iOS & Android

2026年上半期Web3セキュリティレポート:攻撃頻度が107%急増、13.9億ドルが消失

著者: Beosin

1. 2025年上半期Web3ブロックチェーンセキュリティ概観

Beosin Alertのモニタリングデータによると、2026年上半期に世界のブロックチェーン領域で合計187件のセキュリティインシデントが発生し、累積損失額は約13億9000万ドルに達しました。セキュリティインシデントの発生頻度は前年同期比で107.7%増加した一方、総損失額は35%減少しました。今年上半期は損失額は減少したものの、オンチェーンでの攻撃は依然として頻発しており、ブロックチェーン分野は引き続き深刻なセキュリティ課題に直面しています。

2. チェーン別の損失

イーサリアムは依然として最も被害が大きい領域であり、79件の攻撃で約4億9200万ドルの損失が発生し、損失額と攻撃件数で最も多いパブリックチェーンとなっています。

ソラナは、Drift Protocolのセキュリティインシデントやその他のDeFi攻撃による巨額の損失により、総損失額約3億2800万ドルで2番目に損失の大きいチェーンとなりました。

ビットコインネットワークは3位で、あるクジラがソーシャルエンジニアリング攻撃により約2億8200万ドルを失いました。

3. 標的となったプロジェクトの種類

DeFiは最も頻繁に攻撃されたタイプであり、最も高い損失を被りました。2026年上半期には64件のDeFiセキュリティインシデントが発生し、全体の34.22%を占め、損失額は4億6800万ドルに達しました。

特筆すべき点として、今年上半期は一般ユーザー、トークン、および不明なコントラクトを標的とした攻撃が頻発し、それぞれの損失額は3億3700万ドルと3億300万ドルに達し、前年同期比で約274%急増しました。

4. 攻撃原因の分析

ソーシャルエンジニアリング攻撃が最大の脅威となり、プロジェクトチームや個人のクジラを標的とした攻撃による総損失額は約6億3000万ドルに達しました。コントラクトの脆弱性が原因のセキュリティインシデントは94件で、総損失額は約7億1300万ドルでした。損失額は前年同期比で横ばいでしたが、発生頻度は49.21%増加しました。今年上半期、秘密鍵漏洩による損失は前年同期比でほぼ横ばいで、総額は9941万ドル、頻度も増加しました。

5. 損失規模の分析

上半期には、損失が1億ドルを超えるセキュリティインシデントが4件発生しました(KelpDAOの約2億9000万ドル、Drift Protocolの約2億8500万ドル、個人クジラの約2億8200万ドル、DSJ Exchangeのラグプル約1億5000万ドル)。上位10件のセキュリティインシデントの損失総額は約11億6600万ドルで、全体の83.89%を占めました。

さらに、Beosinセキュリティチームは、トークンや古いコントラクトに対する複数の攻撃を発見しており、BNBチェーンで最も多い33件のインシデントが発生しました。損失規模は1万ドルから数十万ドルの範囲です。攻撃者がAI技術を使用してこのような古いコントラクトを一括でスキャン・スクリーニングしている可能性があり、今後、この規模のインシデントがより頻繁に発生すると予想されます。

6. セキュリティ概況のまとめ

2025年上半期と比較して、今期の攻撃インシデントによる損失は約35%減少しました。しかし、昨年のBybitハッキングによる144億ドルの極端な単一損失を除けば、今年上半期の損失は深刻で、オンチェーンエコシステムのプロジェクトや一般ユーザーに集中しており、そのセキュリティ保護は取引所よりも脆弱です。取引所の損失額は今年上半期に急減しましたが、主要なパブリックチェーンエコシステムへの攻撃数と損失額は全体として増加しました。

上半期で最も被害が大きかった攻撃はKelpDAOのハッキングであり、DeFiエコシステムに甚大な悪影響を及ぼしました。攻撃後、攻撃者はレンディングプロトコルを通じてWETHを借り入れ、それらのプロトコルのユーザーに不良債権を残しました。これにはAaveに対する2億ドル以上の不良債権が含まれています。不良債権を負担することを避けるため、ユーザーはAaveから資金をパニック的に引き出し始め、他の暗号資産の流動性と価格に大きな圧力をかけました。

プロジェクトの種類別に見ると、攻撃インシデントは取引所、DeFi、個人ウォレット、インフラストラクチャ、トークンコントラクト、オラクルなど、Web3のあらゆる領域に及びます。すべてのWeb3プロジェクトチームと個人ユーザーは、秘密鍵をオフラインで保管し、マルチシグネチャを使用し、サードパーティサービスに注意し、特権を持つ従業員に定期的なセキュリティトレーニングを提供することで、警戒を怠らない必要があります。

注記*: 上記の統計範囲には、公に追跡可能なオンチェーン盗難資産のみが含まれます。小規模なフィッシングによる損失、非公開の企業内部窃盗、その他のデータは含まれていません。実際の損失額は報告された値よりも高くなります。