メインコンテンツまでスキップ

DeFi 2026年第1四半期ハックレポート:攻撃者がスマートコントラクトを回避し秘密鍵やクラウドインフラを標的にしたことで1億6,900万ドルが盗難

· 約 11 分
Dora Noda
Dora Noda
Software Engineer

DefiLlama の最新のハックデータベースによると、2026年第1四半期に DeFi プロトコルは 34 件の個別のエクスプロイトにより合計 1億6,900万ドルを失いました。この数字は、2025年第1四半期の驚異的な 15億8,000万ドルから前年比で 89% 減少していますが、この見出し上の改善は、より不穏な事実を隠しています。今四半期に最も多額の資金を盗んだ攻撃者は、スマートコントラクトのコードを一行も書き換えることなく犯行に及びました。

数字で見る今四半期

2026年 1月 1日から 3月 31日の間に、DefiLlama は合計約 1億6,900万ドルの資産が盗まれた 34 件の個別の DeFi プロトコルエクスプロイトをカタログ化しました。1月が最大のシェアを占め、主に 1月 31日に発生した Step Finance のトレジャリー侵害(4,000万ドル)が要因となりました。2月には、Stellar 上での Blend Protocol のオラクル操作(1,000万ドル)や IoTeX ブリッジの侵害(800万ドル)を含む中規模の事件が相次ぎました。3月は、PeckShield のデータによると、3月 21日の Resolv Labs のエクスプロイト(2,300万ドル)を含め、全プロトコルで合計約 5,200万ドルの損失で締めくくられました。

これらの DeFi 特有の数字は、中央集権型取引所、フィッシングキャンペーン、インフラ攻撃を含めると 4億5,000万ドルを超えると Cryip が推定する、より広範な第1四半期の仮想通貨セキュリティ状況の中に位置づけられます。そして、四半期が終わる直前の 4月 1日に発生した Drift Protocol の 2億8,500万ドルのエクスプロイトは、セキュリティ状況が改善しているという感覚を打ち砕きました。

スマートコントラクトはもはや「最も弱い環」ではない

2026年第1四半期の決定的なパターンは明白です。最も被害額の大きい攻撃は、スマートコントラクトを完全にバイパスしたことです。

Step Finance(4,000万ドル、1月 31日) — 攻撃者は役員のデバイスを侵害してトレジャリーウォレットの秘密鍵を抽出し、ステーキングされたポジションから 261,932 SOL とその他のトレジャリー資産を流出させました。オンチェーン・フォレンジックにより、数日間にわたって計画された体系的な作戦が明らかになりました。プロトコルは、Token22 標準のセキュリティ機能と迅速なプロトコルレベルの介入を通じて約 470万ドルを回収しましたが、これは盗まれた額の 12% 未満に過ぎません。

Resolv Labs(2,300万ドル、3月 21日) — 攻撃者は Resolv の AWS Key Management Service (KMS) 環境を突破し、プロトコルの特権署名キーの制御権を獲得しました。彼らは 10万ドルから 20万ドルの USDC で 2つのスワップ要求を行い、侵害された SERVICE_ROLE キーを使用して、裏付けのない 8,000万 USR ステーブルコインのミントを承認しました。トークンのドルペグは 0.20ドルまで暴落し、その後 0.56ドルまで一部回復しました。根本的な原因は、オンチェーンのミント制限がなく、クラウド上の単一のキーに絶対的な信頼を置くアーキテクチャにありました。

IoTeX ブリッジ(800万ドル、2月) — クロスチェーンブリッジのインフラにおける秘密鍵の漏洩とアクセス制御の失敗により、資金が流出しました。これはクロスチェーンの流動性を脅かし続けている繰り返しのパターンです。

秘密鍵の侵害とアクセス制御の失敗を合わせると、第1四半期の損失の 40% 以上にあたる 7,000万ドルを超えましたが、スマートコントラクトの脆弱性は一つも利用されていません。

オラクル操作:根強いシステム的リスク

秘密鍵への攻撃がニュースを賑わせる一方で、オラクル操作は攻撃者の武器として依然として信頼性の高いものでした。第1四半期には、Aave V3、Venus Protocol、Moonwell、Blend Protocol、Valinity でオラクル関連のエクスプロイトが発生しました。流動性の低いプールや、セキュリティが不十分な外部データソースに依存する価格フィードは、レンディング・プリミティブ全体におけるシステム的な弱点として残っています。

4月 1日に発生した Drift Protocol のエクスプロイトは、その手法が極めて洗練されていることを示しました。攻撃者は「CarbonVote Token」(CVT) という偽のトークンを作成し、Raydium に 500ドルの流動性プールを設置しました。数週間にわたるウォッシュトレードを使用して、1ドル付近の人工的な価格履歴を構築しました。操作された価格がオラクルによって承認されると、攻撃者は侵害された管理者キーを使用して Drift に CVT を上場させ、出金制限を引き上げ、操作された価格で数億の CVT を担保として預け入れ、20 未満のボルトから 2億8,500万ドルを 20分以内に流出させました。

TRM Labs は、この準備が 3月 11日に Tornado Cash から 10 ETH が引き出され、平壌時間の午前 9時頃に移動を開始したところまで遡ることを突き止めました。この属性は、北朝鮮の国家支援型ハッカー集団である Lazarus Group(2025年 2月の 14億ドルの Bybit 取引所ハックの背後にあるグループと同じ)を指し示しています。

Lazarus Group の影

北朝鮮の Lazarus Group は、仮想通貨のセキュリティに依然として大きな影を落としています。侵害された開発者のマシンを介して Safe{Wallet} UI に悪意のある JavaScript を注入し、Bybit で史上最大の仮想通貨強盗を成功させた後、同グループは DeFi ターゲットに合わせてアプローチを洗練させているようです。

Drift Protocol への攻撃は、複数のベクトル(偽トークンの作成、オラクル操作、管理者キーの侵害)を単一の調整された操作に統合したものでした。Chainalysis は、2025年の仮想通貨盗難が全体で 34億ドルに達し、Lazarus Group がその大部分に責任があると報告しました。2026年のパターンは、キー管理の単一障害点が中央集権型取引所に匹敵する攻撃対象領域を生み出している DeFi プロトコルを、同グループがますます標的にしていることを示唆しています。

コード監査からインフラ監査へ

第1四半期のデータは、業界がセキュリティについてどう考えるべきかの再考を迫っています。スマートコントラクトの監査(重要なコントラクトでは 15万ドル以上、形式検証を含めると 20万ドルを超えることもある)は依然として必要ですが、それだけでは不十分になりつつあります。

2026年における最新のセキュリティ評価は、コードレビュー、静的分析、インバリアントテスト、経済的攻撃モデリング、オラクルのストレステスト、キー管理レビュー、ガバナンス構成監査、クロスチェーンの信頼境界分析、ランタイム監視、およびインシデント対応計画を含むまでに拡大しています。自動監査は低レベルの欠陥の約 70〜80% を捕捉しますが、第1四半期の最も壊滅的な攻撃は、その隙間(侵害された開発者デバイス、誤設定されたクラウド IAM ポリシー、単一の署名キーへのアーキテクチャ上の過度の依存)を突いたものでした。

新たなセキュリティ階層は明確です:

  • スマートコントラクトのバグは、ツール(形式検証、ファジング、複数の独立した監査)の改善により頻度が減少しています。
  • オラクル操作は、流動性の低いプールがレンディングプロトコルに価格データを提供する場所で存続しています。
  • 秘密鍵とインフラ攻撃は最も急速に成長しているベクトルであり、いかなるコード監査でも修正できない人間的・運用的レイヤーを悪用しています。
  • ソーシャルエンジニアリングは、金額ベースで依然として最も高額な攻撃カテゴリーです。

プロトコルが今すぐ行うべきこと

オンチェーンからオフチェーンの攻撃ベクトルへのシフトは、防御姿勢の相応のシフトを求めています。

キー管理: 日常的な業務に使用されるデバイスに保存されているトレジャリーキーは、容認できないリスクです。エアギャップされたハードウェアウォレット、地理的に分散されたマルチシグスキーム、および多額の移動に対するタイムロックトランザクションは、もはや「あれば望ましい」ベストプラクティスではなく、最低限の要件です。

クラウドインフラ: クラウド KMS 環境に署名キーを保存しているプロトコルは、それらの環境が標的であることを前提とする必要があります。ハードウェアセキュリティモジュール (HSM)、IAM ポリシーの硬化、およびキー使用パターンの異常検知を含む多層防御戦略が標準となるべきです。

オンチェーンのガードレール: Resolv のエクスプロイトが成功した一因は、スマートコントラクトに最大ミント制限がなく、有効な署名が存在することだけを検証していたためです。重要な操作(ミント、出金、管理者の変更)に対するプログラムによる制限は、キーが侵害された場合でもセーフティネットを提供します。

オラクルの耐性: プロトコルは、新規上場または取引の少ない資産の操作に対抗するために、最小流動性しきい値、複数の独立した価格ソース、および時間加重平均価格 (TWAP) を要求する必要があります。

先を見据えて:2026年第2四半期以降

DeFi のハック損失が前年比 89% 減少したことは、2025年の数字を歪めている Bybit の例外的なケースを考慮するまでは心強く見えます。14億ドルの Bybit ハックを除けば、2025年第1四半期の DeFi 損失は約 1億8,000万ドルであり、2026年第1四半期の 1億6,900万ドルは、劇的に改善されたわけではなく、実質的に横ばいです。

4月の初日に Drift Protocol の 2億8,500万ドルのエクスプロイトが発生したことで、第2四半期は厳しいスタートを切りました。セキュリティの専門家は、2026年にはさらに高度な手法(資格情報の窃取、ソーシャルエンジニアリング、AI を活用した偵察、ますます洗練されるインフラエクスプロイト)が登場すると予測しています。

DeFi 業界は、明白なスマートコントラクトのバグという問題をおおむね解決しました。解決できておらず、2026年第1四半期が無視できないものにした問題は、最も危険な攻撃者はもはやコードを出し抜こうとはしていないということです。彼らはあなたの「鍵」を盗もうとしているのです。

BlockEden.xyz は、組み込みのセキュリティ監視とインフラの硬化を備えたエンタープライズ級のブロックチェーン API サービスを提供します。回復力のあるノードインフラを必要とする DeFi プロトコルを構築しているチームは、当社の API マーケットプレイスを探索して、永続するように設計された基盤の上に構築してください。

Share on Twitter