2026年4月：暗号資産、記録破りのハッキング被害が相次ぐ

主要ポイント

DeFi Llamaのデータにより、2026年4月が1ヶ月間における暗号資産ハッキング件数の最多記録を更新したことが確認された
セキュリティアナリストは24件以上の個別侵害を記録し、合計損失額は6億ドルを超えた
Kelp DAOは今月最大の被害を受け、エクスプロイトにより2億9,200万ドルを失った
Drift Protocolは2億8,000万ドル超の2番目に大きな侵害を経験し、後に6ヶ月にわたる高度なインテリジェンス作戦であったことが判明した
セキュリティ研究者は4月30日、非アクティブなイーサリアムウォレットを標的とした進行中のエクスプロイトを発見した

暗号資産業界は2026年4月に最も暗い章を迎え、セキュリティ侵害の件数において前例のない記録を打ち立てた。盗まれたドル総額は過去の記録的な月を上回らなかったものの、攻撃の頻度は歴史的な水準に達した。データ分析プラットフォームDeFi Llamaは、エクスプロイト件数が暗号資産の歴史上初めて20件を大きく超えたことを記録した。

業界アナリストのStacy Muurは月末までに最低24件の個別セキュリティインシデントを特定し、総損失額が6億ドルを超えると算出した。

今月最も壊滅的な侵害は、分散型金融プラットフォームであるKelp DAOを標的とし、2億9,200万ドルの資産が盗まれた。この大規模なエクスプロイトは、DeFiエコシステムの最も著名なレンディングプロトコルの一つとされるAaveにおける不良債権リスクへの懸念を引き起こした。複数の関係者が赤字解消に向けて緊急資金と支援を動員した。

Solana上に構築されたパーペチュアル取引プラットフォームであるDrift Protocolは、今月2番目に大きな被害を受け、損失額は2億8,000万ドルを超えた。Driftのチームはその後、この侵害が従来のスマートコントラクトの脆弱性ではなかったことを明らかにした。彼らはそれを、攻撃者が約半年かけて周到に計画した「構造的インテリジェンス作戦」と表現した。

人間を標的とした攻撃がテクニカルエクスプロイトを上回る

4月を通じて用いられた攻撃手法は、セキュリティアナリストの注目の的となっている。X上でCuriousCryptoというハンドルネームを使う暗号資産オブザーバーは、DriftもKelp DAOもコーディングの欠陥やスマートコントラクトの脆弱性の被害を受けたわけではないと指摘した。むしろ、悪意のある行為者がソーシャルエンジニアリング戦術を駆使して、管理者キーへのアクセス権を持つ個人を標的にしたのだ。

これは攻撃パターンにおける重大な転換を示している。強化されたコード監査手順や技術的セキュリティ対策は、こうした人間に焦点を当てた攻撃ベクターに対して効果がなかっただろう。

PolkadotエコシステムのネイティブプロトコルであるHyperbridgeも4月に攻撃の被害を受け、250万ドルを失った。犯人はまず約245 ETHを引き出した後、偽造されたクロスチェーンメッセージを展開して重要なセキュリティ検証を回避した。この操作により、約10億のブリッジされたDOTトークンを生成することが可能となり、それらは後に取引所で売却された。