序文
デジタル経済の波の中で、分散化と透明性を特徴とするWeb3ブロックチェーン技術は、新たな信頼と価値の循環システムを構築してきました。しかし、Web3エコシステムの活発な発展に伴い、セキュリティ上の脅威は常に存在し、この新興分野に影響を与えています。本日は、2025年上半期のWeb3ブロックチェーンのセキュリティ状況を深く分析し、潜在的なリスクを把握し、対策を検討してみましょう。
1. 2025年上半期のWeb3セキュリティ概要
2025年上半期、Web3ブロックチェーン分野では重大なセキュリティインシデントが87件発生し、ハッカー攻撃、フィッシング詐欺、プロジェクト側によるRug Pullによる経済損失は22.9億ドルに達し、2024年通年の合計額を上回りました。そのうち、 Rug Pullの損失総額は約320万ドル、フィッシング詐欺の損失総額は約4138万ドルでした。上半期では、2月と5月が損失のピーク月でした。2月には、Bybit Exchangeの盗難による月間損失が14.5億ドルを超え、5月のCetus Protocol攻撃は2.23億ドルの損失をもたらしました。この2つの極端な事象を除けば、残りの攻撃の平均損失は1件あたり約350万ドルであり、業界の基本的なセキュリティリスクが依然として高いレベルで推移していることを示しています。
II. 2025年上半期のセキュリティインシデントのレビュー
2025年上半期のWeb3セキュリティインシデントは、専門的な攻撃手法と損失規模の集中という特徴を示しました。BybitとCetus Protocolのインシデントは、総損失の72%を占め、中央集権型取引所とDeFiプロトコルの脆弱性を浮き彫りにしました。注目すべきは、スマートコントラクトの脆弱性(権限制御や数学関数の欠陥など)が依然として主要な攻撃エントリーポイントとなっている一方で、クロスチェーン操作やオラクルメカニズムが新たなリスクポイントとなっていることです。
セキュリティインシデントレビュー
1. バイビットのコールドウォレット攻撃事件
•損失額:14億5000万ドル(約10万2000ETH)
•攻撃方法:フィッシング攻撃 + スマートコントラクトの権限制御の脆弱性
•事件の詳細:2月21日、Bybitのコールドウォレットが通常の資金移動を行っていた際、改ざんされたフロントエンドコードによって14億5000万ドル相当のETHがハッカーが管理するアドレスに送金されました。この攻撃は、サードパーティのウォレットツールに依存する中央集権型取引所の信頼リスクと、静的リソースホスティングのセキュリティリスクを露呈しました。事件後、Bybitはすべてのオンチェーンオペレーションを停止し、資産凍結手続きを開始し、法執行機関と協力して資金の流れを追跡しました。この事件はユーザーの信頼を著しく損なうだけでなく、マルチシグネチャメカニズムのセキュリティに対する市場の広範な疑念を引き起こしました。
2. Cetusプロトコルのスマートコントラクト攻撃
•損失額:2億2,300万米ドル(凍結資産1億6,200万米ドルを含む)
•攻撃方法: 数学関数オーバーフロー脆弱性 + フラッシュローン操作
•事件の詳細:5月22日、SUIチェーン最大のDEXであるCetusプロトコルが攻撃を受け、ハッカーは数時間でコア流動性プールを枯渇させました。この攻撃により、SUIの価格は7%急落し、関連するMEMEトークン(Bullaなど)の時価総額は90%以上減少しました。Cetusは1億6,200万ドル相当の資産を緊急凍結し、盗まれた資金の一部を償還するために600万ドルの報奨金を提供しましたが、それでもクロスチェーンブリッジを通じて6,000万ドル相当の資金がロンダリングされました。この攻撃は、新興のパブリックチェーンDeFiプロジェクトが複雑な金融モデルの設計において経験不足であることを露呈しました。
3. ノビテックス交換攻撃
•損失:約9000万ドル
•攻撃方法:サイバースパイ活動+秘密鍵の盗難
•事件の詳細:6月18日、イスラエルと関係のある組織がイラン最大の暗号資産取引所Nobitexに攻撃を仕掛け、秘密鍵を盗んでユーザーの資産を移転させました。この攻撃には情報収集が関与している可能性があり、イスラエルはその後、イランのスパイ活動の疑いで3人を逮捕し、うち2人は報酬として暗号資産を受け取りました。Chainalysisは、Nobitexはイランの制裁対象となっている暗号資産エコシステムの重要な拠点であり、この事件は地政学的な要因がWeb3セキュリティに与える影響を浮き彫りにしていると指摘しました。
4. UPCXスマートコントラクト攻撃
•損失:約7,000万ドル
•攻撃方法: 不正な契約のアップグレード
•事件の詳細:4月1日、DeFiプロトコルUPCXがProxyAdminコントラクトを悪用し、不正にアップグレードされました。攻撃者はwithdrawByAdmin関数を呼び出し、3つの管理アカウントから1,840万UPC(7,000万ドル相当)を送金しました。資金は0xFf7で始まるアドレスに送金された後、それ以上の操作は行われませんでした。UPCXチームはこのインシデントを確認し、セキュリティ機関と共同で調査を行いましたが、6月現在、資金は回収されていません。
5. Infini Permission 脆弱性インシデント
•損失: 約4,950万ドル
•攻撃方法: 権限管理の脆弱性
•事件の詳細:2月24日、元チームメンバーは保有していた管理権限を利用して契約パラメータを直接変更し、資金プール内のUSDC(1,145万USDC + 3,806万USDC)を2回に分けて盗み出し、17,696ETHに変換してミキサーを通じて送金しました。Infiniチームは48時間以内にユーザーに全額補償し、マルチ署名コールドウォレットシステムをアップグレードすることを約束しました。現在まで資金は回収されていません。
6. コークプロトコル契約の脆弱性事件
•損失額:約1,200万ドル(3,762 wstETH)
•攻撃方法:契約ロジックの抜け穴(偽の市場操作)
•事件の詳細:5月28日、攻撃者はCork ProtocolのDepeg Swapメカニズムの脆弱性を悪用し、偽の市場を作り出して流動性を操作しました。3,762 wstETH(1,200万ドル相当)を盗み出し、4,530 ETHと交換しました。チームは緊急にすべての契約を停止し、調査を開始しましたが、資金はまだ回収されていません。
7. zkLendスマートコントラクト攻撃
•損失:約850万ドル
•攻撃方法: 整数オーバーフロー脆弱性
•事件の詳細:2月、StarknetチェーンのDeFiプロトコルzkLendは、safeMathライブラリの除算計算における丸め脆弱性を悪用し、流動性プールの資金を引き出そうとする攻撃者から繰り返し攻撃を受け、合計3,300ETH(約850万米ドル)が盗まれました。プロジェクト側は「資金の10%をホワイトハットバウンティとして保持する」という和解案を提案しましたが、ハッカーは応じませんでした。最終的に、zkLendは法執行機関に事件を報告し、資金の流れを監視しましたが、回収の可能性は低いです。
III. 2025年前半に攻撃を受けるプロジェクトの種類
2025年上半期、Web3分野のセキュリティインシデントは、集中型プロジェクトと二極化した損失規模の特徴を示しました。攻撃対象の観点から見ると、暗号通貨取引所は絶対的な優位性により最も損失が大きい分野となり、DeFiプロトコルがそれに続きました。
1. 中央集権型取引所(CEX)
•損失: 合計6件の攻撃、合計損失15億9100万ドル、全攻撃損失の74.4%を占める
•最大の出来事:Bybitが14億4000万ドル盗難される(Safeウォレットのフロントエンドが改ざんされる)
•その他の事例: Nobitex (9,000万ドル)、Phemex (7,000万ドル)
2. DeFiプロトコル
•損失額:約3億2,400万ドル(15.1%)
•最大の出来事:Cetus Protocol(SuiエコシステムDEX)が2億2400万ドルの損失
•その他の事例:アブラカダブラ・ファイナンス(1,300万ドル)、コーク・プロトコル(1,200万ドル)
3. 暗号通貨決済プラットフォーム
•損失額:約1億2000万ドル(2件)
4. その他のタイプ(クロスチェーンブリッジ、ブラウザ、ミームコインなど)
•単発ダメージは低いが、攻撃回数は多い
IV. 2025年前半に攻撃を受けるプロジェクトの種類
スマートコントラクトの脆弱性
2025年上半期、スマートコントラクトの脆弱性がWeb3セキュリティに対する最大の脅威となり、攻撃全体の60%(12件)を占め、17億8000万ドル(80%)の損失をもたらしました。権限欠陥や数学的オーバーフローなどのコード問題が頻繁に発生し、攻撃者はフィッシングサイトや署名の欺瞞によってリスク管理を回避することがよくあります。最も深刻なBybitのインシデントでは、ハッカーがフィッシング攻撃と契約権限の脆弱性を組み合わせて401,000 ETH(14億6000万ドル相当)を盗み出し、Web3史上、単一攻撃による最高損失を記録し、スマートコントラクトの権限管理と多重署名メカニズムの主要なセキュリティリスクを浮き彫りにしました。
フィッシング攻撃
2025年のセキュリティインシデントのうち、フィッシング攻撃は25%(200件以上)を占め、 4億ドル(16%)の損失をもたらしました。攻撃者は、偽のエアドロップや高度に模倣されたプラットフォームといったソーシャルエンジニアリングの手段を通じて資産を盗み出し、1回の取引で失われる金額は通常10万ドルから100万ドルに上ります。典型的な事例としては、あるDeFiプロジェクトのDiscordグループで発生したフィッシング攻撃があり、230万ドルが盗難されました。これは、ユーザーの予防意識をさらに強化する必要があることを浮き彫りにしています。
その他の攻撃方法
その他の攻撃方法(30件、15%を占める)では、主に以下のとおり3億2,000万ドルの損失が発生しました。
• Oracle操作(例:KiloExは740万ドルの損失)
• クロスチェーンブリッジの脆弱性
• ソーシャルエンジニアリング攻撃
典型的な事例はイランのNobitex取引所への攻撃(8,200万ドル)で、ハッカーは秘密鍵を盗んだ後に資産を破壊し、国家レベルのセキュリティ脅威とクロスチェーンプロトコルのリスクが重なり合っていることを浮き彫りにしました。
5. 2025年上半期のWeb3ブロックチェーンセキュリティ状況のまとめ
2025年上半期、Web3ブロックチェーンのセキュリティ状況は、攻撃頻度の多様化、プロジェクトタイプの多様化、攻撃手法の複雑化といった特徴を示しました。暗号通貨取引所、DeFiプロジェクト、新興のWeb3アプリケーションプラットフォームは最も大きな打撃を受け、スマートコントラクトの脆弱性を悪用した攻撃やフィッシング攻撃が主な攻撃手段となり、業界に甚大な経済的損失と信頼の揺らぎをもたらしました。
今後、Web3ブロックチェーン業界は、セキュリティ上の課題に共同で取り組むために、関係者間の協力が必要です。プロジェクト関係者は、スマートコントラクトのセキュリティ監査とテストを強化し、コード品質を向上させ、セキュリティ保護システムを改善する必要があります。投資家はリスク認識を高め、各種投資プロジェクトに慎重になり、フィッシングなどの詐欺手段を見抜く能力を向上させる必要があります。規制当局は、関連法規や政策をさらに整備し、業界の発展を規制し、違法犯罪行為の取り締まりを強化する必要があります。同時に、セキュリティ技術企業は、Web3ブロックチェーンエコシステムの健全な発展を守るために、より高度なセキュリティ保護技術とソリューションの革新と開発を継続する必要があります。このようにしてのみ、Web3ブロックチェーン技術は安全な軌道に乗って革新と発展を続け、より大きな価値の潜在力を発揮することができます。
