20件のセキュリティ事件から見る暗号業界の攻撃パターンの進化

博链BroadChainが入手した情報によると、4月21日19時、2026年4月、Kelp DAOは攻撃者が無担保トークンを利用してAaveで借り入れを行い、2億9200万ドルの損失を出したが、これは最近の一連のセキュリティ事件の一例に過ぎない。Drift Protocolの2億8500万ドルからStep Financeの約3000万ドル、Resolv Labsの約2300万ドルまで、業界は継続的なセキュリティ課題に直面している。過去の代表的な20件の事例を分析すると、いくつかの重要な傾向が観察できる：技術的脆弱性が大多数を占めるものの、単一の損失は比較的限定的であり、一方で権限とソーシャルエンジニアリング攻撃は事例数が少ないにもかかわらず、損失総額の大部分を占めている。権限関連の攻撃規模は拡大を続けており、損失が最も大きかった4件の事件はいずれも北朝鮮のハッカーグループに関連している。同時に、技術的脆弱性の戦場は移行しており、クロスチェーンブリッジのセキュリティ問題が特に顕著である。損失額トップ10のプロジェクトでは、Bybitは2025年2月に北朝鮮のハッカーグループLazarus Groupによるフロントエンドハイジャックとマルチシグ詐欺により15億ドルの損失を出した；Ronin Networkは2022年3月にソーシャルエンジニアリング攻撃により6億2400万ドルの損失を出した；Poly Networkは2021年8月にクロスチェーン契約の権限脆弱性により6億1100万ドルの損失を出した；Wormholeは2022年2月に署名検証の脆弱性により3億2600万ドルの損失を出した；Drift Protocolは2026年4月に標的型浸透と事前署名詐欺により2億8500万ドルの損失を出した；WazirXは2024年7月にマルチシグウォレットが段階的に侵害され2億3500万ドルの損失を出した；Cetusは2025年5月に算術オーバーフローの脆弱性により2億2300万ドルの損失を出した；Gala Gamesは2024年5月に高権限アカウントの秘密鍵漏洩により2億1600万ドルの損失を出した；Mixin Networkは2023年9月にクラウドデータベースの秘密鍵漏洩により2億ドルの損失を出した；Euler Financeは2023年3月に内部計算ロジックの不整合がフラッシュローンに悪用され1億9700万ドルの損失を出した。最近の事例では、Hyperbridgeが2026年4月に証明検証ロジックの欠陥により約250万ドルの損失を出し、Venus Protocolが2026年3月に約370万から500万ドルの損失を出した。これらの事件は、攻撃パターンが単純なスマートコントラクトの脆弱性から、より複雑な人と機械のインタラクションの弱点と権限管理を対象とした組み合わせ攻撃へと移行していることを示している。