セキュリティ事件

据 GoPlus 最新报告，2026 年 1 月，Web3 因主要安全事故造成的经济损失达 4.14 亿美元。安全事件类型包括智能合约漏洞、社会工程学攻击、钓鱼攻击、貔恘盘、Rugpull 等。其中，Exploit（包括合约攻击，社工欺诈，私钥泄露等）因 20 起主要事件，造成 3.75 亿美元的损失。因钓鱼攻击造成的总损失约 2000 万美元，受害者人数约 5000 人。当月在 ETH、Base、BSC 监测到新增貔貅代币（HoneyPot）390 个，相较 12 月有所降低。

チェーン上の探偵 ZachXBT は X プラットフォームで、Circle のセキュリティ事件における対応態度を疑問視し、「歴史はすでに Circle が悪質な行為者であることを証明している」と述べました。ZachXBT は、Base ネットワーク上の SwapNet コントラクトが攻撃を受け、約 1,300 万ドルの USDC が損失したと報告しています。その中には、約 300 万ドルの USDC が Circle によって凍結可能なアドレス（0x6cAad74121bF602e71386505A4687f310e0D833e）に残っているが、現時点では有効な対処が見られないとしています。彼はさらに、中央集権的なステーブルコインの発行者として、Circle がユーザー資産が攻撃を受けた後にユーザーの利益を保護するために迅速に行動を取らなかったことを疑問視し、なぜ開発者が依然として USDC に基づいてアプリケーションを構築し続けるのかを反問しました。彼は、その中央集権的なリスクとガバナンスの方法がエコシステムの信頼に影響を与えていると考えています。

Matcha Meta は X プラットフォームで発表し、SwapNet に関連するセキュリティ事件に注意を払っていることを示しました。Matcha Meta で「一度限りの承認（One-Time Approval）」を無効にしたユーザーの一部が影響を受ける可能性があります。現在、SwapNet チームと連絡を取り合っており、彼らは一時的に契約を停止しています。0x プロトコルチームと確認した結果、今回の事件は 0x の AllowanceHolder または Settler コア契約には関与していないことが確認されました。一度限りの承認方式で Matcha Meta とやり取りを行ったユーザーは安全に使用できます。類似の事態が再発しないように、ユーザーが直接アグリゲーターに制限を設定する機能は削除されました。ChainCatcher の以前の報道によると、SwapNet は攻撃を受け、約 1680 万ドルの暗号資産が盗まれました。

Sagaは1月21日にSagaEVMチェーンに影響を与えるセキュリティ事件を発見し、対応しました。この事件は、調整された契約シーケンス、クロスチェーン操作、およびその後の流動性引き出しに関与しています。慎重な原則に基づき、SagaEVMチェーンはブロック高6593800で運転を一時停止しており、現在問題の調査と緩和作業を積極的に進めています。約700万ドルのUSDC、yUSD、ETH、およびtBTCがイーサリアムメインネットに移転されました。チームは取引所およびクロスチェーンブリッジプラットフォームと協力して、攻撃者のウォレットをブラックリストに登録し、盗まれたトークンを回収し、影響を受けたクロスチェーンおよびデプロイメントコンポーネントを修正・強化します。今回の事件は、コンセンサスメカニズムの障害、バリデーターの侵害、または秘密鍵の漏洩には関与していません。ChainCatcherの以前の報道によると、Sagaチェーンはハッカー攻撃を受け、約700万ドルの資産が盗まれた疑いがあります。

Flow ネットワークは Cadence 仮想マシンのタイプ混乱脆弱性に対する攻撃を受け、トークンの不正発行が発生しました。攻撃者は複雑な「三部構成の脆弱性チェーン」を利用してリソースの線形保証を回避し、リソースオブジェクトを構造体に偽装してコピーしました。この事件により、約 390 万ドルの実際の経済的損失が発生し、資金は Celer、deBridge などのクロスチェーンブリッジを通じて流出しました。Flow の監視によると、攻撃者は合計 879.6 億枚の FLOW および多様なトークンを生成し、そのうち 10.94 億枚の FLOW が中央集権取引所に転送されました。バリデーターが迅速に停止し、OKX、Gate.io、MEXC などと協力したため、約 98.7% の不正資産がチェーン上または取引所で凍結され、約 4.84 億枚の FLOW が焼却されました。ネットワークは 12 月 29 日に「隔離回復プラン」を通じて復旧し、現在はパラメータ検証、ランタイムチェック、および契約デプロイロジックを含む包括的なパッチが展開されています。

PeckShield は X プラットフォームで発表し、約 26 件の重大な暗号通貨攻撃事件が発生し、総損失は約 7600 万ドルで、先月の 1.9427 億ドルから 60% 以上の大幅な減少を示しています。今月最も深刻な 2 件の事件には、ウォレットアドレス 0xcB80...819 がアドレス中毒により 5000 万ドルを失ったことと、マルチシグウォレット 0xde5f...e965 が秘密鍵の漏洩により 2730 万ドルを失ったことが含まれます。他の重大な損失には、babur.sol プロジェクト（2200 万ドル）、TrustWallet（850 万ドル）、UnleashProtocol と flow_blockchain（各 390 万ドル）が含まれます。

Flow Foundationは、脆弱性事件後の取引所の調整状況について声明を発表し、ユーザーを保護し、ネットワークの運営を回復するために、証拠収集機関および複数のグローバル取引所と協力していると述べています。基金は、事件発生後間もなく、ある取引所で単一のアカウントが約1.5億FLOW（総供給量の約10%）を集中して入金し、そのうちのかなりの部分をBTCに交換し、ネットワークが中断される数時間前に500万ドル以上を引き出したと報告しています。このプロセスは、AML/KYCプロセスに欠陥があることを露呈し、詐欺的なトークンを知らずに購入したユーザーに財務リスクを転嫁しました。証拠分析では、事件前後においてその取引所のFLOW市場に通常の取引とは異なる重大な取引異常が存在することも発見され、基金はこれらの取引パターンに関する明確化要求を運営チャネルを通じて行ったが、いずれも返答が得られなかったとしています。

GoPlus RektDatabase のデータによると、2025 年には Web3 分野でユーザーとプロジェクト側の間で 1200 件以上の深刻なセキュリティ事件が発生し、総損失は 35 億ドルを超えました。私鍵の盗難（ウイルスやトロイの木馬、ソーシャルエンジニアリングに基づく）、フィッシング攻撃、Rug Token（詐欺トークン）が最も多発した 3 種類の攻撃および詐欺のタイプです。その中で、Bybit の盗難事件（2 月 21 日、15 億ドル）、Cetus の盗難事件（5 月 22 日、2.23 億ドル）、Balancer の盗難事件（11 月 2 日、1.28 億ドル）が 2025 年の損失金額トップ 3 の事件です。セキュリティの状況は「超大額事件の数が増加」し、「ユーザーの小額詐欺コストが著しく低下」という明らかな特徴を示しており、これは攻撃者の戦略が「精密狩猟」と「広く撒く」ことの並行する傾向を示しています。注目すべきは、2025 年に単体損失金額が 3000 万ドルを超える攻撃事件が 12 件あり、そのうち CeFi が 7 件を占めており、管理者の私鍵の盗難やホットウォレットの私鍵の盗難が主な原因であり、顕著なリスクを露呈しています。

Trust Wallet CEO Eowync.eth は X プラットフォームでブラウザ拡張 v2.68 のセキュリティ事件に関する最新の進展を発表し、チームは合計 2596 のウォレットアドレスが影響を受けたことを確認したと述べた。現在、約 5000 件の補償申請が寄せられており、その中には多くの重複または無効な提出が含まれており、被害者の補償を不正に請求しようとする試みがある。彼は、ウォレットの帰属を正確に確認することが現在の作業の核心であり、チームは複数のデータのクロス検証を通じて、真の被害者と悪意のある提出者を区別していると述べた。関連する確認作業は証拠調査と並行して進められており、一部のケースでは比較的明確な判断結論が形成されているが、全体のプロセスはまだ進行中である。Eowync.eth は、この事件がユーザーに与える影響が十分に重視されていることを強調し、調査と補償は Trust Wallet の現在の最優先事項であると述べた。チームは、資金が正しいユーザーに安全に返還されることを前提に、正確性を速度よりも優先し、できるだけ早くさらなる進展情報を発表する予定であり、今後 1 日以内に更新される見込みである。

OKX CEO Star は X プラットフォームで DeBot のセキュリティ事件に関する投稿を行い、次のように述べました："ウォレットが盗まれるにはいくつかの一般的な状況があり、DEX Bot のような製品の秘密鍵集中化リスクは、関連製品がユーザーの秘密鍵をサーバーにアップロードし、平文または解読可能な形式で保存することに関係しています。一度ハッカーに侵入されると、そのリスクレベルは実際には取引所と同等になります。したがって、このような製品のセキュリティ基準は取引所レベルに達する必要があります。そうでなければ、リスクは非常に高くなります。自己管理ウォレットのコードの脆弱性や主観的な悪意のリスク、ユーザーの端末が攻撃されるかデータが漏洩するリスク、自動化された戦略が秘密鍵の管理に構造的に依存していることです。"Star はさらに、ウォレットのセキュリティの正しい進化の方向性は、秘密鍵の安全性と使いやすさが対立しない関係であると述べました。

Flow 公式は X プラットフォームで、Flow Foundation が現在 Flow ネットワークに影響を与える潜在的なセキュリティ事件を調査していると発表しました。Flow Foundation のエンジニアリングチームは、ネットワークパートナーと積極的に協力して問題を軽減し、検証後にさらなる更新を提供する予定です。以前の情報では、FLOW は短期間で 0.125 ドルを下回り、24 時間で 42% 以上の下落を記録しました。

CertiK は 2025 Skynet Hack3D セキュリティレポートを発表しました。2025 年の Web3 セキュリティレポートによると、年間損失額は 335 億ドルに達し、700 件以上のセキュリティ事件が発生しました。レポートは、Web3 エコシステムがマクロ経済環境の改善とアメリカの政策支援の下で回復を迎えているものの、脅威の状況はますます複雑化しており、攻撃者がリソースを集中させて大規模な行動を行い、主にプライベートキー管理、認証、アクセス制御などの高価値ターゲットを狙っていると指摘しています。データによると、2025 年の攻撃ごとの平均損失は 532 万ドルで、前年同期比で 66.64% 増加し、中位損失額は 35.75% 減少して 10.4 万ドルとなりました。2 月は Bybit の事件により年間で最も深刻な月となり、損失は 153.7 億ドルに達し、年間総損失のほぼ半分を占めました。サプライチェーン攻撃は最も高額な攻撃手法で、145 億ドルの損失を引き起こしました。一方、フィッシング攻撃は 248 件の事件で最も多く発生しました。イーサリアムは最も攻撃を受けたエコシステムで、310 件の事件が発生し、損失額は 169.8 億ドルに達しました。

据 CoinTelegraph の報道によると、ブロックチェーンセキュリティ会社 CertiK のデータによれば、暗号通貨ハッカーは 2025 年に 33 億ドルを盗み、サプライチェーンの脆弱性が最も破壊的な脅威となり、わずか 2 件の事件で 14.5 億ドルの損失を引き起こしました。毎回のハッキング攻撃の平均損失額は 530 万ドルで、前年より 66% 増加しています。しかし、データはまた、セキュリティ事件の数が急激に減少し、前年同期比で 162 件減少したことを示しており、プロトコルレベルのセキュリティが向上していることを示しています。これにより、攻撃者は単純なコードの脆弱性から遠ざかり、フィッシングやインフラストラクチャレベルの攻撃に移行しています。報告によれば、フィッシング詐欺は第二の脅威となり、248 件の事件で暗号通貨投資家は合計 7.22 億ドルの損失を被りました。

据 PeckShield 统计，2025 年发生约 15 起重大加密货币攻击事件，造成总损失约 1.9427 亿美元，较 10 月的 1818 万美元激增 969%。五大攻击事件分别为：Balancer v2 及其分支损失 1.374 亿美元（已追回 3900 万）、Upbit 损失 3600 万美元、Yearn Finance 损失 900 万美元、HLP 坏账 495 万美元及 GANA PayFi 损失 310 万美元。

区块チェーンセキュリティ機関CertiKがXで発表したセキュリティ事件月報によると、2025年に発生した各種攻撃、脆弱性、詐欺による総損失は約1.724億ドルで、そのうち約4500万ドルが凍結または回収され、純損失は約1.27億ドルとなっています。報告によると、最大の事件はBalancer（1.13億ドル）から発生し、次いでUpbit（2987万ドル）とBex（1240万ドル）が続きます。事件の種類別では、コードの脆弱性（1.3億ドル）が最も大きな損失をもたらし、次いでウォレットの漏洩（3305万ドル）となっています。分野別に見ると、DeFiプロジェクトの損失が最も深刻で、1.349億ドルに達しています。CertiKは、一部の資金が成功裏に凍結または返還されたにもかかわらず、今月のセキュリティ事件の総数は依然として高水準を維持しており、ユーザーとプロジェクト側に対して年末の段階で契約監査、キー管理、リスク管理措置を強化するよう警告しています。

据 CoinDesk 报道，在 Balancer v2 金库因重大漏洞遭攻击，导致超 1.1 亿美元资金流失数周后，Balancer DAO 已开始讨论一项计划，拟将约 800 万美元的追回资产分配给受影响的 LP。该提议方案包括为白帽黑客提供结构化报酬，并依据漏洞利用时用户池资产快照数据对用户进行补偿，这与《安全港协议》相符。该协议规定，每起事件赏金上限 100 万美元，白帽黑客要完成全面的 KYC 及制裁筛查。Arbitrum 上有几位匿名救援者放弃赏金索赔。追回的代币涵盖以太坊、Polygon、Base 和 Arbitrum 等网络，流动性提供者会按最初提供的代币、按池按比例获得补偿。目前正在开发索赔机制，若提案通过，用户需接受更新后的使用条款。另外，1970 万美元的 osETH 和 osGNO 由 StakeWise 追回，将单独处理；内部与 Certora 协同追回的 410 万美元，因先前有协议，不符合赏金条件。此次漏洞利用是由智能合约缺陷引起的，标志着 Balancer 遭遇了第三次重大安全事件，并导致总锁定价值 (TVL) 从约 7.75 亿美元暴跌至 2.58 亿美元，而 BAL 代币价值也损失了约 30%。

GoPlus の監視によると、Web3 はスマートコントラクトの脆弱性、ソーシャルエンジニアリング攻撃、フィッシング攻撃、詐欺、Rugpull などのセキュリティ事故により、総損失が 4584 万ドルを超えています。その中で：GMGN ユーザーがフィッシング攻撃を受け、攻撃者が第三者のトークンサイトを偽造して非承認取引を誘導し、107 人のユーザーが 70 万ドルを超える損失を被りました；CZ などの KOL に注目された Twitter アカウントが @OracleBNB に改名され、@four_meme_ と提携してトークンを発行したと偽装し、その後 RUG で 34 BNB を利益として得ました。

ChainCatcher のメッセージによると、CoinDesk が引用した暗号取引プラットフォーム WhiteBIT の 2025 年度セキュリティレポートによれば、ソーシャルエンジニアリング詐欺（偽の投資、なりすましなどを含む）が暗号ユーザーが直面する主要なセキュリティ脅威となっており、今年のすべてのセキュリティ事件の 40.8% を占めています。レポートでは、技術的なウォレット攻撃（フィッシング、マルウェア、キーロガーなど）が 33.7% の割合で次に多く、10% 以上の詐欺が Telegram などのインスタントメッセージングプラットフォームを通じて実施されており、一般的な形式は「スパム詐欺」や偽装チャンネルです。WhiteBIT のコンプライアンスチームは、ほとんどの脅威が「人間の行動の脆弱性」をターゲットにしており、技術的欠陥ではないと指摘し、ユーザーに対して以下のような積極的な防御策を講じるよう呼びかけています：二段階認証の有効化、URL の慎重な確認、機密データの共有を避けること、そして安全な取引所とコールドウォレットを優先して資産を保管すること。レポートはまた、今年上半期に暗号分野での犯罪による損失が約 250 億ドルに達し、その中で Bybit のハッキング事件（北朝鮮の Lazarus グループによるものと考えられている）が史上最大の暗号盗難事件となり、約 150 億ドルの損失をもたらしたことを述べています。

ChainCatcher のメッセージ、Layer2 ネットワーク Shibarium と Ethereum の Shibarium クロスチェーンブリッジは、以前にフラッシュローン攻撃を受け、約 240 万ドルの ETH と SHIB が盗まれました。現在、Shibarium はセキュリティ事件の更新を発表しており、以下の点が指摘されています：新たな未承認取引を防ぐために、特定のブリッジ操作が制限されました；悪用される可能性のあるパス（入金/出金/請求/報酬）をアップグレードし制限し、委託ステーキングの悪用を防ぐためのターゲット防御コントロールを追加しました；リスクにさらされている BONE を保護し、ステーキング管理者レベルでの回復を行います。攻撃者の短期 BONE ステーキングは干渉され、プロトコルメカニズムによって効果的に制限されます；バリデーター署名者をローテーションし、契約の制御をマルチパーティハードウェア保管に移行します；レガシーキーからの広範な移行を続けます；攻撃者のトラフィックをリアルタイムで監視します；自動的にパートナーや取引所に警報を発し、報告します；独立したセキュリティ研究者、インシデントレスポンス会社、および関連部門を雇います。