作者:Beosin
1、2025年上半期 Web3 ブロックチェーンセキュリティ概況
Beosin Alert のモニタリングデータによると、2026年上半期に世界のブロックチェーン分野で発生したセキュリティインシデントは計187件、累計損失額は約13.90億ドルにのぼり、インシデント発生件数は前年同期比107.7%増加した一方、損失額は35%減少しました。今年上半期の損失額は減少したものの、オンチェーン攻撃が多発しており、ブロックチェーン分野は依然として厳しいセキュリティ上の課題に直面しています。
2、チェーン別の損失額状況
Ethereumは依然として攻撃の最大の被害地域であり、79件の攻撃インシデントにより約4.92億ドルの損失が発生し、損失額・インシデント件数ともに最も多いパブリックチェーンとなりました。
Solanaは、Drift Protocolのセキュリティインシデントによる巨額の損失およびその他のDeFi攻撃により、損失額が約3.28億ドルに達し、2番目に損失額の大きいパブリックチェーンとなりました。
Bitcoinネットワークでは、ある大口保有者がソーシャルエンジニアリング攻撃を受け、約2.82億ドルを喪失し、3位となりました。
3、攻撃を受けたプロジェクトのタイプ
DeFiが最も攻撃を受けやすく、損失額も最大となっています。2026年上半期のDeFi関連のセキュリティインシデントは計64件で、全体の34.22%を占め、損失額は4.68億ドルに達しました。
注目すべきは、一般ユーザーやトークン/不明なコントラクトを狙った攻撃が今年上半期に多発し、損失額がそれぞれ3.37億ドルと3.03億ドルに達し、前年同期と比べて損失額が約274%急増したことです。
4、攻撃原因の分析
ソーシャルエンジニアリング攻撃が最大の脅威となり、プロジェクト側および個人の大口保有者を標的とした攻撃により約6.30億ドルの損失が発生しました。コントラクトの脆弱性に起因するセキュリティ事故は94件で、総損失額は約7.13億ドルとなり、損失額は前年同期とほぼ横ばいでしたが、発生件数は49.21%増加しました。今年上半期の秘密鍵漏洩による損失も前年同期とほぼ同水準で、総損失額は9941万ドル、発生件数も増加しています。
5、損失規模の分析
上半期には損失額が1億ドルを超えるセキュリティインシデントが4件発生しました(KelpDAO 約2.9億ドル、Drift Protocol 約2.85億ドル、個人の大口保有者 約2.82億ドル、DSJ Exchange ラグプル 約1.5億ドル)。上位10件のセキュリティインシデントだけで総損失額は約11.66億ドルに達し、全体の損失額の83.89%を占めています。
また、Beosinのセキュリティチームは、複数のトークンまたは古いコントラクトが攻撃されていることを確認しており、そのうちBNB Chainが最も多く33件発生し、損失規模は1万ドルから数十万ドルに及びます。攻撃者がAI技術を用いてこの種の古いコントラクトを大量にスキャン・調査している可能性があり、今後、この種のセキュリティインシデントはさらに頻発するものと見られます。
6、セキュリティ概況の総括
2025年上半期と比較すると、今年上半期の攻撃インシデントによる損失は約35%減少しましたが、昨年のBybitからの14.4億ドル盗難という単一の極端な巨額損失を除外した場合、今年上半期の損失は非常に深刻です。その損失はオンチェーンのエコシステムプロジェクトや一般ユーザーに集中しており、これらのセキュリティ対策は取引所に比べて脆弱です。今年上半期、取引所の損失額は大幅に減少しましたが、主要なパブリックチェーンエコシステムでの攻撃件数と損失額は総じて増加しています。
上半期に最も大きな被害をもたらした攻撃はKelpDAOの盗難事件であり、その損失はDeFiエコシステムに甚大な悪影響を及ぼしました。攻撃発生後、攻撃者はレンディングプロトコルを通じてWETHを借り入れたため、これらのプロトコルを利用するユーザーが不良債権を抱える事態となり、Aaveの不良債権は2億ドルを超えました。ユーザーは不良債権の負担を避けるため、パニックになってAaveから緊急に資金を引き揚げ、これが他の種類の暗号資産の流動性と価格にも大きな圧力をかけました。
プロジェクトタイプ別に見ると、攻撃は取引所、DeFi、個人ウォレット、インフラストラクチャ、トークンコントラクト、オラクルなど、Web3のあらゆる領域に及んでいます。Web3プロジェクトおよび個人ユーザーは、秘密鍵をオフラインで保管し、マルチシグを利用し、第三者サービスを慎重に扱い、権限を持つ従業員に対し定期的なセキュリティトレーニングを実施するなど、警戒を高める必要があります。
注* 上記の統計は、オンチェーンで公開追跡可能な被害資産のみを対象としており、小規模なフィッシング被害や未公表の企業内部盗難などのデータは含まれていません。実際の損失規模は報告数値を上回ります。



