メインコンテンツまでスキップ

Hacken 2026年 第1四半期:4億8,200万ドルの盗難と、クリプトの「監査至上主義」を打ち砕いた四半期

· 約 21 分
Dora Noda
Dora Noda
Software Engineer

わずか 1 回の電話で、ある個人が 2 億 8,200 万ドルを失いました。スマートコントラクトが不正利用されたわけでも、Solidity のコードが 1 行でも書き換えられたわけでもありません。2026 年 1 月 10 日、IT サポート担当者を装った人物が、暗号資産保有者を言葉巧みに誘導し、ハードウェアウォレットの「復元」フローを実行させ、大半の DeFi プロトコルの TVL(預かり資産)を上回る額のビットコイン(Bitcoin)とライトコイン(Litecoin)を奪い去りました。Drift や Kelp DAO の規模を単独で上回るこの一件だけで、2026 年第 1 四半期に Web3 業界で失われた総額の半分以上を占めています。

Hacken の 2026 年第 1 四半期ブロックチェーンセキュリティ&コンプライアンスレポート によれば、この四半期全体の被害額は 44 件のインシデントで計 4 億 8,260 万ドルに達しました。フィッシングとソーシャルエンジニアリングだけで 3 億 600 万ドルに上り、四半期の被害総額の 63.4% を占めています。スマートコントラクトの脆弱性を突いた攻撃は、わずか 8,620 万ドルに留まりました。一方、秘密鍵の漏洩、クラウド認証情報の不備、マルチシグの乗っ取りといったアクセス制御の失敗による被害が、さらに 7,190 万ドル積み上がりました。計算は単純明快です。前期、バグのあるコードから 1 ドルが盗まれるごとに、攻撃者はコードの周辺にある人間、プロセス、認証情報を介して、その約 3.5 倍もの資金を搾取したことになります。

「監査済み」を「安全」の代名詞として 5 年間扱ってきたこの業界にとって、2026 年第 1 四半期の数字は一種の介入(インターベンション)といえます。攻撃対象(アタックサーフェス)は移動しましたが、対策費用は以前のままです。

誰も想定していなかったカテゴリーの逆転

2020 年から 2024 年の大部分において、暗号資産セキュリティの四半期ごとのリズムは予測可能なものでした。ブリッジから資金が流出し、レンディングプロトコルがリエントランシー攻撃を受け、監査法人が事後報告書を発行し、ガバナンスで報奨金の投票が行われ、開発者がリエントランシーガードを強化する。スマートコントラクトの脆弱性が四半期ごとの損失の大部分を占めていたため、業界はバグバウンティ、監査コンテスト、形式検証、デプロイ前レビューなど、コードを中心とした防御体制を築き上げてきました。

しかし、2026 年第 1 四半期はこの図式を完全に逆転させました。Hacken が追跡した 3 つの主要カテゴリーを比較してみましょう。

  • フィッシング / ソーシャルエンジニアリング:3 億 600 万ドル — 1 件の 2 億 8,200 万ドルの事件が大部分を占める
  • スマートコントラクトの脆弱性:8,620 万ドル — 計 28 件のインシデント
  • アクセス制御 / 鍵の漏洩:7,190 万ドル

これらの数字を、業界が実際に資金を投じている対象と並べれば、コスト配分の誤りは明白です。中程度の複雑さの DeFi プロトコルの監査予算は、現在 1 案件あたり 6 万ドルから 12 万ドルに達しており、チームは年間開発予算の 15 〜 20% をコードレビューに特化した「Security-as-a-Service」に割り当てる傾向が強まっています。その一方で、Step Finance を陥れたフィッシングの攻撃手法(キルチェーン)に攻撃者が費やしたコストは、ビデオ通話とマルウェアを仕込んだ「投資家向け資料」だけでした。防御のための支出は、依然として過去の攻撃傾向に基づいて調整されたままです。

Hacken はこの変化を次のように端的に表現しています。「攻撃者はオンチェーンコードの脆弱性を狙うのではなく、ユーザーの行動、認証情報の管理、運用のセキュリティギャップといったオフチェーンの弱点をますます悪用するようになっている」。コードの壁は高くなりましたが、人間の壁は高くならなかったのです。

監査済みプロトコル 6 件、3,770 万ドルの損失、そして「監査済み」というシグナルの幻想

このレポートで最も目を背けたくなる事実は、一文の中に埋もれています。それは、2026 年第 1 四半期にハッキング被害に遭ったプロトコルのうち 6 つは監査済みであり、合計 3,770 万ドルの損失を出したという点です。そのうちの一つである Resolv は、計 18 回もの個別監査を受けていました。また、Venus Protocol は 5 つの異なる監査法人によるレビューを受けていました。

ここから導き出される、これまでの常識を覆すような示唆は、監査の回数はセキュリティの結果を保証しないということです。むしろ、極端な例では負の相関さえ見られます。重厚な監査履歴を持つプロトコルほど、より多くの TVL を保持し、より大きな価値を動かす傾向があるため、より執念深い攻撃者の標的になりやすいのです。趣味のプロジェクトをフィッシングする攻撃者はいません。狙われるのは、管理鍵一つで 2 億 9,000 万ドルを解錠できるプロトコルです。

Hacken が KuCoin、MEXC、WhiteBIT、Bybit、Centrifuge、Global Ledger、Allium、SVRN、M0、C4、Gray Wolf を含む 11 の取引所やインフラチームと共同で実施したパートナー調査でも、同様の傾向が裏付けられています。監査は依然として必要不可欠ですが、もはやそれだけで十分ではなくなりました。そして何より、第 1 四半期に巨額の資金が流出した「戦場」は、そもそも監査の対象外だったのです。

全貌を物語る 3 つのインシデント

1 月に発生した 2 億 8,200 万ドルのハードウェアウォレット詐欺

1 月 10 日、ZachXBT による再現調査によれば、ある長期の暗号資産保有者が、偽の IT サポートとの通話中に復元用の認証情報を渡してしまい、ビットコインとライトコインで 2 億 8,200 万ドルを失いました。これは取引所へのハッキングでも、スマートコントラクトの不備でも、管理鍵の漏洩でもありません。ただの「会話」によるものでした。

この攻撃が成功した要因、そしてこれが他のケースにも当てはまる普遍的な脅威である理由は、ハードウェアウォレットの UX にあります。現在も復元プロセスは、正規の手順と悪意のある手順がほぼ同一に見えるように設計されています。攻撃者は Ledger デバイスのセキュアエレメント(安全なチップ)を突破する必要はありませんでした。ただ、「ウォレットが復元を求めている」というユーザーの認識(メンタルモデル)を突破すればよかったのです。その防衛線が崩れた瞬間、暗号技術的な要素が一つも破られることなく、2 億 8,200 万ドルが移動しました。

Step Finance:偽の VC コール

1 月 31 日、攻撃者が Step Finance 経営陣のデバイスを侵害したことにより、同プロトコルのトレジャリーから約 4,000 万ドルが流出しました。Step Finance 自身の開示によると、初期の攻撃ベクトルは偽のベンチャーキャピタリスト(VC)との通話でした。これは、資金調達中の創設チームが毎月 20 回は受けるような種類の会議です。「ピッチ資料」を通じて送り込まれたマルウェアにより、攻撃者は経営陣のノート PC への持続的なアクセス権を取得し、そこからトレジャリー資金を移動させる署名フローへと侵入しました。

経営陣のデバイスへのソーシャルエンジニアリング、そしてそこからトレジャリー運用へのラテラルムーブメント(横方向の移動)というこのパターンは、今や繰り返し記録されており、おそらく 2026 年における北朝鮮(DPRK)関連のデフォルトのプレイブックとして理解するのが最善でしょう。Bitrefill の 3 月 1 日の開示でも、ほぼ同一の指標が引用されています。従業員のノート PC の侵害、流出したレガシーな資格情報、そして過去の Lazarus(ラザルス)や Bluenoroff(ブルーノロフ)の活動との手口の重複です。

Drift:耐久性のあるナンスを上回る管理者キー

4 月 1 日に発生した Drift Protocol のエクスプロイトでは、プロトコルの TVL(預かり資産)の半分以上に相当する 2 億 8,500 万ドルが流出しました。Chainalysis と Elliptic は、いずれもこれを北朝鮮関連の攻撃者によるものとしています。技術的な仕掛けは巧妙でした。Solana の耐久性のあるナンス(durable nonces)により、トランザクションを事前に署名し、後で実行することが可能になります。3 月 23 日から 30 日にかけて、攻撃者は資金流出用のトランザクションを準備しました。その後、ソーシャルエンジニアリングを通じて、わずか数日前にタイムロックがゼロに移行されたばかりの 2/5 しきい値のマルチシグに対し、実際の Drift セキュリティ評議会のメンバーから署名を取得しました。

署名さえ揃えば、実行は容易でした。価値のないトークン(CVT)を担保としてホワイトリストに登録し、5 億ユニットを入金して、2 億 8,500 万ドルの実資産を引き出したのです。悪用された「脆弱性」は Drift のコードにはありませんでした。コードは設計通りに動作したのです。問題は、マルチシグの署名者が、自分が理解していないものには決して署名しないだろうという「仮定」にありました。

3 つの事件、3 つの異なる攻撃面、しかし共通の根本原因が 1 つあります。防衛境界線の「コントラクト」と「コントラクトを制御する人間」の間に隙間があり、報奨金に値するすべての攻撃者は、今やその隙間がどこにあるかを正確に把握しているということです。

予算を投じるべき場所

2026 年第 1 四半期が、統計的な異常ではなく、持続的な攻撃面の変化の始まりであるとするならば、セキュリティ予算への影響は表面的なものではなく、構造的なものになります。以下に、率直なリストを挙げます。

  • 「推奨される管理策」ではなく「必須要件」としてのフィッシング耐性のある認証。 つまり、キーに触れる、トランザクションを承認する、あるいはクラウドインフラにアクセスできるすべての運用アカウントにおいて、FIDO2 / WebAuthn / パスキーを使用することです。NIST(米国国立標準技術研究所)は、これらをすでに AAL2(認証保証レベル 2)の基準として扱っています。暗号資産(クリプト)業界は、マルチシグに関わるすべての人にとって、これらを最低限のルール(テーブルステークス)として扱うべきです。
  • ベンダーレベルでのハードウェアウォレットの UX 再設計。 2 億 8,200 万ドルの詐欺が成立したのは、「正当なサポートによって開始されたリカバリフロー」と「電話越しの攻撃者によって開始されたリカバリフロー」が、ユーザーにとって同一に見えるためです。Ledger、Trezor、SafePal、および管理型カストディの同等品などのデバイスベンダーは、今やフィッシング対策の受動的な構成要素ではなく、最前線に立っています。
  • 単なるシミュレーションではなく、トランザクションのプレビュー。 Drift のようなプロトコルは、機械が解釈可能な形式で自分が署名している内容をおそらく読んでいなかった、実際の人間から署名を取得しました。トランザクションごとの完全な意味的意図(semantic intent)をレンダリングする次世代の署名ツール(Rabby、Blockaid、Fordefi、Ledger Clear Signing)は、もはや UX の利便性向上のためのものではありません。それらは、「署名する前に気づく」か「後で Twitter でそれを知る」かの違いを生む決定的な要素です。
  • コード監査と並行した運用セキュリティ(OpSec)監査。 SOC 2 Type II、SIM スワップ保護、インシデント対応の机上演習、フィッシング耐性のある MFA(多要素認証)の強制、署名フローを開始できるあらゆるマシンにおけるデバイスレベルの EDR。機関投資家向けカストディの世界では、これらを長年ベースラインとして扱ってきました。クリプトネイティブなチーム(特にすでに 18 回のコード監査を受けているようなプロトコルを運営しているチーム)は、これらをオプションとして扱いがちです。
  • 専用のセキュリティトレーニング予算。 ほとんどのプロトコルのトレジャリーは、次の外部監査には 6 桁(数十万ドル)の費用を投じますが、自社の経営陣に対するフィッシングシミュレーションには一銭も投じません。2026 年第 1 四半期は、その比率がもはや正当化できなくなった四半期です。

None of this replaces code auditing. Smart contract exploits still caused $86.2M in Q1, and that number climbed 213% year-over-year even as the mix shifted. But the industry now has a two-front war, and it is still budgeting for one. これらはどれも、コード監査に取って代わるものではありません。スマートコントラクトのエクスプロイトは依然として第 1 四半期に 8,620 万ドルの被害をもたらしており、その構成比が変化しても、その数字は前年比で 213% 増加しました。しかし、業界は今や二正面作戦を強いられており、依然として一正面分の予算しか組んでいないのが現状です。

コンプライアンスのオーバーレイ

攻撃面の変化は、規制当局が暗号資産企業に対する運用要件を強化している時期と重なっています。EU では MiCA(暗号資産市場規制)と DORA(デジタル・オペレーショナル・レジリエンス法)が有効な執行期間に入りました。米国では GENIUS 法が、決済用ステーブルコインに関する初の連邦枠組みを確立しました。ドバイは連邦レベルの暗号資産監視体制を再編し、シンガポールはライセンスを持つ事業者に対してバーゼル合意に準拠した自己資本基準の適用を開始しました。

これらの各規制は、実質的には運用セキュリティ(OpSec)に関する規制です。特に DORA は、金融機関に対してレジリエンス(回復力)テスト、インシデント報告、サードパーティのリスク管理を義務付けています。これらの規定は、第 1 四半期に 3 億 7,800 万ドルの損失(フィッシングによる 3 億 600 万ドル + アクセス制御による 7,190 万ドル)を生み出した失敗のカテゴリーとほぼ正確に一致しています。コンプライアンス上の義務と損失防止の義務は、同じ答えに収束しつつあります。それは、「人間とインフラが、コードと同じくらい堅牢であることを証明せよ」というものです。

取引所、カストディアン、大規模な DeFi プロトコルにとって、「監査済み」であることは、欧州や米国の規制当局の前でもはや防御可能な姿勢ではありません。それに代わるものは、フルスタックのセキュリティ証明(コード監査 + 運用管理 + フィッシング耐性のあるアーキテクチャ + ユーザー側の認証標準 + 透明性のあるインシデント対応)に近いものになるでしょう。

開発者にとっての意味

2026 年にパブリックチェーン上で構築を行うチームにとって、第 1 四半期のデータは優先順位のスタックを変化させます:

  1. 管理者鍵が標的であると想定すること。 コントラクトではなく、鍵が狙われます。巧妙な攻撃者が、不正な手段を通じて正当な人間から正当な署名を得ようとすることを前提に、マルチシグフロー、タイムロック、および署名者の教育を設計してください。
  2. クラウドインフラを対象範囲(in-scope)として扱うこと。 Resolv 社の AWS KMS 侵害や Bitrefill 社のラップトップ侵害は、例外的なケースではありません。署名鍵、デプロイパイプライン、またはトレジャリーの承認フローに到達できるあらゆるクレデンシャルは、ハードウェアに紐付けられたクレデンシャルによるフィッシング耐性のある認証の下に置かれるべきです。
  3. 人間レイヤーの防御項目を予算に組み込むこと。 フィッシングシミュレーション、インシデント対応訓練、経営陣のデバイスへの EDR 導入、公に知られたアクセス権を持つ人物への専用の SIM スワップ保護などです。これらの項目は 2024 年にはオプションでした。2026 年第 1 四半期以降の世界では、これらは資金を保持するプロトコルを運営するための実質的なコストとなります。
  4. ユーザーが直接狙われることを想定すること。 2 億 8,200 万ドルの詐欺事件は、エンドユーザーを対象としたフィッシングが、今やプロトコル規模の損失にまで拡大することを示しています。ウォレットの UX、トランザクションの明瞭性、リカバリフローの強化、および製品内での教育は、グロース(成長)のための施策ではなく、セキュリティ製品の一部です。

この脅威モデルに適応するプロトコルは、監査済みの PDF を持つ 2023 年時代の DeFi チームというよりも、CISO(最高情報セキュリティ責任者)を置き、コンプライアンスカレンダーを運用し、取締役会レベルのリスク委員会を持つ 2026 年のフィンテック企業のようになっていくでしょう。これはコストがかかるように聞こえますが、実際にコストがかかります。しかし、電話一本で 2 億 8,200 万ドルを失うという比較対象のコストは、それよりも遥かに高額です。

結論

Hacken の 2026 年第 1 四半期レポートは、「セキュリティが悪化している」という話ではありません。スマートコントラクトの品質は真に向上しています。エクスプロイトによる損失額が前年比 213% 増加しているという事実は、プロトコルレベルの防御が今や実効性を持っているという事実を覆い隠しています。重要なのは、攻撃者は合理的なアクター(主体)であり、合理的な攻撃者は防御が最も手薄で実りの多い領域へと移行するということです。クリプトの歴史の大部分において、その領域はコードでした。2026 年第 1 四半期現在、それは「人」、「プロセス」、そして「特権インフラ」となっています。

業界は、セキュリティ予算の 80% をコード由来の損失(全体の 18%)に費やし続けることもできますが、あるいは、1 月の 2 億 8,200 万ドルの詐欺事件が実際に示した世界に合わせて、迅速に再調整することもできます。この四半期で最も重要な数字は、4 億 8,200 万ドルの総損失額ではありません。それは比率です:フィッシングによる 3 億 600 万ドル対エクスプロイトによる 8,620 万ドル。この数字こそが、2026 年の防御予算をどこに投じるべきかを示すブループリント(設計図)なのです。

BlockEden.xyz は、15 以上のチェーンにわたってエンタープライズグレードのブロックチェーン API インフラストラクチャを運営しています。Hacken の第 1 四半期レポートが新たな最前線として特定した、鍵管理、署名者ワークフロー、クラウドクレデンシャルの衛生管理といった運用面をカバーする SOC 2 および ISO 27001 の統制を備えています。API マーケットプレイスを探索 して、Web3 が 2026 年に実際に直面する脅威モデル向けに設計されたインフラストラクチャ上で構築を開始しましょう。

情報源

Share on Twitter