2025年の主要な暗号資産ハッキング：業界の弱点を露呈した事件

2025年は暗号資産業界にとって大きな年でしたが、全体像を見ると諸刃の剣となりました。

一方では、記録的な数の合併・買収により、機関投資家の採用という点で業界が成熟しました。

267件の取引で総額86億ドルに達し、適切なポジションを取った人々にとっては収益性の高い年となりました。

他方では、ハッキングや悪用による損失が過去最高を記録し、セキュリティ面でまだどれだけ改善の余地があるかを露呈しました。

SlowMistやCertiKなどのセキュリティ企業のデータによると、セキュリティインシデントの件数は前年比50%減少し、2024年の400件超から2025年には約200件になりました。

しかし、金銭的損失の規模は異なる状況を物語っています。盗難総額は前年比55%増加し、34億ドル超に達しました。

定期的なスマートコントラクト監査や自動バグ検出などの基本的なセキュリティ対策により、アマチュアハッカーが標的としていた容易な攻撃は成功裏に排除されていますが、攻撃の性質は根本的に変化しています。

現代の攻撃者は、小規模なプロトコルの脆弱性を広く探すことはもはやしていません。

代わりに、特に北朝鮮のLazarus Groupなどのプロフェッショナル化されたグループは、偵察とインフラへの侵入に数か月を費やし、単一の壊滅的な攻撃を実行しています。

業界は現在、量より質の危機に直面しており、攻撃の発生件数は減少していますが、実際に発生する攻撃ははるかに大きな被害をもたらしています。

2026年を迎えるにあたり、業界の多くの弱点を露呈した2025年の4つの最大のセキュリティインシデントを振り返ります。

Bybit取引所:15億ドル

年間最大のインシデントは、ドバイを拠点とする暗号資産取引所Bybitで発生し、北朝鮮国家支援のLazarus Groupに関連する史上最大の確認された盗難となりました。

攻撃者は、主要なマルチシグ・インフラプロバイダーであるSafe{Wallet}の開発者と数か月にわたり信頼関係を構築し、静かに持続的なバックドアを確立する悪意のあるDockerプロジェクトを導入することに成功しました。

内部に侵入すると、攻撃者はBybitの内部署名チームが使用するSafeウォレットインターフェースのフロントエンドコードに悪意のあるJavaScriptを注入しました。

Bybitの幹部が通常の内部取引と思われるものに署名するためにログインすると、ユーザーインターフェースは正しいウォレットアドレスと金額を表示していました。

しかし、コードレベルでは、送信先アドレスが密かに攻撃者が管理するウォレットに入れ替わっていました。

約14.6億ドルから15億ドル相当のETHが流出し、業界が経験した最も深刻なセキュリティ障害の1つにさらされた多数のユーザーに影響を与えました。

このインシデントは、UI信頼に関する業界の重大な弱点を露呈し、取引の詳細を表示するソフトウェアレイヤーが侵害されている場合、ハードウェアウォレットやマルチシグ・ウォレットの閾値がほとんど保護を提供しないことを強調しました。

OGビットコインクジラ:3.3億ドル

4月、10年以上にわたってコインを手つかずで保有していたサトシ時代のビットコインクジラが、壊滅的なソーシャルエンジニアリング攻撃の被害者となり、当時約3.307億ドル相当の3,520 BTCを失いました。

このインシデントは、オンチェーン調査員ZachXBTによって明らかにされたように、業界史上最大の個人盗難として歴史に刻まれました。

コードを標的とする攻撃とは異なり、この攻撃はAI駆動のディープフェイクと音声クローニングを武器化し、数か月にわたって被害者の心理的防御を回避しました。

英国カムデンの高度なコールセンターから活動していると疑われる組織的なシンジケートである加害者は、「Nina」や「Mo」などの偽名を使用し、信頼できる法律および技術顧問になりすますことで、高齢の被害者に虚偽の安心感を構築しました。

最終的に、攻撃者は被害者を、有名なウォレットプロバイダーの公式サポートサイトを模倣した偽の「セキュリティ認証」ポータルに誘導し、「アカウントアップグレード」を装って秘密認証情報を入力させるか、ハードウェアデバイス上で特定の取引に署名させました。資金は即座に移動されました。

資金は「ピールチェーン」を通じて迅速にマネーロンダリングされ、プライバシーコインMonero (XMR)に変換され、突然の大規模な需要によりMoneroの価格が50%急騰しました。

このインシデントは、機関レベルのカストディサービスを欠く富裕層個人の極端な脆弱性を露呈し、人間のレイヤーが効果的に操作されれば、どれだけの暗号化も資産を保護できないことを示しました。

Cetus Protocolエクスプロイト:2.23億ドル

Suiネットワーク上最大の分散型取引所であるCetus Protocolは、5月にスマートコントラクトロジックの技術的障害により悪用されました。

エクスプロイターは、流動性計算に使用される共有オープンソース数学ライブラリの重大な算術的欠陥を特定し、約2.23億ドルの流動性資産を流出させることができました。

具体的には、この関数は固定小数点数を64ビット左にシフトすることで安全にスケーリングするように設計されていました。

しかし、オーバーフローチェックにロジックエラーが含まれていました。比較には大きすぎるマスクが使用され、拒否されるべきビット単位のシフトが許可されました。

攻撃者はフラッシュローンを使用して非常に狭いティック範囲で流動性提供者ポジションを作成し、算術オーバーフロー、より正確にはビット単位の切り捨てをトリガーし、コントラクトがトークンの必要な預金をわずか1単位と計算しながら、攻撃者に大量の流動性をクレジットしました。

その後、攻撃者は単純に流動性を削除し、虚偽に膨らんだ会計に基づいてプールの実際の準備金を請求しました。

Suiバリデーターは、資産がブリッジアウトされる前に1.62億ドルの資産に対する緊急凍結を調整することができましたが、純損失は依然として2025年最大のものの1つでした。

これは、Moveのような現代の安全志向言語が数学的バグに対して本質的に免疫を持っているわけではないことを分散型金融エコシステムに証明し、数学的厳密性がプロトコル設計において譲れない要件であることを強調しました。

Balancer V2:1.28億ドル

Balancerは11月、複数のチェーン(イーサリアム、Arbitrum、Base)にわたって高度な経済工学的エクスプロイトに見舞われ、攻撃者が内部スワップ中のプロトコルの精度丸め処理のわずかな不一致を武器化することに成功しました。

BalancerのComposable Stable Poolsは、プロトコルのInvariantを保護するために、トークン量のアップスケーリングとダウンスケーリングに異なる丸め方向を利用していました。これはStableSwapアルゴリズムの数学的アンカーとして機能し、プールが資産交換中に一定の総価値と均衡を維持することを保証します。

攻撃者は、プール残高を特定の8から9 Weiの範囲に押し込むことで、整数除算が丸め誤差によって価値の最大10%をドロップさせる可能性があることを発見しました。

その後、自動化されたコントラクトを使用して、攻撃者は65以上のマイクロスワップを含む単一の取引を開始しました。

各スワップは繰り返し数Weiの価値を削り取り、プールの内部会計が完全に歪むまで精度損失を複合化しました。

その結果、彼らはプールの内部会計が完全に歪むまで複合化された精度損失を利用することができ、その後、抑制された価格でLPトークンをミントし、即座に完全な価値で償還し、プロトコルの安全性チェックをトリガーすることなく数百万を抽出しました。

The post Top crypto hacks of 2025: incidents that exposed the industry's weak points appeared first on Invezz