2026年4月：暗号通貨史上最もハッキングされた月、損失は6億3500万ドル

2026年4月は、分散型金融（DeFi）の歴史の中で最もハッキング被害が多い月として幕を閉じました。DefiLlamaの確認によると、28件から30件の個別のエクスプロイトが発生し、総損失額は6億2,500万ドルを超えました。他のトラッカーのデータでは、この数字は最大6億3,524万ドルに達しており、これは2025年2月のBybit取引所への不正侵入以来、最高の月間合計額となります。今月は平均して1日1件近い攻撃が発生しており、これまでに記録されたどの期間をも遥かに凌ぐペースとなりました。

1ヶ月で2件の壊滅的規模の攻撃が発生

今月の壊滅的な被害は、主に2つの大規模な事件によって引き起こされました。4月1日、Solana上のDrift Protocolが、北朝鮮のラザルス・グループ（Lazarus Group）に関連すると報じられているソーシャルエンジニアリング攻撃により、約2億8,500万ドルを失いました。また4月18日頃には、KelpDAOがLayerZeroクロスチェーンブリッジを標的としたメッセージ偽装エクスプロイトに見舞われ、推定損失額は約2億9,300万ドルに上りました。これら2つの出来事だけで、4月の総損失額の大部分を占めています。

Drift Protocolのハッキングでは、攻撃実行までに3週間の準備期間と数ヶ月にわたるソーシャルエンジニアリングが費やされ、プロトコルの署名権限が侵害されました。資金の流出はわずか約12分間で完了しました。一方、KelpDAOのハッキングは、LayerZeroブリッジにおける単一検証者の設計上の欠陥を突いたものでした。奪われた資金のうち7,500万ドルはArbitrum上で凍結されましたが、残りはその後THORChainを通じて資金洗浄されました。

エコシステム全体で発生した小規模な事件

2つの主要なエクスプロイト以外にも、残りの攻撃はDeFi全体の攻撃対象領域がいかに広範になっているかを浮き彫りにしました：

• Rhea Financeが1,840万ドル、Grinexが1,500万ドル、Wasabi Protocolが約500万ドル、Volo VaultとSweat Foundationがそれぞれ350万ドルの損失を被りました。
• ほとんどの小規模な事件は5万ドルから300万〜500万ドルの範囲で、レンディングプロトコル、分散型取引所（DEX）、およびインフラストラクチャソリューションが被害に遭いました。
• ハッキングの大部分の根本原因はコードのバグでしたが、それによる損失は4月の総損失額の約6.6%にあたる約4,200万ドルに留まりました。

北朝鮮による圧倒的な関与

2つの異なるグループで活動する北朝鮮のハッカーは、2026年の年初から現在までに約5億7,700万ドルを盗み出しました。これは、わずか数件の属性特定された事件を通じて、4月までの仮想通貨ハッキング損失全体の76%を占めています。DriftとKelpDAOの両方の攻撃は、ラザルス・グループのサブグループである「TraderTraitor」クラスターに関連付けられています。これらの侵害は、コードのバグや強引なサイバー侵入によるものではなく、ソーシャルエンジニアリングとプロトコルへの正当なアクセス権を組み合わせた数ヶ月にわたる作戦の結果でした。

DeFi市場の反応

KelpDAOのエクスプロイトは、分散型金融全体で急速な資金引き出しを誘発しました。ユーザーがクロスチェーンリスクへの露出を減らしたため、数日のうちに140億ドル以上の預かり資産（TVL）がDeFiプロトコルから流出し、特にブリッジやレンディングプラットフォームに集中しました。Aaveだけでも、エクスプロイト後のTVLは264億ドルから179億ドル付近まで下落しました。

背景と今後の展望

比較として、2026年第1四半期全体の損失額は1億6,550万ドルでした。4月の合計額は単月でそれを上回り、第1四半期合計の3.7倍に達しました。DeFiの累積ハッキング損失は過去10年間で170億ドルを超えました。攻撃者はスマートコントラクトのバグから、秘密鍵、署名インフラ、そして人間層を狙うソーシャルエンジニアリングへとますます舵を切っています。セキュリティ研究者は、2026年第2四半期に向けて緊急の注意が必要な支配的なベクターとして、クロスチェーンブリッジのアーキテクチャとソーシャルエンジニアリングを挙げています。

Coinplurk.comによって公開