2026年第1四半期 暗号資産セキュリティレポート：15億ドルのBybitハッキングがインフラ攻撃の新時代を告げる理由

数字だけ見れば、安心できるはずでした。スマートコントラクトの監査はかつてないほど洗練され、形式的検証は主流となり、DeFiプロトコルは集合的にセキュリティレビューに数億ドルを費やしてきました。それにもかかわらず、2026年第1四半期、暗号資産業界は20億ドル以上を失いました——その中にはデジタル資産史上最大の単一窃盗事件も含まれます。原因はSolidityのバグではありませんでした。侵害された開発者のノートパソコンでした。

これが2026年の決定的なセキュリティストーリーです：オンチェーンコードが安全になるにつれ、攻撃者はオフチェーンへと移動しました。戦場はもはやスマートコントラクトのバイトコードではありません——クラウドの認証情報、開発者のマシン、DNSレコード、npmパッケージ、そしてマルチシグ署名者の人間的心理です。Web3インフラを構築または投資するすべての人にとって、このシフトを理解することは選択肢ではありません。

ヘッドライン数値：欺瞞的な図

2026年第1四半期は、60件以上のDeFi中心のインシデントで約4億5000万ドルの損失を記録しました——セキュリティ研究者はこの数字を暗号資産窃盗の規模と持続性の証拠として引用します。しかしこの数字だけでは、四半期の真の被害が過小評価されます。

2026年2月21日、北朝鮮のLazarus Groupは単一の作戦でBybitから約15億ドルを盗みました——史上最大の暗号資産窃盗記録です。より広いQ1 DeFiインシデントデータと合わせると、2026年最初の3ヶ月間の暗号資産総損失は20億ドルを超えました。

月別の内訳は激しい変動を示しています：

• 2026年1月：約3億7000万〜4億ドル、単一の2億8200万ドルのフィッシング攻撃が支配
• 2026年2月：DeFiインシデントで約4900万ドル（Bybitの15億ドルは別途）
• 2026年3月：20件以上のインシデントで約5200万ドル——2月比96%増

なりすまし詐欺は前年比1400%急増しました。対照的に、スマートコントラクトのエクスプロイトは絶対損失で前年比約89%減少しました。業界のコードはより安全になっています。その人々、システム、インフラが新たな攻撃面となっています。

Bybit：サプライチェーンがスマートコントラクトを打ち負かしたとき

Bybit侵害はすでにセキュリティ業界の教科書的ケーススタディとなっており、それは当然です。実際に何が起きたのかを見ていきましょう。

Bybitは暗号資産界で最も信頼されているマルチシグ・スマートコントラクトウォレットの一つ、Safe{Wallet}を使用して顧客資金を保管していました。Safe{Wallet}のコントラクト自体は侵害されませんでした。代わりに、Lazarus Group（TraderTraitorおよびAPT38としても知られる、北朝鮮の偵察総局の部隊）がSafe{Wallet}のエンジニアリングチームの開発者マシンを侵害しました。

この足がかりから、攻撃者はSafe{Wallet}のウェブインターフェースに悪意のあるJavaScriptを注入しました。コードは外科的でした：Bybitを除くすべてのユーザーに対して正常に動作し、Bybitが特定の種類のコールドウォレットトランザクションを実行する場合にのみ動作しました。Bybitの署名者が日常的な内部送金のように見えるものを開始したとき、彼らは知らずにETHとERC-20トークン約15億ドルを保有するコールドウォレットの制御を攻撃者に移転するトランザクションに署名していました。

悪意のあるトランザクションを実行した2分後、LazarusはSafe{Wallet}のAWS S3バケットにクリーンで未変更のJavaScriptファイルをアップロードし——ほぼリアルタイムで痕跡を消しました。

FBIは帰属を確認しました。北朝鮮は暗号資産窃盗を通じて武器プログラムの相当部分に資金を供給しており、Bybitからの戦利品は単一の作戦としてはるかに最大のものです。

セキュリティの教訓は明確です：Bybitのスマートコントラクトは安全でした。ウォレットガバナンスはマルチシグのチェックを通過しました。署名者は明白に誤ったことは何もしませんでした。ベクターはソフトウェアサプライチェーンでした——ほとんどの暗号資産セキュリティフレームワークさえ対処していないレイヤーです。

1月のフィッシング大流行：単一の詐欺で2億8200万ドル

Bybitの前に、2026年1月は独自の記録を打ち立てました。1月16日、一人の投資家がハードウェアウォレットユーザーを標的にした高度なフィッシングキャンペーンで2億8400万ドルを失いました。攻撃はTrezorのカスタマーサポートになりすまし、偽の緊急セキュリティアラートを通じて被害者がリカバリーシードフレーズを開示するよう操作しました。

単一のソーシャルエンジニアリング攻撃。一つのシードフレーズ。2億8200万ドルが消えました。

1月の総損失は約3億7000万〜4億ドルに達し、単一の攻撃が月の被害の約80%を占めました。Q1全体を通じて、フィッシングとソーシャルエンジニアリングは2億9000万ドル以上の盗難資金を占めました——他のすべての攻撃タイプを合わせたものより多い額です。2026年第1四半期にスマートコントラクトのエクスプロイトで失われる1ドルごとに、人間の操作によって約4ドルが盗まれました。

なりすまし詐欺の劇的な増加は、合理的な攻撃者の計算を反映しています：セキュリティ研究者はSolidityの脆弱性を見つけるのが非常に得意になりましたが、人間は一貫して悪用可能です。暗号資産ユーザーは数十万〜数百万ドル相当の資産を管理し、時間的プレッシャーの下で運営し、最小限の努力でスプーフィングできる洗練された見た目のインターフェースと対話します。

Drift Protocol：6ヶ月にわたるインテリジェンス浸透作戦

2026年4月1日——Q2の始まりを示すが、四半期全体のセキュリティ態勢に影を落とす——Drift Protocolは史上最も作戦的に洗練されたDeFiエクスプロイトで2億8600万ドルを失いました。

攻撃者はスマートコントラクトのバグを探していませんでした。彼らはより価値あるものを見つけました：信頼。

北朝鮮の国家関連グループは、クォンツトレーディング会社を装ってDrift Protocolに侵入するために約6ヶ月を費やしました。その期間、彼らは：

1. 暗号資産カンファレンスでDriftの貢献者と直接会い、関係の信頼性を構築
2. 実際の参加者としての合法性を確立するためにDrift Protocolに100万ドル以上を入金
3. エコシステムボールト製品を統合し、プロトコルへのより近い技術的アクセスを獲得
4. 悪意のあるTestFlightアプリとVSCode/Cursor拡張機能の脆弱性を通じて開発者デバイスを侵害
5. 侵害されたデバイスを使用してDriftのセキュリティカウンシルのマルチシグ5つ中2つの署名を取得

2つの署名を確保した後、彼らはSolanaのダーラブルノンス機能を悪用しました——事前署名されたトランザクションがブロック高の変化を超えて有効であり続けることを可能にする合法的なメカニズムで、オフライン署名ワークフローの利便性のために設計されています。攻撃者はこれを使用してライブトランザクション承認を確保し、数分以内に実行しました：無価値な偽トークン（CVT）を担保としてホワイトリストに追加し、5億CVTを入金し、USDC、SOL、ETHを含む実際の資産2億8500万ドルを引き出しました。

ドレイン全体に要した時間は約12分。準備には6ヶ月かかりました。

この攻撃パターン——忍耐強く、アイデンティティベースで、バグではなく合法的なプロトコル機能を活用する——は、DPRKの進化するプレイブックの高度な形態です。

北朝鮮の産業化された暗号資産窃盗

2026年Q1のセキュリティ環境を分析するにあたり、不快な現実と向き合わなければなりません：北朝鮮は国家が運営する産業規模の暗号資産窃盗プログラムを運営しており、加速しています。

Q1 2026を通じて、DPRK関連の作戦は少なくとも18の追跡された作戦にわたり推定3億ドル以上の確認された損失を占めました。彼らの攻撃面は現在以下を網羅しています：

• CEXコールドウォレットサプライチェーン攻撃（Bybit）：コントラクト自体ではなく、署名者が使用するソフトウェアを侵害
• DeFiソーシャルエンジニアリング（Drift）：信頼された参加者として数ヶ月にわたりプロトコルに浸透
• 開発者サプライチェーン（npm/PyPIキャンペーン）：偽のリクルーター求人オファーを装って悪意のあるパッケージを公開し、開発者環境を侵害して認証情報を盗む
• IT労働者の浸透：DPRKエージェントが暗号資産企業にリモート開発者として潜入し、ミキサーを通じてルーティングされた給与を受け取る（OFACは2026年3月にこれに関連して6人と2つの組織を制裁）

共通の糸は、技術的にコードを悪用することから、人々、信頼、インフラを体系的に悪用することへのシフトです。

構造的シフト：2026年における「フルスタックセキュリティ」の意味

2026年Q1のデータは、暗号資産セキュリティ専門職がその範囲を拡大する必要があるという明確な主張をしています。Web3における従来のセキュリティはスマートコントラクトの監査にほぼ完全に集中しており——その集中は結果をもたらしました。オンチェーンコードは2021-2022年よりも真に安全です。

しかし攻撃者は諦めていません；彼らは転換したのです。新しい攻撃面には以下が含まれます：

クラウドインフラ：AWS認証情報、Dockerイメージ、Kubernetesポッドシークレット、S3バケット。BybitハックはS3アップロードを通じて悪意のあるJavaScriptを展開し、その後上書きしました。

CI/CDパイプライン：署名鍵、デプロイ環境、本番シークレットへの特権アクセスを持つビルドシステム。パイプラインを侵害することは、すべての下流デプロイを侵害することです。

npmとパッケージエコシステム：Lazarus Groupと関連する脅威アクターは、人気のある暗号資産開発者ライブラリに似た名前の悪意のあるパッケージを継続的に公開し、AWSトークン、GitHub PAT、SSHキー、環境変数を収集するよう設定しました。

DNSインフラ：2026年の複数のインシデントには、正当なプロトコルフロントエンドのユーザーを攻撃者が制御するフィッシングサイトにリダイレクトするDNSハイジャックが含まれていました。オンチェーンコードが完璧でも、DNSが侵害されればユーザーは資金を失います。

人間のアイデンティティ：N-of-Mの署名を必要とするマルチシグスキームは、それらの鍵を保持する人間と同程度の安全性しかありません。攻撃者が5人の署名者のうち2人を——マルウェア、ソーシャルエンジニアリング、長期的浸透を通じて——侵害できれば、マルチシグは何の防御も提供しません。

これが2026年における「フルスタックセキュリティ」の意味です：Solidityの監査は最低条件であり、全体ではありません。

ビルダーが異なるアプローチをすべきこと

2026年Q1のデータは、具体的な防御的推奨事項を指し示しています：

署名環境を強化されたインフラとして扱ってください。 マルチシグのハードウェアセキュリティキーは、専用のエアギャップまたは厳格に制御されたデバイスで使用すべきです。DriftセキュリティカウンシルメンバーのVSCode拡張機能が署名活動をキャプチャするよう侵害される可能性があるなら、マルチシグは見た目ほど安全ではありません。

依存関係のサプライチェーン管理を実装してください。 完全性ハッシュでnpmとPyPIパッケージのバージョンをピン留めしてください。CIで依存関係の監査を実行してください。広範な環境変数アクセスやネットワーク出力を要求するパッケージに特に注意してください。

コントラクトと同じくらい真剣にフロントエンドを防御してください。 DNSモニタリング、CSPヘッダー、ロードされたスクリプトのサブリソース完全性、無許可の上書きを防ぐAWS S3バケットポリシーは、相当な量のユーザー資金を保有するプロトコルにとってもはやオプションではありません。

人間の攻撃面をレッドチームでテストしてください。 ペネトレーションテストには、ソーシャルエンジニアリングシミュレーション——偽のリクルーターの外部連絡、偽の緊急サポートリクエスト、偽のガバナンス緊急事態——を含めるべきです。Driftの攻撃ベクターは予測可能であり、テーブルトップ演習で検出できたでしょう。

ガバナンスのアイデンティティを業務のアイデンティティから分離してください。 プロトコルセキュリティカウンシルのメンバーは、日常の開発アイデンティティとガバナンス署名の役割の間に厳格な分離を維持すべきです。侵害された業務用ノートパソコンがマルチシグキーに触れることができないようにすべきです。

展望：Web3セキュリティの専門化

2026年Q1は強制的な転換点です。Web3が必要とするセキュリティ産業——スマートコントラクトの監査とともにクラウドセキュリティ、サプライチェーンの衛生管理、人的要因のレッドチームテスト、運用セキュリティをカバーする——はまだ構築中です。フルスタックWeb3セキュリティのための人材、ツール、組織構造は初期段階にあります。

明らかなのは、ハニーポットが成長し続けるということです。機関資本が暗号資産プロトコル、取引所、DeFi市場に流入するにつれ、DPRKのような洗練された攻撃者が利用できるリソースも比例して増加します。2017年以降に推定67億5000万ドルの暗号資産を盗んだ国家主体は、前の目標が成功したからといって次の目標を魅力的でないとは考えないでしょう。

次のサイクルを通じて生存し繁栄するプロトコルとインフラプロバイダーは、セキュリティを一回限りの監査ではなく運用規律として扱い、脅威モデルをEVMを超えてユーザーが依存するスタックのすべてのレイヤーに拡張するものになるでしょう。

BlockEden.xyzは、Sui、Aptos、イーサリアム、および20以上の他のブロックチェーンのためのエンタープライズグレードのRPCノードとAPIインフラを運営しています。当社のインフラはDNS、クラウド、ネットワークレイヤー全体にわたるマルチレイヤーセキュリティ管理で構築されています——2026年Q1の最も破壊的な攻撃が定義したのと同じ脅威面です。APIマーケットプレイスを探索するで、実際に存在する脅威環境のために設計されたインフラ上で構築してください。