暗号資産のハッキングは、ウォレットの資金が枯渇した時点で終わるわけではない。窃盗は最初に迅速かつ目に見える形で発生し、その後、より緩やかな崩壊がプロジェクト全体に広がり始める。
トークンは下落を続け、財務資金もそれに伴って縮小し、採用計画は縮小され、製品の納期は延期され、パートナーは離れていく。そして、回復を期待されていた企業は、事業を構築する代わりに、数ヶ月にわたって信頼性の確保に奔走することになる。
これが、Immunefiの新しいレポート「State of Onchain Security 2026」が描く光景だ。その主張は、暗号資産市場に限らず、あらゆる市場において十分に単純明快だ:初期の損失は被害の一部に過ぎない。
はるかに大きな問題は、攻撃がプロジェクトの未来に与える影響から生じる。Immunefiによると、調査対象における平均的な直接窃盗額は約2500万ドルだった一方で、ハッキング被害を受けたトークンは、中央値で6ヶ月間に61%下落した。その期間中、84%はハッキング発生日の価格まで回復できず、チームは復旧作業に少なくとも3ヶ月分の進捗を失った。
ただし、これらの数字には注意点がある。トークン価格が下落する理由は数多くあり、ハッキング被害を受けたプロジェクトは、攻撃を受ける前から往々にして脆弱な状態にある。流動性が低かったり、過大評価されていたり、すでに勢いを失っていたりするケースもある。
Immunefiは、ハッキングによる損害と、より広範な市場の弱気やプロジェクト固有の問題とを常に完全に切り分けることはできないと認めている。それでもなお、同レポートが示すパターンは注目に値する。なぜなら、それはハッキングがもはや単発の窃盗のように振る舞わず、むしろ長期的な企業危機のように見えることを示しているからだ。
この点が、レポートに重みを与えている。それは、ハッキング後の期間が、センセーショナルな見出しが消えた後も、いかに頻繁に損害を与え続けるかを示している。
中央値のハッキング規模は縮小したかもしれないが、最悪のケースはより危険になっている
Immunefiは、2024年と2025年にかけて191件のハッキングを計上し、総額は46億7000万ドル、5年間の累計では425件、119億ドルの損失となった。
年間の件数はほとんど変化がなく、2024年が94件、2025年が97件と、2023年とほぼ同水準だった。これは、市場がより安全になるという点で十分な成果を上げられていないことを示している。ハッキングは今や暗号資産業界の日常の一部であり、巨大な事件がその年の特徴を形作るようになっている。
レポートが指摘する主な矛盾点は、平均値にある。
2024-2025年の窃盗額の中央値は220万ドルで、2021-2023年の450万ドルから減少した。表面上は、進歩のように見えるかもしれない。しかし、平均窃盗額は依然として約2450万ドルであり、中央値の11倍以上にのぼる。前期間では、この差は6.8倍だった。上位5件のハッキングが窃盗総額の62%を占め、上位10件では73%を占めた。
これは非常に危険な種類の分布だ。市場は、巨大な事件が発生するまでは安全で安定しているように見え、感じられる。つまり、典型的な攻撃は以前より小規模かもしれないが、危険は分布の裾(テール)に潜んでいる。そこでは、ほんの一握りの大規模な失敗が被害の大部分を吸収し、市場を一日で崩壊させる。
Bybitを見ればわかる。同取引所の15億ドルにのぼる攻撃被害は、2025年を象徴するハッキングとなり、Immunefiの集計では、その年の窃盗総額の44%を占めた。
この種の事件を単なるスペクタクルとして扱うのは簡単だ。しかし、それははるかに深刻な集中問題を露呈している。主要な場所でのたった一つの失敗が、業界全体の年間損失構造を歪め、わずか数か所の重要な隘路にどれだけのリスクが依然として集中しているかを明らかにする。
長引く下落こそが、プロジェクトが崩壊し始める時
レポートの窃盗に関するデータは確かに興味深いが、最も目を見張る部分は価格被害のセクションだ。
Immunefiが調査した82のハッキング被害トークンのサンプルでは、最初の衝撃はほぼ同じだった。2日間の下落の中央値は約10%で、前期間とほぼ同水準だった。しかし、最大の影響はその後で感じられた。6ヶ月間の下落の中央値は61%に悪化し、2021-2023年の調査時の53%から上昇した。
6ヶ月の時点で、ハッキング被害トークンの56.5%は半値以上下落し、14.5%は90%以上下落していた。ハッキング発生日の価格を6ヶ月後に上回って取引されていたのは、約16%のみだった。
ハッキングの完全な影響を理解するには、トークン価格を孤立した市場の特徴として扱うのをやめる必要がある。ほとんどの暗号資産企業にとって、トークンは財務資金、資金調達基盤、そして往々にして公開された成績表として機能する。長引く下落は、企業の資金繰り期間、採用能力、取引交渉力、社内の士気に直接的に打撃を与える。
レポートは、ハッキング被害を受けたプロジェクトは、数週間以内にセキュリティ責任者を失い、少なくとも3ヶ月は復旧モードに費やすことが多いと指摘している。これらのタイムラインはプロジェクトによって異なるとしても、その結果は明らかだ。トークンとブランドが傷ついた企業には、時間を稼ぐ手段が少ない。
多くの市場は、窃盗や四半期の不振、あるいは評判の低下を吸収することができる。しかし、暗号資産業界では、これら3つがしばしば同じ出来事に圧縮される。攻撃は資金を枯渇させ、トークンは事業を公開市場で再評価させ、内部の整理が終わる前に取引相手が反応する。これは、特に最初から過剰な資本を持っていなかったチームにとって、回復するのが難しい環境だ。
依存性リスクは事態をさらに悪化させる。Immunefiは、より相互接続されたDeFiスタックが、ブリッジ、ステーブルコイン、流動性ステーキング、再ステーキング、レンディング市場にわたる、より長い脆弱性の連鎖を生み出したと主張している。
この点は慎重に扱うべきであり、特にレポートが外部検証を要する事例研究を用いている場合はそうだ。それでも、より広範な方向性を否定するのは難しい。暗号資産システムは数年前よりも階層化が進んでおり、それはハッキングが発生したプロトコルからはるか遠くまで波及し得ることを意味する。
集中型の取引所は、依然として爆心地の中心近くに位置している。
レポートによると、2024-2025年の191件のハッキングのうち、集中型取引所が関与したのはわずか20件だったが、それらの事件による被害額は25億5000万ドル、窃盗総額の54.6%を占めた。
これは、問題がスマートコントラクトのバグだけにとどまらず、資産保管、鍵管理、インフラの集中といった点に戻ってくることを示している。脆弱性の治療法として分散化を売り物にすることが多い市場において、最大級の損失のいくつかは、依然として信頼が集中している場所から生じている。
しかし、ハッキング被害を受けたプロジェクトがすべて運命づけられているわけではない。業界は今、生存がチームがハッキングに耐えられるかどうかではなく、その後の6ヶ月間に耐えられるかどうかにかかっている段階に入った。
窃盗が危機を引き起こすが、より緩やかな損害が、市場が先へ進んだ後もプロジェクトに未来があるかどうかを決定するのだ。
この記事 Why crypto hacks don’t end and continue even when the money is gone は、 CryptoSlate で最初に公開されました。
