コードに問題はない — 狙われているのはあなたの鍵: 暗号資産における 22 億ドルのインフラ標的型シフトの内幕
暗号資産の歴史の中で最も高くついたコードの1行は、バグではありませんでした。それはフィッシングリンクでした。
2025 年 2 月、Safe{Wallet} の開発者が日常的なメッセージに見えるものをクリックしました。数時間のうちに、北朝鮮の工作員が AWS セッション トークンを乗っ取り、多要素認証(MFA)を回避して、Bybit から 15 億ドルを流出させました。これは暗号資産の歴史の中で単一としては最大の窃盗事件です。スマートコントラクトの脆弱性は悪用されていません。オンチェーン ロジックも失敗していません。コードは正常でした。問題があったのは人間でした。
TRM Labs の「2026 年版暗号資産犯罪レポート」は、その強奪事件が予見していたことを裏付けています。それは、暗号資産の主要な脅威ベク��トルとしてのスマートコントラクト悪用の時代は終わったということです。攻撃者は「スタックの上層」へと移動し、斬新なコードの脆弱性を探すのをやめ、安全なプロトコルを取り巻く運用インフラ(鍵、ウォレット、署名者、クラウド管理プレーン)を侵害することに注力しています。
数字が語る厳しい現実
2025 年、不正な攻撃者によって 150 近くの個別のハッキングや悪用を通じ、28 億 7,000 万ドルが盗まれました。しかし、それらの損失の分布は本当の変化を明らかにしています。盗まれた資産全体の 76% にあたる 22 億ドルは、スマートコントラクトの悪用ではなくインフラ攻撃によるものでした。攻撃者は秘密鍵を標的にし、クラウドの認証情報を侵害し、中央集権的な事業体のウォレット オーケストレーション レイヤーを悪用しました。
このパラドックスは衝撃的です:
- インシデントの半減: 2024 年の 410 件から 2025 年には約 200 件へ
- 損失額の増加: 20 億 1,000 万ドルから 29 億 4,000 万ドルへ
- 1 件あたりの平均損失額が 2 倍以上に増加: 約 500 万ドルから 1,500 万ドル近くへ
攻撃の回数は減り、利益は増える。これは、高価値なターゲットに火力を集中させることを学んだ、成熟した攻撃者層の特徴です。
一方、2025 年の不正な暗号資産取引の総額は、前年比 145% 増��の 1,580 億ドルに達し、過去最高を記録しました。この急増を牽引したのは、こそ泥ではなく、国家に関連する主体や洗練された金融ネットワークであり、ロシア関連の制裁回避が主な要因となりました。
なぜ攻撃者はスタックの上層に移動したのか
このシフトは経済的に理にかなっています。スマートコントラクトの監査は劇的に成熟しました。2020 年から 2025 年の間に、業界はコード監査に数十億ドルを投じました。CertiK、Trail of Bits、OpenZeppelin といった企業が体系的な手法を構築し、形式検証ツールが標準となり、バグバウンティ プログラムがホワイトハットによる発見のための経済的インセンティブを生み出しました。
その結果、トップクラスの DeFi プロトコルで斬新なスマートコントラクトの脆弱性を見つけるには、3 年前よりも大幅に多くの労力と専門知識が必要になっています。手近な成果(Low-hanging fruit)はすでに摘み取られてしまったのです。
しかし、運用インフラには同等の注意が払われていません。鍵管理の慣行は業界全体で大きく異なります。クラウド セキュリティの設定は一貫性がありません。そして、あらゆるセキュリティ チェーンの中で最も弱いリンクである人間は、いかなるコード監査でも防ぐことのできないソーシャル エンジニアリング攻撃に対して脆�弱なままです。
トップクラスの攻撃者にとって、計算は単純です。開発者をフィッシングして AWS の特権アクセス権を奪い、一回の午後で 15 億ドルを盗めるのに、なぜ何ヶ月もかけて不明瞭なリエントランシー バグを探す必要があるのでしょうか?
北朝鮮:世界で最も危険な暗号資産の敵
暗号資産のインフラ標的シフトについての議論は、北朝鮮抜きには語れません。Lazarus Group とそのサブクラスターである TraderTraitor は、地球上で最も洗練され、豊富なリソースを持つ暗号資産の敵対者です。
2025 年、北朝鮮のハッカーは少なくとも 20 億 2,000 万ドルの暗号資産を盗みました。これは前年比 51% の増加であり、世界の暗号資産窃盗全体の約 60% を占めています。これは単なる場当たり的なハッキングではなく、国家的なプログラムでした。
Bybit への攻撃は、彼らの進化した手法を例証しています。TraderTraitor の工作員はスマートコントラクトのバグを探しませんでした。彼らは高いシステムアクセス権を持つ Safe{Wallet} の特定の開発者を特定し、偽の求人や投資機会を含む標的型のソーシャル エンジニアリング キャンペーンを実行し、その開発者に悪意のあるソフトウェアをダウンロードするよう説得しました。そこから、雇用主のクラウド インフラへのアクセスを許可する一時的な認証情報である AWS セッション トークンを乗っ取ったのです。
パスワードではなくアクティブなセッション トークンを盗むことで、攻撃者は MFA を完全に回避しました。Safe{Wallet} の AWS 環境内に侵入すると、彼らは取引の署名プロセスを操作し、15 億ドル相当のイーサリアムを自分たちが制御するウォレットに送金しました。
この攻撃パターン(初期アクセスを得るためのソーシャル エンジニアリング、クラウド インフラを介した横移動、そして署名メカニズムの操作)は、伝統的な金融機関を標的とする持続的標的型攻撃(APT)グループの手口を反映しています。違いは、暗号資産の運用セキュリティがその脅威に追いついていないことです。
このプログラムは直接的なハッキングにとどまりません。北朝鮮の工作員は、偽の身分で暗号資産企業の中に IT 労働者として入り込み、内部から特権的なアクセスを得ています。これらのインサイダーは、内部システム、セキュリティ管理、鍵管理の慣行をマッピングします。こうした偵察活動が、世間を騒がせるような大きな影響を与える侵害を可能にしているのです。
2026 年 1 月:3 億ドルの損失 — フィッシングの支配
2025 年にインフラを標的とした攻撃へのシフトが示されましたが、2026 年初頭にはそれが「ニューノーマル」である�ことが確定しました。セキュリティ企業の CertiK と PeckShield によると、2026 年 1 月だけで、フィッシングとソーシャルエンジニアリング攻撃により、暗号資産ユーザーから 3 億ドル以上が流出しました。
1 月の損失の 71% は、2 億 8,400 万ドルの Trezor へのなりすまし攻撃によるものでした。これは、比較的低い技術水準であっても、ソーシャルエンジニアリングキャンペーンがいかに莫大な利益を生み出し得るかを物語っています。
AI はこの傾向を加速させています。攻撃者は現在、AI 生成のディープフェイク、パーソナライズされたフィッシングメッセージ、自動化された詐欺エージェントを活用し、大規模に被害者を標的にしています。Lazarus Group(ラザルスグループ)が得意とする手法である「偽の開発者採用テスト」は、正当な採用プロセスとほとんど区別がつかなくなっています。
この示唆するところは深刻です。スマートコントラクトの安全性が高まるにつれ、攻撃対象は、それらのコントラクトを管理、デプロイ、および操作する「人間」へと決定的に移行しています。
監査のパラドックス
暗号資産(クリプト)業界のセキュリティ支出には、危険な配分の誤りが見られます。スマートコントラクトの監査には数十億ドルが投じられ、それらの監査によってコードの品質は明らかに向上しました。しかしデータによると、最も多額の被害を出している攻撃は、もはやスマ�ートコントラクトのバグではなく、秘密鍵管理(キーマネジメント)の失敗です。
この統計を考えてみてください。DeFi プロトコルが監査に合格してから悪用されるまでの期間の中央値は 47 日です。2020 年から 2025 年の間に、監査に合格していたプロトコルから 42 億ドル以上が流出しました。監査自体に問題があったわけではありません。監査はコードを正しく検証していました。問題は、コードの「周囲」にあるすべての要素でした。つまり、鍵がどのように保管されていたか、署名権限がどのように分散されていたか、クラウド環境がどのように構成されていたか、そして従業員がソーシャルエンジニアリングを見抜くためにどのように訓練されていたかです。
最も先進的なセキュリティ企業は、これに応じて業務範囲を拡大しています。現代の 2026 年の監査フレームワークには、秘密鍵管理のレビュー、ガバナンス構成の監査、クロスチェーンの信頼境界分析、ランタイム監視のセットアップ、インシデント対応計画が含まれています。これは、わずか 2 年前まで一般的だった「コードレビューと静的解析」というアプローチからの劇的な進歩です。
境界防御からゼロトラストへ
クリプトセキュリティは、伝統的な金融が過去 10 年間に完了したのと同じアーキテクチャの転換、すなわち「境界防御からゼロトラストへ」という転換期にあります�。
境界モデルでは、厳格なスマートコントラクト監査、形式検証、バグバウンティなど、強固な壁を築くことに重点を置きます。境界の内部にあるものはすべて暗黙的に信頼されます。このモデルは、Bybit へのハッキングが示したように、攻撃者がソーシャルエンジニアリングを通じて境界をバイパスした場合、壊滅的な失敗を招きます。
ゼロトラストアーキテクチャは、発信元に関係なく、すべてのアクセス要求が潜在的に悪意のあるものであると仮定します。Aave や Lido といった主要な DeFi プロトコルは、フィッシングやアカウントの乗っ取りに対抗するため、マルチシグウォレットやゼロトラストフレームワークの統合を開始しています。
クリプト組織にとっての実践的な対策には、以下が含まれます:
- 秘密鍵管理のためのマルチパーティ計算 (MPC):署名権限における単一障害点の排除
- ハードウェアセキュリティモジュール (HSM):暗号化操作を汎用コンピューティング環境から分離
- 継続的なランタイム監視:デプロイ後の監査に頼るのではなく、異常なトランザクションパターンをリアルタイムで検出
- セキュリティ意識の高い文化:エンジニアだけでなく、すべての従業員がソーシャルエンジニアリングの試みを認識できるように訓練
- インシデント対応プレイブック:侵害を不可能と見なすのではなく、避けられないものとして準備
1,000 億ドル以上の TVL を抱える DeFi への影響
DeFi プロトコルに 1,000 億ドル以上がロックされている現在、インフラを標的とした攻撃へのシフトは死活問題です。北朝鮮の Lazarus Group のような国家主体の攻撃者は、現在、ブロックチェーンインフラを単なる金融的標的ではなく、情報収集の標的として扱っています。過去の攻撃で盗まれたソースコードやインフラの設計図は、将来の、より壊滅的な悪用を可能にします。
業界の対応いかんによって、DeFi が機関投資家の資本流入を維持できるかどうかが決まります。機関投資家は、個人ユーザーとは異なる方法で運用リスクを評価します。完璧なスマートコントラクトコードを持っていても、秘密鍵管理の慣行が脆弱なプロトコルは、洗練された投資家にとって受け入れがたいリスクプロファイルとなります。
朗報は、解決策が存在することです。ランタイム監視、MPC ベースの署名、ゼロトラストアーキテクチャ、および AI 駆動の脅威検出はすべて、成熟したテクノロジーです。課題は、特にトップティアの DeFi プラットフォームのようなリソースを持たない中規模のプロトコルや中央集権的な事業体における導入の遅れです。
今後の展望
TRM Labs の 2026 年のレポートは、業界の防御�よりも速く進化している攻撃者集団の姿を描いています。コードは良くなっていますが、それを囲むインフラが追いついていません。
今後数年間のクリプトセキュリティを形作るのは、以下の 3 つの展開です:
-
規制の圧力:欧州の MiCA や米国の GENIUS 法などのコンプライアンス枠組みが運用セキュリティ基準を義務付けるにつれ、プロトコルはコードの品質と並行してインフラの強化に投資せざるを得なくなります。
-
AI 駆動の防御:高度なフィッシングキャンペーンを可能にするのと同じ AI 機能が、異常検出、行動分析、および自動化されたインシデント対応を強化できます。AI を活用した攻撃と防御の間の軍拡競争が、クリプトセキュリティの次の章を定義することになるでしょう。
-
保険とリスク市場:クリプト保険が成熟するにつれ、保険会社は運用セキュリティの慣行を保険料に反映させるようになります。これにより、より優れた秘密鍵管理、アクセス制御、およびインシデント対応能力に対する金銭的なインセンティブが生まれます。
TRM Labs のレポートが伝える中心的なメッセージは明確です。クリプトのセキュリティ境界は拡大しました。コードの品質は必要ですが、十分ではありません。次世代のクリプトセキュリティは、スマートコントラクトだけでなく、クラウドインフラから人間の心理に至るまで、それを取り巻く運用スタック全体を保護しなければなりません。
攻撃者はすでにスタックを上に移動しています。業界の防御もそれに続く時が来ています。
安全なブロックチェーンインフラストラクチャを構築することは、これまで以上に重要です。BlockEden.xyz は、20 以上のチェーンにわたって、信頼性と監視機能が組み込まれたエンタープライズグレードの RPC および API サービスを提供しています。これは、チームが運用リスクを心配することなく開発に集中できるインフラ基盤です。まずは API マーケットプレイスを探索 して、開発を始めましょう。