ハッキング

Aaveは複数の機関と共同で「DeFi United」救助プログラムを開始し、KelpDAOの脆弱性攻撃によって発生した約2.92億ドルの損失に対処し、不良債権の拡大を防ぎます。攻撃はLayerZeroとの統合の脆弱性に起因し、ハッカーは無担保のrsETHを偽造し、Aaveで約1.9億ドルの資産を担保として借り入れたため、担保が歪み、取り付け騒ぎを引き起こし、プラットフォームのTVLは一時的に約100億ドル消失しました。現在、Lido Finance、EtherFiおよび創設者のStani Kulechovが資金注入案を提案しています。Arbitrumは一部の資金を凍結しましたが、残りの資産はTHORChainを通じて移転されており、回収は困難です。現在の重点は共同資金注入による「穴埋め」であり、DeFi貸出システムの安定を図っています。

彭博社の報道によると、ジェフリーズのレポートが示すように、先週末に発生した小規模な暗号プロジェクトに対する約3億ドルのハッキング攻撃と、それに続く最大の分散型貸付プラットフォームである100億ドルの資金流出事件（KelpDAOとAaveの騒動）は、ウォール街のブロックチェーン技術への関心を弱める可能性があるとのことです。ジェフリーズのデジタル資産研究チームのアナリスト、アンドリュー・モス氏は、過去1年間、銀行、資産運用会社、決済機関が今回北朝鮮のハッカーによって利用された技術システムに類似したブロックチェーン製品を開発してきたと指摘しています。レポートは、このような事件が伝統的な金融市場に直接的な影響を与える可能性は低いと考えていますが、伝統的な金融機関が関連プロセスを一時停止し、ブロックチェーンビジネスをさらに進める前にリスクを再評価する可能性があると警告しています。

ブルームバーグは、Jefferies LLCの報告を引用して、先週末に小型暗号プロジェクトから約3億ドルを引き出したハッキング攻撃と、それに続く最大の分散型貸付プラットフォームでの100億ドルの資金引き出し事件が、ウォール街のブロックチェーン技術への関心を鈍らせる可能性があると報じています。Jefferiesのデジタル資産研究チームのアナリスト、アンドリュー・モスは、銀行、資産運用会社、決済機関が過去1年間にわたり、今回北朝鮮のハッカーによって利用された技術システムに類似したブロックチェーン製品を開発してきたことを指摘しています。報告書は、この事件が伝統的な金融市場に波及する可能性は低いと考えていますが、伝統的な金融機関が足を止め、ブロックチェーンビジネスをさらに進める前に関連リスクを再評価する可能性があると警告しています。

Voloの公式発表によると、Suiネットワーク上のBTCFiとLSTプロトコルVoloにおいてセキュリティの脆弱性が発生し、約350万ドルの資産（WBTC、XAUm、USDCを含む）が3つの特定のVaultから盗まれました。事件発生後、チームは直ちにSui財団およびエコシステムパートナーに通知し、損失の拡大を防ぐためにすべてのVaultを凍結しました。Voloは、今回の脆弱性は3つのVaultにのみ関係しており、他のVaultには同様の攻撃ベクトルが存在しないことを述べ、他の約2800万ドルのTVL資産は安全であるとしています。公式は、今回の損失を自ら負担し、ユーザーに損失を転嫁しないことを強調し、調査が完了次第、完全な事後報告書と救済策を発表する予定です。

Cointelegraph の報道によると、DefiLlama のデータは、過去 10 年間に暗号分野で 518 件のハッキング事件が発生し、累積損失は 170 億ドルを超え、その多くの損失は秘密鍵の漏洩、フィッシング、その他の認証関連攻撃に関連していることを示しています。スマートコントラクトのセキュリティが継続的に向上する中、攻撃者はより多くの財布のセキュリティ、署名インフラ、開発ツール、ユーザー操作などの分野に移行しています。最近、Kelp DAO の rsETH クロスチェーンブリッジが攻撃を受け、約 116,500 枚の rsETH が盗まれ、当時の価格で約 2.9 億ドルから 2.93 億ドルの価値に相当します。

DefiLlamaの創設者0xngmiは、KelpDAOがrsETHハッキング事件後に取る可能性のある3つの行動パスをシミュレーションしました。3つのパスには明らかな欠陥があり、最終的な決定はKelpDAOの信用とAaveのリスク耐性を試すことになります。パス1：すべてのユーザーが損失を共同で負担します。KelpDAOはすべてのrsETH保有者に対して一律に18.5%の損失を減額します。現在、Aave全体で約66.6万枚のrsETHが担保されており、主ネットとL2で高いレバレッジがかかっています（すべてが95%清算LTVにあると仮定）。社会的損失が発生した場合、主ネットのすべてのポジションの権益は完全に消失し、約2.16億ドルの不良債権が発生します。Umbrellaプロトコルは5500万ドルの不良債権をカバーできますが、Aaveの国庫はさらに8500万ドルを負担し、約7600万ドルのギャップが残ります。KelpDAOは借入やAaveトークンの販売（現在の時価総額は約5100万ドル）を通じて補填する可能性がありますが、これでもAaveにかなりの圧力をかけることになり、すべてのユーザーが共同で損失を負担する必要があります。パス2：L2のrsETH保有者を直接Rugします。KelpDAOは主ネットのrsETHのみを保証し、L2のrsETHは無価値と見なします。Aave L2には現在約3.59億ドルのrsETH担保があります（現在のオラクル価格で計算）。すべてを最大レバレッジで計算すると、約3.41億ドルの不良債権が発生し、Umbrellaプロトコルのカバーを全く受けられません。Aaveは国庫や借入を使用して市場の一部を救うことしかできず、最も損失が大きいArbitrum、Mantle、Baseなどのチェーンを放棄する可能性が高く、これによりこれらのL2市場が崩壊します。この方案はAave主ネットへの影響は小さいですが、L2エコシステムの信用を深刻に損ない、連鎖反応を引き起こす可能性があります。パス3：ハッキング攻撃前のスナップショットを使って当時の保有者にのみ返還を試みますが、実行が非常に難しいです。KelpDAOはハッキング攻撃が発生する前のrsETH保有者に対してスナップショットに基づいて全額返還を試み、後に購入または移転した保有者は自己責任で損失を負担します。しかし、資金は攻撃後に大量に流動しており、DeFiプロトコルの本質は流動性プールであるため、異なるバッチの預金者を真に区別することはできず、技術的な実行難易度は非常に高いです。ハッカーはAave主ネットで1.24億ドル、Arbitrumで1800万ドルを借り入れ、Umbrellaプロトコルのカバーを差し引いた後でも約9100万ドルの損失が残ります。この方案は理論的には拡散影響を最小化できますが、実際の操作はほぼ不可能であり、法的およびコミュニティの争議を引き起こす可能性があります。

Defillamaの創設者0xngmiはXプラットフォームで、KelpDAOのハッキング事件がDeFi貸付プロトコルの連鎖的なパニック引き出しを引き起こしたと述べています。Solana上のプロトコルや直接的な影響を受けていないプロトコルも例外ではなく、具体的なデータは以下の通りです：Aaveの純流出は620億ドル（-23%）、Morphoの純流出は7.16億ドル（-9%）、Skyの純流出は2.72億ドル（-4%）、JupLendの純流出は7600万ドル（-8%）です。0xngmiは、全体のDeFi TVLがこのために直接的に約100億ドル蒸発したと補足しています。このような事件では誰も勝者ではなく、業界全体の「ケーキ」が縮小するだけで、全員が損害を受けます。

RHEA Finance の公式発表によると、NEAR エコシステムの貸出プロトコル RHEA Finance（以前は Burrow Finance）は、マージントレーディング機能がハッキングされ、約 1840 万ドルの損失を被った。攻撃者は数日前から準備を始め、Ref Finance 上に複数の偽トークンプールを作成し流動性を注入することで、悪意のある交換ルートを構築し、プロトコルのスリッページ保護メカニズムの脆弱性を利用した------このメカニズムは、複数ステップの交換の最小出力を計算する際に、中間トークンが再利用される状況を考慮していなかった------その結果、借りた債務トークンが攻撃者が制御する偽トークンプールに導入され、大規模な強制清算が引き起こされ、最終的にプロトコルの準備金プールが枯渇した。攻撃の間、攻撃者は 55 の中間アカウントを削除して痕跡を隠蔽した。現在、攻撃者は RHEA の貸出契約に約 335.9 万 USDC と 156.4 万 NEAR を返還しており、さらに 434 万 USDT が凍結されている（そのうち Tether が 329.1 万、NEAR Intents が 105.3 万）。プロトコル契約は運用を停止しており、チームは中央集権取引所と共同で追跡を行っており、関連する法執行機関にも通知を行った。

Cointelegraph の報道によると、4 月 1 日に Drift Protocol が 2.8 億ドルの攻撃を受けて以来、わずか 2 週間で少なくとも 12 の DeFi プロトコルと暗号通貨企業が攻撃を受けました。4 月初旬以降、暗号プロトコルや企業に対する攻撃には CoW Swap、Hyperbridge、Bybit、Dango、Silo Finance、BSC TMM、Aethir、MONA、Zerion、そして最近の Rhea Finance と Grinex 取引所が含まれます。その中で、DeFi プロトコル Rhea Finance は、攻撃者が「Rhea のマージントレーディング機能の脆弱性を利用して共同資金プール操作攻撃を実行した」と報告しており、Rhea Lend スマートコントラクトに影響を与えました。ブロックチェーンセキュリティ会社 CertiK によると、盗まれた資金は約 760 万ドルです。

最近発生した「ListaDAOLiquidStakingVault」契約の攻撃事件に関して、ListaDAO公式は声明を発表し、攻撃を受けた契約は公式に展開されたものではなく、未検証の第三者によって類似の名前で作成された偽契約であることを明らかにしました。ListaDAOの公式契約はこの事件の影響を受けていません。GoPlusセキュリティチームの詳細な分析によると、今回の攻撃は2026年4月16日に発生し、その根本的な原因は第三者契約にビジネスロジックの欠陥が存在することです。トークンの転送が行われると、Dividend.setShares()関数がトリガーされ、契約内のシェアの記録が変更され、それがclaimReward()関数内の報酬計算に影響を与えました。攻撃者はこの脆弱性を利用して契約内の資産を枯渇させました。GoPlusは、上記の2つの契約コードに同じロジックの脆弱性が存在するため、これらのコードをフォークまたは再利用する開発プロジェクトは高い利用リスクにさらされていることを警告しています。関連する開発者には、コードの点検と修正を迅速に行い、スマート契約の安全性を確保するために継続的な監査メカニズムを導入することをお勧めします。

The Block の報道によると、Circle の CEO ジェレミー・アレールは、Circle が法的手続きに関係のない USDC ウォレットを凍結しないと述べました。月曜日に韓国ソウルで行われた記者会見で、アレールは、ハッキング攻撃や脆弱性事件において会社が USDC 資金を凍結すべきかどうかについての継続的なネット上の批判に応じました。この論争は今月初めにさらに顕著になりました：分散型金融プロトコル Drift が約 2.8 億ドルの攻撃を受け、この事件は 6 ヶ月間続いた複雑なソーシャルエンジニアリング手法による攻撃に関連していると考えられ、北朝鮮関連のハッカーグループが関与している可能性があります。オンチェーン調査員の ZachXBT を含む著名なオンチェーンアナリストは、Circle を公然と批判し、約 2.3 億ドルの USDC 資金を凍結しなかったことを非難しました。これらの資金は、Solana から Circle のクロスチェーン転送プロトコルを通じてイーサリアムに移転されたとされています。

暗号ATM運営者Bitcoin Depotは、サイバーセキュリティ事件で約50.9枚のビットコインを失ったことを明らかにしました。現在の価格で約370万ドルに相当します。アメリカ証券取引委員会（SEC）に提出された書類によると、この攻撃は3月23日に発生し、ハッカーは企業向けビットコインウォレットに関連する認証情報を取得し、一部の内部システムに侵入しました。Bitcoin Depotは、顧客のアカウント、プラットフォーム、個人データには影響がなかったと述べています。

市場の情報によると、ビットコインATM運営会社Bitcoin Depotは、米国SECに書類を提出し、同社がサイバーセキュリティ攻撃に遭ったことを開示しました。ハッカーはITシステムに侵入し、デジタル資産決済口座の証明書を取得し、同社のウォレットから約50.9枚のBTCを盗み、約366.5万ドルの価値があります。事件発生後、同社は緊急対応プログラムを開始し、外部のサイバーセキュリティ専門家を雇って調査に介入させ、法執行機関に通知しました。同社は、顧客プラットフォームおよびユーザーデータには影響がないと述べています。この事件は同社によって重大な事項として分類され、評判の損失や法的、規制上の追加コストを引き起こす可能性があります。

派盾の監視によると、2.85億ドルの暗号通貨を盗んだDrift ProtocolのハッカーがSolanaネットワーク上でChangeNowに185枚のSOLを転送し、価値は1.5万ドルです。

DefiLlamaのデータによると、2026年第1四半期に、ハッカーは34の分散型金融（DeFi）プロトコルから合計1.686億ドルの暗号資産を盗み、2025年同期の15.8億ドルから大幅に減少しました。当時の高額な損失は主にBybitの14億ドルの盗難事件に起因しています。今四半期の最大の単一攻撃は1月に発生したStep Financeの秘密鍵漏洩事件で、約4000万ドルの損失がありました。次に、1月8日にTruebitがスマートコントラクトの脆弱性攻撃を受け、2640万ドルのイーサリアムが失われました。3番目は3月21日に安定コイン発行者Resolv Labsの秘密鍵が盗まれた事件です。