窃取、2月19日にはSafeのウェブインターフェースに悪意あるJavaScriptを挿入した。
このコードは、Bybit の特定のEthereumコールドウォレットがトランザクションを開始した場合にのみ動作するよう仕込まれており、6人中3人のマルチシグ署名者は、その操作が改ざんされていることに気づかないまま承認してしまった。
Bybit のCEO Ben Zhou は、ハック前の準備金が160億ドル超あったため、取引所は依然としてソルベント(支払い能力あり)の状態にあると確認した。72時間以内に Bybit は、Galaxy Digital、FalconX、Wintermute、Bitget からの緊急ローンを通じてETH準備金を補填した。しかし3月20日までに、盗まれたETHの約86%が、約7,000のウォレットを通じて Bitcoin (BTC) に換金されていた。
教訓は明快だ。単一の取引所で、単一の侵害が、単一のイベントとして発生するだけで、その年の業界全体の損失プロファイルは一変してしまう。ユーザーが「規模が大きいほど安全だ」と思い込んでいる場所ほど、最悪の失敗が起きうる。
関連記事: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Sui上のCetus:2億2,300万ドル流出で旗艦DEXがフリーズするまで
2025年5月、Sui (SUI) ネットワーク最大の分散型取引所である Cetus は、流動性プールから約2億2,300万ドルが抜き取られるエクスプロイトの被害に遭った。根本原因は、プロトコルの集中型流動性の数理ライブラリに存在した整数オーバーフローのバグだった。
ある関数が、基準値と比較する際に1ビット分ずれた閾値を用いており、これによって攻撃者は1トークンだけをデポジットして、数百万ドル相当の流動性ポジションを受け取ることができてしまったと分析されている。
Sui のバリデータは、ガバナンス投票で90.9%の賛成を得たうえで、オンチェーン上で盗難資金約1億6,200万ドルを凍結するという異例の措置を実行した。一方で、約6,000万ドルは凍結前にEthereumへブリッジされていた。
Cetus は17日間の停止を経て再稼働し、回収された資金に加え、自社のキャッシュリザーブから700万ドル、Sui Foundation からの3,000万USDCローンでプールを再構築した。
旗艦級の流動性ハブが壊れると、チェーン全体の信用が揺らぐ。トークン価格、チェーンの評判、ユーザーの信頼、エコシステム関係者による緊急介入の必要性——その被害半径はプロトコル単体を大きく超える。
関連記事: Brazil Freezes Crypto Tax Rules
GMX:トップ級パーペチュアル取引所でも4,200万ドル超を失った理由
2025年7月、GMX は Arbitrum 上のV1デプロイメントに存在したクロスコントラクト・リエントランシーの脆弱性を突かれ、4,200万ドル超の資金を流出させた。減少注文を実行する役割を持つ関数が、通常のウォレットではなくスマートコントラクトアドレスをパラメータとして受け入れていたことが原因だ。
ETHの払い戻しステップの最中、実行は攻撃者の悪意あるコントラクトに制御を渡し、リエントランシーを通じて内部の価格データを実際の市場価格の約57分の1まで歪めることが可能になった。
GMX は、約500万ドル(被害額の10%)相当のホワイトハット・バウンティを48時間期限で提示し… 法的措置を取るという脅しだった。攻撃者は約3,750万〜4,050万ドルを数回に分けて返還し、報奨金分は保持した。その後 GMX は被害を受けた GLP ホルダーに対する4,400万ドルの補償プランを完了した。
資金が戻ってきたからといって、システムがうまく機能したことにはならない。ホワイトハット的な枠組みやバウンティの提示、部分的な回収は、市場の反応を和らげることはできても、根本的なセキュリティ上の失敗を取り除くものではない。
この脆弱性は皮肉なことに、以前のバグを修正するために 2022 年に導入された変更の中で生まれていた。GMX V2 は影響を受けていなかった。
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex:暗号資産ハックが地政学的戦争になるとき
2025年6月、イラン最大の暗号資産取引所 Nobitex が、Bitcoin (BTC)、Ethereum、Dogecoin (DOGE)、XRP (XRP)、Solana (SOL)、Tron (TRX)、TON (TON) など複数のブロックチェーンにまたがって、約9,000万ドルをハックされた。
親イスラエル系ハッカーグループ Gonjeshke Darande(Predatory Sparrow としても知られる)が、この攻撃の実行を主張した。
攻撃は、イスラエルとイランの軍事的衝突が継続するさなかに行われた。
これは金銭目的の窃盗ではなかった。盗まれた資金は、回収不可能な秘密鍵しか存在しない、反IRGCメッセージを含むバニティバーンアドレスに送金され、約9,000万ドルが政治的な主張として実質的にバーンされた。
翌日、攻撃者は Nobitex のソースコード、インフラのドキュメント、内部のプライバシー関連R&Dをすべて公開した。
一部の暗号資産ハックは、利益最大化を目的とした攻撃ではまったくない。破壊工作、シグナリング、サイバー戦争として行われる。それは、動機・手法・余波・回復不能性といったあらゆる面で、通常のプロトコルエクスプロイトとは異なる。Nobitex はその後、部分的なサービス再開を報告したが、7月初旬には流入取引量が前年比で70%以上減少した。
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra:GMX 連動カールドロンを通じて DeFi 借入を直撃したエクスプロイト
2025年3月25日、攻撃者は Abracadabra Finance のレンディングマーケット(カールドロン)から、約6,260 ETH(約1,300万ドル相当)を流出させた。標的となったカールドロンは GMX V2 の流動性プールトークンを担保として利用しており、エクスプロイトはフラッシュローンを用いたセルフ清算テクニックによって、gmCauldron コントラクト内の状態追跡エラーを突いたものだった。
盗まれた資金は Arbitrum から Ethereum へブリッジされた。セキュリティ企業 PeckShield がいち早くインシデントを検知した。GMX は自分たちのコントラクトには影響がなかったと確認している。
Abracadabra は 20%のバグバウンティを提示した。同プロトコルにとっては2度目の大規模ハックであり、2024年1月にも 649万ドル規模のエクスプロイトを受けていた。
この一件はコンポーザビリティリスクを示している。単体では安全に見えるプロトコルでも、統合先や依存関係を通じて脆弱になる場合がある。
DeFi ユーザーにとって重要なのは、ブランド名ではなく、そのプロトコルの内部構造──どのような担保資産を受け入れているか、どの外部コントラクトを呼び出しているか──である。
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid と JELLY:マーケット構造の騒動と中央集権性への疑問
2025年3月26日、攻撃者は Hyperliquid 上で流動性の低いミームコイン JELLY を対象に410万ドル相当のショートポジションと、それにオフセットする2つのロングポジションを構築し、その後トークンのスポット価格を400%以上つり上げた。
ショートが清算された際、Hyperliquid の自動化された HLP ボールトが評価損を抱えたポジションを引き継ぎ、ボールトの含み損は約1,350万ドルに達した。
その後、Hyperliquid のバリデータはすべての JELLY ポジションを強制クローズし、外部オラクルが0.50ドルと報告していたにもかかわらず、攻撃者のショート参入時の価格である0.0095ドルで決済した。
この操作は2分以内に行われ、プロトコルが1セットあたり4つのバリデータにしか依存していないことが明らかになった。
ここで問題なのは、損失だけではない。
Bitget の CEO である Gracy Chen は、Hyperliquid を「FTX 2.0」と公然と批判した。プロトコルの TVL(預かり資産総額)は翌月にかけて5億4,000万ドルから1億5,000万ドルへと急落し、HYPE トークンも20%下落した。Hyperliquid はその後、資産の上場廃止をめぐる意思決定について、オンチェーンのバリデータ投票に移行した。
危機の際に「分散型」の場が中央集権的に振る舞うとき、何が起こるのか。この問いは、たとえ損失額が最大級のハックより小さくても、あらゆるリサーチ関係者にとって有用であり、信認に関わる断層を露呈させた。
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool:インフィニットミントリスクと、低流動性が大きなバグを覆い隠す理由
2025年6月、Meta Pool はスマートコントラクトのエクスプロイトを受け、攻撃者が ETH 担保を一切預けることなく、9,705 mpETH(約2,700万ドル相当)をミントできてしまった。
脆弱性は ERC-4626 の mint 関数に存在していた。攻撃者はプロトコルの高速アンステーク機能を利用することで、通常のクールダウン期間を回避した。
しかし、実際の損失は約13万2,000ドルにとどまった。該当する Uniswap のスワッププールの流動性が薄く、攻撃者が抜き出せたのは 52.5 ETH に過ぎなかったためだ。
MEV ボットが攻撃の一部をフロントランし、およそ90 ETHの流動性を抜き取ったが、この資金は後にプロトコルへ返還された。ユーザーが元々ステークしていた913 ETH は、SSV Network のオペレーターによって安全に保全されていた。
バグの深刻さが、実現した損失額よりもはるかに大きい場合がある。今回のエクスプロイト経路は理論上は壊滅的な被害を意味していたが、流動性の低さが搾取額の上限となった。この違いは DeFi リスクを評価するうえで重要であり、単純な損失額ランキング以上の示唆を与える。
Also Read: UK Set To Block Crypto Donations
Cork Protocol:a16z 支援でも、なおエクスプロイト
2025年5月28日、Cork Protocol は約1,200万ドル規模のエクスプロイトを受けた。攻撃者は Cork Hook の beforeSwap ロジックおよびアクセスコントロール欠如の不備を突き、3,761 wstETH を奪取した。
根本原因は、入力値検証の欠如と、ガードレールのないパーミッションレスなマーケット生成が組み合わさっていたことにある。この結果、攻撃者は正規の DS トークンを償還資産として用いながら、偽のマーケットを作成できてしまった。
Cork は 2024年9月に a16z crypto および OrangeDAO から出資を受けていた。
教訓は単純だ。機関投資家や一流VCによる支援、洗練されたブランドイメージがあっても、技術的リスクは消えない。読者は、資金調達の質とプロトコルの安全性を混同すべきではなく、どれほど綿密な監査であっても保証ではないと理解すべきである。インシデント検知後、すべてのコントラクトは即座に一時停止されたが、資金はすでに失われていた。
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx:繰り返し現れる DeFi の弱点としてのオラクル操作
2025年4月、KiloEx は Base、opBNB、BNB Smart Chain をまたいで約700万〜750万ドルを失った。攻撃者はプラットフォームの MinimalForwarder コントラクトにおけるアクセスコントロールの脆弱性を突き、誰でも価格設定関数を呼び出せる状態にしていた。
攻撃者は、レバレッジポジションを構築するときに ETH の価格を100ドルという異常な水準に操作し、その後1万ドルでクローズした。
KiloEx は 75万ドル(全額の10%)のホワイトハットバウンティを提示した。4日後、攻撃者は盗んだ資金をすべて返還し、KiloEx は法的措置を取らないと発表した。
プラットフォームは10日間の停止を経て再開し、停止中にポジションが開いたままだったユーザーへの補償プランを公表した。
これはオラクルリスクを説明するうえで最もわかりやすいケースである。不正な価格データによって、攻撃者は虚偽の価格でポジションを開閉できてしまう。高度だと喧伝される多くのエクスプロイトも、その基盤は古典的なプリミティブ──不正確な価格フィード、予測可能な前提、貧弱なバリデーション──の上にある。オラクル操作は、依然として DeFi における最も根強い弱点の一つである。
Also Read: Gold's Worst Week Since 1983
パターンが示しているもの
上記の10件の事例は、メカニズムも規模も動機もそれぞれ異なります。しかし、構造的なパターンは共通しています。
最も金銭的な被害が大きかったインシデント ― Bybit と Resolv ― は、いずれもオンチェーン上のバグが原因ではありませんでした。どちらもインフラレベルの障害です。片方は開発者マシンの侵害、もう片方はクラウドインフラに保管された単一の無防備なミンティングキーです。どちらのケースでも、ユーザーが「そんなところに集中した信頼は存在しない」と思い込んでいた箇所に、中央集権的な信頼ポイントがあったからこそ、被害は壊滅的なものになりました。
Cetus や GMX のようなプロトコルレベルのエクスプロイトはコードバグを含んでいましたが、被害範囲を決定したのはガバナンス側の対応でした。バリデータが資金を凍結できるかどうか、バグバウンティ交渉が成功したかどうか、そしてエコシステムの関係者が緊急資金供給で支援に入ったかどうか、という点です。
Nobitex は、どの意味においてもプロトコルエクスプロイトではなく、地政学的な破壊工作行為でした。
全体像は心強いものではありません。インシデントの件数が減っているからといって、被害が小さくなっているわけではないのです。平均的な深刻度は増しています。北朝鮮だけで、2025年の窃盗被害のうち20億ドル超を占めており、前年から51%の増加となっています。
暗号資産において最も重要なセキュリティの防御線は、オンチェーンのロジックから、オフチェーンのインフラ、鍵管理、人間のオペレーションセキュリティへと移りました。
リテールユーザー、トークン投資家、プロトコルチームのいずれにとっても、データが示す結論は同じです。もはや「そのプロトコルのスマートコントラクトは監査済みか」が問題ではありません。問題は「集中した信頼がどこに存在するのか ― そしてそれが破綻したときに何が起こるのか」です。