暗号業界のセキュリティ脆弱性分析：20件の典型的な攻撃事例が明らかにする3つの法則

博鏈BroadChainが入手した情報によると、4月21日18時16分、2026年4月、Kelp DAOは攻撃者が無担保トークンを利用してAaveで実資産を借り出したため、46分間で2億ドル以上の不良債権が発生し、損失額は2億9200万ドルに達した。これは最近の一連のセキュリティ事件の一例に過ぎず、Drift Protocolが2億8500万ドルを盗まれた事件、Step Financeが約3000万ドルの損失を出した事件、Resolv Labsが約2300万ドルの損失を出した事件などが相次いで発生している。過去および最近の代表的な盗難事件20件を分析すると、3つの顕著なパターンが観察される：技術的脆弱性による事例は数が多いが、1件あたりの損失は比較的限定的である；権限とソーシャルエンジニアリング攻撃の事例は少ないものの、損失総額の大部分を占めている；権限関連攻撃の規模は継続的に拡大している。注目すべきは、損失額が最も大きかった4件の事件の背後にはすべて北朝鮮のハッカーグループの影があり、技術的脆弱性の戦場は移行しつつあり、クロスチェーンブリッジ分野のセキュリティ問題が特に顕著であることだ。損失額ランキングトップ10のプロジェクトでは、Bybitが2025年2月に15億ドルを盗まれ、その原因は北朝鮮のハッカーグループLazarus GroupがフロントエンドUIハイジャックとマルチシグ詐欺によりSafe Walletのマルチシグメカニズムを突破したことにある；Ronin Networkは2022年3月に6億2400万ドルの損失を出し、これもLazarus Groupがソーシャルエンジニアリングにより検証ノードの秘密鍵を掌握したことに起因する；Poly Networkは2021年8月に6億1100万ドルを盗まれ、その核心はクロスチェーン契約の権限管理に重大な脆弱性があったことにある；Wormholeは2022年2月に3億2600万ドルの損失を出し、その署名検証プロセスで古くて安全でない関数が使用されていたことが原因である；Drift Protocolは2026年4月に2億8500万ドルを盗まれ、攻撃者は6ヶ月にわたるターゲット型浸透とSolana Durable Nonce事前署名詐欺を組み合わせて実行した；WazirXは2024年7月に2億3500万ドルの損失を出し、マルチシグウォレットが段階的に突破され、悪意のある契約に置き換えられたことが原因である；Cetusは2025年5月に2億2300万ドルの損失を出し、攻撃はプロトコルの流動性計算における算術オーバーフローの脆弱性を利用したものである；Gala Gamesは2024年5月に2億1600万ドルの損失を出し、その核心は高権限鋳造アカウントの秘密鍵が突破されたことにある；Mixin Networkは2023年9月に2億ドルの損失を出し、クラウドデータベースに集中保存されていた秘密鍵が盗まれたことが原因である；Euler Financeは2023年3月に1億9700万ドルの損失を出し、攻撃はプロトコル内部の資産と負債の計算ロジックの不一致を利用したものである。最近発生した10件の事件では、Hyperbridgeが2026年4月に約250万ドルの損失を出し、その原因はToken Gatewayの証明検証ロジックの欠陥にある；Venus Protocolは2026年3月に約370万から500万ドルの損失を出し、攻撃者はsupply capの検証を回避し、交換レート計算ロジックの脆弱性を利用して利益を得た。