> ハッカー攻撃、詐欺、資金流出事件が頻発する中、2025年のブロックチェーンセキュリティ情勢には喜びと憂いが入り混じる## 序文2025年も間もなく終わるが、この一年はWeb3ブロックチェーンエコシステム全体にとって挑戦の多い年だった。権威あるセキュリティ監視データによると、世界的にさまざまなセキュリティ事件による損失は再び天文学的な数字を突破した一方で、いくつかの積極的な変化も見られる——ユーザーの防衛意識の向上、業界の安全構築の強化だ。この記事では、2025年のブロックチェーンセキュリティ分野の重要なデータと典型的な事件を整理し、関係者やユーザーが直面している脅威をより良く理解し、より効果的に対処するための手助けを目的とする。## 数字で語る:2025年のブロックチェーンセキュリティの驚異的な数字**全体の状況:1年で損失額は337.5億円**専門のセキュリティ監視プラットフォームのデータによると、2025年Web3エコシステムはハッカー攻撃、詐欺、プロジェクトの資金流出により累計損失が33.75億ドルに達した。この数字は問題の深刻さを如実に示している。具体的には:- **ハッカー攻撃が最も激しい**:191件の攻撃事件で、損失は31.87億ドルにのぼり、2024年比で77.85%増加- **詐欺リスクは低下傾向**:113件の詐欺事件で、損失は1.77億ドル、前年比69.15%減- **資金流出も改善**:プロジェクトの資金流出事件による損失は1150万ドル、前年比92.21%減これらのデータは、興味深い現象を反映している。従来の詐欺や資金流出手法は、より高度なハッカー攻撃に取って代わられつつある。攻撃者のターゲットは散在する個人投資家から、取引所や大規模DeFiプロトコルといったより価値の高いターゲットへとシフトしている。**季節性の特徴が顕著**2025年第1四半期の損失が最も甚大で、主要な取引所がサプライチェーン攻撃を受けて14.4億ドルの損失を出したことに起因する。その後、損失は四半期ごとに減少傾向を示し、エコシステム全体の防御力が徐々に強化されていることを示している。## ブロックチェーンリスクマップ:どのプロジェクトが最も狙われやすいか**取引所がハッカーの「狙い目」**中央集権型取引所を対象とした攻撃は9件で、損失は17.65億ドルに達し、年間総損失の52.30%を占める。これは、ハッカーが大規模なターゲットとして取引所に完全に目を付けていることを示している。ある主要取引所のサプライチェーン攻撃だけで14.4億ドルの損失が出ており、他の取引所もさまざまな規模で被害を受けている。なぜ取引所が最も被害を受けやすいのか?理由は簡単だ。取引所はユーザー資産を集中管理しており、一度の成功した攻撃で巨額の利益を得られるためだ。これは、DeFiプロジェクトを個別に攻撃するよりもはるかに効率的だ。**DeFiプロジェクト:攻撃頻度は最も高いが、単一事件の損失額は取引所ほど大きくない**DeFiに対する攻撃は91件で、損失は6.21億ドルにのぼる。最も衝撃的なケースはCetus Protocolの2.24億ドルの盗難で、DeFi損失の36.07%を占める。次いでBalancerの1.16億ドルの損失だ。これは、DeFiが最も多く攻撃を受けているものの、エコシステムが比較的分散しているため、単一事件の損失は取引所に比べて小さくなる傾向があることを示している。ただし、従来の合約の脆弱性を突く攻撃は依然として有効だ。**その他の脅威も無視できない**ウォレット、ブラウザ、サードパーティのコードパッケージ、MEVロボットなどのインフラも攻撃対象となり始めており、攻撃範囲が拡大し、攻撃ロジックも進化していることを示している。## パブリックチェーンの安全性ランキング:Ethereumは依然「重傷エリア」すべてのパブリックチェーンの中で、Ethereumのセキュリティ事件が最も多く、170件の事件で22.54億ドルの損失をもたらし、全体の66.79%を占める。これはEthereumエコシステムの重要性(資産集中度が高い)を反映するとともに、そのリスクも露呈している。2位はBNB Chainで、64件の事件により8983万ドルの損失。2024年比で110.87%増と、増加ペースが懸念される。BaseとSolanaはそれぞれ20件と19件の事件で続き、新たなパブリックチェーンのセキュリティ問題が浮き彫りになっている。## 攻撃手法の進化:従来の脆弱性から複雑なロジック欠陥へ**合約の脆弱性利用が依然主流**191件の攻撃のうち、62件は合約の脆弱性を突いたもので、全体の32.46%。中でもビジネスロジックの脆弱性が最も致命的で、4.64億ドルの損失をもたらした。これは、安全監査が進む今日においても、合約のロジック欠陥がハッカーの最良の入口となっていることを示している。**サプライチェーン攻撃が新たな標的に**ある主要取引所の14.4億ドルの損失は、サプライチェーン攻撃によるものだ。これは総損失の42.67%を占める。この攻撃手法は、ハッカーの新たな武器となりつつあり、直接製品を攻撃するのではなく、上流の依存ライブラリやツールチェーンを狙う。**秘密鍵漏洩リスクの低下**今年の秘密鍵漏洩事件は20件で、総損失は1.80億ドルと、昨年と比べて大幅に減少している。これは、業界全体で秘密鍵管理の重要性が高まっていることと、ユーザーの防衛意識も向上していることを示している。## 代表的な2つのケースの詳細解剖### ケース1:Cetus Protocolの2.24億ドルの大破壊SuiエコシステムのDEX、Cetus Protocolは2025年5月に大打撃を受けた。脆弱性の根源は、オープンソースライブラリのコードにおける左シフト演算の実装ミスにあった。**攻撃の簡略ステップ:**1. ハッカーはフラッシュローンで1000万haSUIを借り入れ2. 流動性プールを作成、価格範囲は[300000, 300200]3. 1単位のhaSUIだけで天文学的な流動性値(10^28レベル)を獲得4. 迅速に流動性を引き出し、プールを空に5. フラッシュローンを返済し、約570万SUIの利益を得る**根本原因:** checked_shlw関数のオーバーフローチェックが形骸化していたこと。特定閾値以下の入力は検知を回避できるが、左シフト後はオーバーフローの可能性がある。Move言語の左シフト操作はオーバーフロー時に自動的に停止しないため、ハッカーにとって絶好のチャンスとなった——少ないトークンで巨額資産を引き出せる。### ケース2:Balancerの1.16億ドルのシステム崩壊2025年11月、Balancer v2プロトコルとそのフォークバージョンが複数のチェーンで一斉に襲われ、総損失は1.16億ドルに達した。**攻撃の流れ:**1. ハッカーは大量の流動性トークンと交換し、BPTを大量に取得2. プールの流動性トークンの備蓄が著しく低下3. osETH/WETHの交換を実施4. 流動性トークンをBPTに再交換5. 複数のプールで繰り返し操作し、最終的に引き出しで利益を得る**脆弱性の本質:** CurveのStableSwap不変式を用いたComposableStablePoolsが対象だ。スケーリング操作における精度誤差が不変式計算に伝播し、計算値を大きく過小評価。mulDown関数の切り捨てによる誤差拡大も要因だ。## マネーロンダリングの視点:盗まれた資産の「消失術」**大物麻薬密売人の暗号資金洗浄事件**麻薬組織のリーダーが操るマネーロンダリングネットワークが摘発された。コロンビアやメキシコを経由し、コカインを密輸し、暗号通貨を使って違法資産を洗浄していた。関連アドレス3つで合計2.66億USDTを取引したが、一部資産は公式に凍結されたものの、多くは高頻度取引や多段階の移動を経て主要取引所に送られていた。このケースは示している。**ハッカーや犯罪者はDeFi、クロスチェーンブリッジ、取引所など複数の段階を利用して資金の流れを混乱させ、追跡を逃れる。****GMX 4000万ドル資金消失の記録**2025年7月、GMXはリエントラント脆弱性を突かれ、ハッカーは4200万ドルを獲得。追跡調査により:- 攻撃者はDEXのプロトコルを通じて各種通貨をETHとUSDCに交換- クロスチェーンプロトコルを利用し、資産をEthereumに分散移動- 3200万ドルのETHは4つのアドレスに分散保管- 1000万ドルの資産はArbitrumに流出**重要な示唆:** 盗まれた資産の「消失」は段階的に行われる。最初に元のチェーンで移動・混乱させ、その後クロスチェーンで分散し、最後に異なるアドレスに保管される。この操作フローは、すでにハッカーの標準的な手法となっている。## 振り返りと展望:2025年から得られる警告**ポジティブな兆しも見える**2024年と比較して、詐欺や資金流出の損失は大幅に減少している。これは:- ユーザーの防衛意識の向上- プロジェクト側のセキュリティ監査の重視- 業界の安全構築の段階的な進展- 過去の脆弱性から学ぶ姿勢の改善しかし、新たな脅威も浮上している。- **サプライチェーン攻撃が最大リスクに**:依存ライブラリやツールチェーンの上流から突破- **ソーシャルエンジニアリング/フィッシングの増加**:上位10大セキュリティ事件のうち2件は個人ユーザーの大規模損失で、社会工学が原因- **複雑なプロトコルのロジック欠陥の難しさ**:単純なコード脆弱性から、設計段階の欠陥へと進化- **マルチチェーン展開のリスク拡大**:複数のパブリックチェーンにまたがるプロジェクトは、攻撃の入り口が増加**個人ユーザーにとっての脅威も増大**フィッシングや身代金要求などの物理的脅威も増加している。多くの小規模詐欺は公表されていないため、データ上は低く見積もられるが、被害者にとっては実害は確実だ。**2026年以降の防御策の提言**1. **プロジェクト側へ**:サプライチェーンの安全確保を最優先とし、依存関係の継続的な監視と脅威評価を行う2. **プラットフォームへ**:ソーシャルエンジニアリング対策を強化し、技術的防御とコミュニティ協力による多層防御を構築3. **ユーザーへ**:防衛意識を高め、個人情報の保護を徹底し、暗号資産の公開露出を抑える4. **業界全体へ**:個人の意識から技術的防御、法執行までを連携させた動的防御エコシステムを構築## 結び2025年のWeb3ブロックチェーンセキュリティは前例のない厳しさを迎えているが、同時に反省と進歩の機会でもある。ハッカーの攻撃手法は進化し、防御策もそれに追随しなければならない。サプライチェーンの安全から社会工学対策、技術監査、ユーザー教育まで、すべての段階で油断は禁物だ。未来のセキュリティ勝利の鍵は、単一の技術ではなく、エコシステム全体の防御力にかかっている——プロジェクト、セキュリティ企業、取引所、ユーザー、規制当局の協力による連携が求められる。ブロックチェーン技術の未来は、私たちが今日、どれだけ堅固な安全防線を築けるかにかかっている。
2025年Web3ブロックチェーンエコシステム安全危機全景スキャン
序文
2025年も間もなく終わるが、この一年はWeb3ブロックチェーンエコシステム全体にとって挑戦の多い年だった。権威あるセキュリティ監視データによると、世界的にさまざまなセキュリティ事件による損失は再び天文学的な数字を突破した一方で、いくつかの積極的な変化も見られる——ユーザーの防衛意識の向上、業界の安全構築の強化だ。この記事では、2025年のブロックチェーンセキュリティ分野の重要なデータと典型的な事件を整理し、関係者やユーザーが直面している脅威をより良く理解し、より効果的に対処するための手助けを目的とする。
数字で語る:2025年のブロックチェーンセキュリティの驚異的な数字
全体の状況:1年で損失額は337.5億円
専門のセキュリティ監視プラットフォームのデータによると、2025年Web3エコシステムはハッカー攻撃、詐欺、プロジェクトの資金流出により累計損失が33.75億ドルに達した。この数字は問題の深刻さを如実に示している。
具体的には:
これらのデータは、興味深い現象を反映している。従来の詐欺や資金流出手法は、より高度なハッカー攻撃に取って代わられつつある。攻撃者のターゲットは散在する個人投資家から、取引所や大規模DeFiプロトコルといったより価値の高いターゲットへとシフトしている。
季節性の特徴が顕著
2025年第1四半期の損失が最も甚大で、主要な取引所がサプライチェーン攻撃を受けて14.4億ドルの損失を出したことに起因する。その後、損失は四半期ごとに減少傾向を示し、エコシステム全体の防御力が徐々に強化されていることを示している。
ブロックチェーンリスクマップ:どのプロジェクトが最も狙われやすいか
取引所がハッカーの「狙い目」
中央集権型取引所を対象とした攻撃は9件で、損失は17.65億ドルに達し、年間総損失の52.30%を占める。これは、ハッカーが大規模なターゲットとして取引所に完全に目を付けていることを示している。ある主要取引所のサプライチェーン攻撃だけで14.4億ドルの損失が出ており、他の取引所もさまざまな規模で被害を受けている。
なぜ取引所が最も被害を受けやすいのか?理由は簡単だ。取引所はユーザー資産を集中管理しており、一度の成功した攻撃で巨額の利益を得られるためだ。これは、DeFiプロジェクトを個別に攻撃するよりもはるかに効率的だ。
DeFiプロジェクト:攻撃頻度は最も高いが、単一事件の損失額は取引所ほど大きくない
DeFiに対する攻撃は91件で、損失は6.21億ドルにのぼる。最も衝撃的なケースはCetus Protocolの2.24億ドルの盗難で、DeFi損失の36.07%を占める。次いでBalancerの1.16億ドルの損失だ。
これは、DeFiが最も多く攻撃を受けているものの、エコシステムが比較的分散しているため、単一事件の損失は取引所に比べて小さくなる傾向があることを示している。ただし、従来の合約の脆弱性を突く攻撃は依然として有効だ。
その他の脅威も無視できない
ウォレット、ブラウザ、サードパーティのコードパッケージ、MEVロボットなどのインフラも攻撃対象となり始めており、攻撃範囲が拡大し、攻撃ロジックも進化していることを示している。
パブリックチェーンの安全性ランキング:Ethereumは依然「重傷エリア」
すべてのパブリックチェーンの中で、Ethereumのセキュリティ事件が最も多く、170件の事件で22.54億ドルの損失をもたらし、全体の66.79%を占める。これはEthereumエコシステムの重要性(資産集中度が高い)を反映するとともに、そのリスクも露呈している。
2位はBNB Chainで、64件の事件により8983万ドルの損失。2024年比で110.87%増と、増加ペースが懸念される。
BaseとSolanaはそれぞれ20件と19件の事件で続き、新たなパブリックチェーンのセキュリティ問題が浮き彫りになっている。
攻撃手法の進化:従来の脆弱性から複雑なロジック欠陥へ
合約の脆弱性利用が依然主流
191件の攻撃のうち、62件は合約の脆弱性を突いたもので、全体の32.46%。中でもビジネスロジックの脆弱性が最も致命的で、4.64億ドルの損失をもたらした。これは、安全監査が進む今日においても、合約のロジック欠陥がハッカーの最良の入口となっていることを示している。
サプライチェーン攻撃が新たな標的に
ある主要取引所の14.4億ドルの損失は、サプライチェーン攻撃によるものだ。これは総損失の42.67%を占める。この攻撃手法は、ハッカーの新たな武器となりつつあり、直接製品を攻撃するのではなく、上流の依存ライブラリやツールチェーンを狙う。
秘密鍵漏洩リスクの低下
今年の秘密鍵漏洩事件は20件で、総損失は1.80億ドルと、昨年と比べて大幅に減少している。これは、業界全体で秘密鍵管理の重要性が高まっていることと、ユーザーの防衛意識も向上していることを示している。
代表的な2つのケースの詳細解剖
ケース1:Cetus Protocolの2.24億ドルの大破壊
SuiエコシステムのDEX、Cetus Protocolは2025年5月に大打撃を受けた。脆弱性の根源は、オープンソースライブラリのコードにおける左シフト演算の実装ミスにあった。
攻撃の簡略ステップ:
根本原因: checked_shlw関数のオーバーフローチェックが形骸化していたこと。特定閾値以下の入力は検知を回避できるが、左シフト後はオーバーフローの可能性がある。Move言語の左シフト操作はオーバーフロー時に自動的に停止しないため、ハッカーにとって絶好のチャンスとなった——少ないトークンで巨額資産を引き出せる。
ケース2:Balancerの1.16億ドルのシステム崩壊
2025年11月、Balancer v2プロトコルとそのフォークバージョンが複数のチェーンで一斉に襲われ、総損失は1.16億ドルに達した。
攻撃の流れ:
脆弱性の本質: CurveのStableSwap不変式を用いたComposableStablePoolsが対象だ。スケーリング操作における精度誤差が不変式計算に伝播し、計算値を大きく過小評価。mulDown関数の切り捨てによる誤差拡大も要因だ。
マネーロンダリングの視点:盗まれた資産の「消失術」
大物麻薬密売人の暗号資金洗浄事件
麻薬組織のリーダーが操るマネーロンダリングネットワークが摘発された。コロンビアやメキシコを経由し、コカインを密輸し、暗号通貨を使って違法資産を洗浄していた。関連アドレス3つで合計2.66億USDTを取引したが、一部資産は公式に凍結されたものの、多くは高頻度取引や多段階の移動を経て主要取引所に送られていた。
このケースは示している。ハッカーや犯罪者はDeFi、クロスチェーンブリッジ、取引所など複数の段階を利用して資金の流れを混乱させ、追跡を逃れる。
GMX 4000万ドル資金消失の記録
2025年7月、GMXはリエントラント脆弱性を突かれ、ハッカーは4200万ドルを獲得。追跡調査により:
重要な示唆: 盗まれた資産の「消失」は段階的に行われる。最初に元のチェーンで移動・混乱させ、その後クロスチェーンで分散し、最後に異なるアドレスに保管される。この操作フローは、すでにハッカーの標準的な手法となっている。
振り返りと展望:2025年から得られる警告
ポジティブな兆しも見える
2024年と比較して、詐欺や資金流出の損失は大幅に減少している。これは:
しかし、新たな脅威も浮上している。
個人ユーザーにとっての脅威も増大
フィッシングや身代金要求などの物理的脅威も増加している。多くの小規模詐欺は公表されていないため、データ上は低く見積もられるが、被害者にとっては実害は確実だ。
2026年以降の防御策の提言
結び
2025年のWeb3ブロックチェーンセキュリティは前例のない厳しさを迎えているが、同時に反省と進歩の機会でもある。ハッカーの攻撃手法は進化し、防御策もそれに追随しなければならない。サプライチェーンの安全から社会工学対策、技術監査、ユーザー教育まで、すべての段階で油断は禁物だ。
未来のセキュリティ勝利の鍵は、単一の技術ではなく、エコシステム全体の防御力にかかっている——プロジェクト、セキュリティ企業、取引所、ユーザー、規制当局の協力による連携が求められる。ブロックチェーン技術の未来は、私たちが今日、どれだけ堅固な安全防線を築けるかにかかっている。