報酬ハブ 
暗号資産業界では、2026年4月1日から18日までのわずか18日間でハッキングや悪用による損失が6億620万ドルに達しました。この数字は2026年第1四半期(1月〜3月、合計1億6,550万ドル)の3.7倍であり、2025年2月のBybit事件以来、最悪の月となっています。2件のインシデントが全体被害額の95%を占めています。Solana上のDrift Protocolは4月1日に2億8,500万ドル、KelpのrsETHブリッジは4月18日に2億9,200万ドルの被害を受けました。
この結果、2026年の年初からの被害総額は、わずか4カ月半で47件、7億7,180万ドルに上っています。なお、同期間の2025年は28件で約17億5,000万ドル(うち15億ドルはBybit事件)でした。Bybitを除くと、2026年は攻撃件数が前年比68%増加し、対象となるプロトコルも拡大しています。
2026年4月の主要なハッキング事例一覧
4月1日から18日の間に12件の事件が発生。被害額の集中が顕著で、2件の攻撃だけで全体の5億7,700万ドルを占めています。
| 日付 | プロトコル | チェーン | 損失額 | 攻撃手法 |
|---|---|---|---|---|
| 4月1日 | Drift Protocol | Solana | $285M | オラクル操作 |
| 4月3日 | ZetaBridge | Ethereum/Arbitrum | $8.1M | スマートコントラクトのロジック不備 |
| 4月5日 | PulseVault | PulseChain | $3.4M | フラッシュローン攻撃 |
| 4月6日 | AeroSwap | Base | $1.7M | リエントランシー脆弱性 |
| 4月7日 | NodeFi | Avalanche | $2.3M | プライベートキー漏洩 |
| 4月9日 | LendHub v3 | BSC | $1.2M | 価格オラクル操作 |
| 4月11日 | CrestDAO | Ethereum | $4.8M | ガバナンス攻撃 |
| 4月13日 | SolPay Bridge | Solana | $0.9M | 署名検証バイパス |
| 4月14日 | VaultX | Polygon | $2.1M | アクセス制御不備 |
| 4月16日 | BridgeNet | Optimism | $3.5M | バリデータキー漏洩 |
| 4月17日 | StakePool Pro | Ethereum | $1.0M | 引き出しロジック不備 |
| 4月18日 | Kelp (rsETH bridge) | Ethereum | $292M | ブリッジコントラクト脆弱性 |
被害内容を見ると、2種類の攻撃が目立っています。オラクル操作では、Driftが低流動性ペアを悪用され、価格データを操作されて大規模な強制清算が発生しました。DeFiで最大のターゲットとなっているブリッジ系では、KelpのrsETHブリッジでクロスチェーンメッセージ検証ロジックの不備を突かれ、2億9,200万ドルが流出しました。
Drift Protocol(4月1日/被害額2億8,500万ドル)
DriftはSolana上で最大規模のパーペチュアルDEXで、攻撃前は日次取引高が8億ドル超でした。今回の攻撃は、複数の価格フィードを加重平均で参照するオラクルシステムが標的となりました。
攻撃者は流動性の低い3つのSolanaペアで極端な値動きを発生させ、Driftのマーク価格を現物市場から12%以上乖離させました。この乖離により、レバレッジポジションが連鎖的に強制清算され、攻撃者は事前に仕込んだポジションで清算利益を得ました。
被害拡大の要因はスピードでした。最初の操作から引き出しまで90秒以内で完了し、既存のサーキットブレーカーはこの急激な価格変動に対応できませんでした。
Driftチームは現在、プロトコルを凍結し、財務準備金と保険基金を用いた補償計画の策定、オラクル設計の抜本的見直しのため外部監査法人を招聘しています。
Kelp(4月18日/被害額2億9,200万ドル)
KelpはrsETHのリキッドリステーキング用ブリッジで、ETHをEthereumメインネットと複数のレイヤー2間で移動できる仕組みを提供していました。攻撃者はメッセージ検証コントラクトの不備を突き、不正な引き出し証明を作成して通過させました。
実際には、攻撃者はrsETHを大量に預け入れたと偽装し、対応する資産を引き出しました。これは、検証関数がMerkleルートと正規チェーン状態の照合を正しく行っていなかったためです。BeInCryptoの報道によれば、この脆弱性は攻撃3週間前のコントラクトアップグレードで導入され、2社の監査も通過していました。
この問題はDeFi利用者全体に警鐘を鳴らすものです。日常的なアップグレードで生じた脆弱性が監査でも発見されず、21日間も実稼働していたことになります。攻撃時点でKelpブリッジには12億ドル超のTVLがあり、チームはオンチェーン調査員と連携し、返還のため10%(2,920万ドル)のバウンティを提示していますが、その効果は過去の事例でも限定的でした。
なぜブリッジの脆弱性は繰り返されるのか
ここ数年の暗号資産セキュリティ動向を見ている方には、このパターンが既視感のあるものに映るでしょう。2022年3月Roninブリッジは6億2,500万ドル、翌月のWormholeは3億2,000万ドル、2022年8月のNomadも1億9,000万ドルが流出。そして今回、2026年4月にKelpで2億9,200万ドルの被害が加わりました。
DeFiのブリッジは構造上、最大規模のロック資産を抱えるため、常に高額のターゲットとなっています。ブリッジコントラクトのロジックに一つでも不備があれば、ユーザー一人の資産ではなく全TVLが一気に失われるリスクがあります。
さらに、監査の限界も問題を深刻化させています。ブリッジコントラクトはDeFiの中で最も複雑なコードであり、複数チェーンや異なるコンセンサスメカニズム、メッセージプロトコルと連携します。監査人も限られた時間でコードを精査しますが、特定の条件でのみ現れる不具合などは見逃されがちです。実際、Kelpの脆弱性はアップグレード後の特殊なパターンでのみ発生し、監査でも発見されませんでした。CoinDeskの分析でも、近年はこのような「アップグレード起因」の脆弱性が2026年最大の攻撃ベクトルとなっていると指摘されています。
また、ブリッジが攻撃を受けると、その上で発行されたラップド資産やブリッジトークンがデペグし、他のDeFiプロトコルでも二次的な損失が発生します。Kelp事件後、rsETHは一時0.71ドルまで下落し、担保として採用していたレンディングプロトコルでも清算が発生しました。
2026年のセキュリティ動向
4月の被害額6億620万ドルにより、2026年前半だけで47件、7億7,180万ドルが流出。減少傾向とは言い難い状況です。
第1四半期は1億6,550万ドルと過去水準に比べて静かでしたが、4月だけで3倍以上の被害額を記録し、月末までにもう一件中規模の攻撃があれば7億ドルに達する可能性もあります。
件数も増加傾向です。135日間で47件、平均で2.9日に1件のペースです。2025年の同期間(1月~4月中旬)は28件で、Bybit事件を除いても68%増となっています。
背景には攻撃対象の拡大があります。DeFi全体のTVLは2026年に1,200億ドルを回復し、リステーキングプロトコルやレイヤー2ブリッジの増加により高額ターゲットが増えています。新しいスマートコントラクトが増えれば脆弱性も増加し、攻撃者にとっての経済的インセンティブも高まります。
一部のアナリストは、これを「セキュリティ税」と表現しています。新たなTVLが増加するごとに攻撃対象も拡大し、セキュリティ体制が追いつかなければ次の攻撃被害を間接的に助長していることになるという指摘です。
今後トレーダーが注意すべきポイント
個人トレーダーやDeFi利用者が2026年4月のハッキング事例から得られる実践的な教訓は次のとおりです。
ブリッジ利用の分散化:複数チェーンにブリッジ資産を持つ場合、その全てが本当に同時に必要かを見直しましょう。利用するブリッジごとにカウンターパーティリスクが増加し、Kelp事件のように監査を受けた大規模ブリッジでも契約上のリスクが残ります。
プロトコルの保険を確認:近年はNexus MutualやInsurAceなどのオンチェーン保険でカバー範囲を提供する事例も増えています。Kelp事件後は保険料も高騰していますが、大口資産なら費用対効果を再検討する価値があります。利用プロトコルの保険プールやカバー内容を必ずチェックしましょう。
波及効果への警戒:大規模なハッキングが発生した場合、二次的市場への影響が直接的な流出額を上回ることもあります。rsETHの一時的なデペグは少なくとも4つのレンディングプロトコルで清算を誘発しました。ラップド資産やブリッジトークンを担保とするDeFiプロトコル利用時は、基礎となるブリッジのリスクも考慮が必要です。
現状、DeFiのセキュリティは業界の成長ペースに追いついていません。2026年第1四半期だけで400億ドル以上の新規TVLが流入した一方、セキュリティ対策や監査体制、インシデント対応のインフラは横ばいでした。このギャップが埋まらない限り、4月のような事例は今後も続くと考えられます。
よくある質問
2026年4月の暗号資産ハッキング被害額は?
4月18日までで累計6億620万ドル、12件の事件が発生。うち2件が全体の95%を占めます。Drift Protocol(Solana)が2億8,500万ドル、Kelp(EthereumのrsETHブリッジ)が2億9,200万ドルの被害です。
2026年最大のハッキング事件は?
4月18日のKelp rsETHブリッジ事件が2億9,200万ドルで最大、次いで4月1日のDrift Protocol(オラクル操作)が2億8,500万ドルです。両者で全体の74%を占めます。
DeFiブリッジは安全か?
ブリッジは複雑なスマートコントラクトで大量の資産を管理するため、引き続き高リスクなインフラです。監査済みでも繰り返し攻撃されており、利用時は資産配分を制限し、大口の場合はオンチェーン保険も検討すべきです。
2026年4月は過去と比べてどうか?
2026年4月の被害額6億620万ドルは、2025年2月(Bybit単体で15億ドル)以来最悪。Bybit事件を除けば、近年で最も損害が大きい月となっています(月末まで12日を残しています)。
まとめ
2026年4月は、DeFiにおけるセキュリティ失敗がいかに短期間で拡大しうるかの実例となりました。18日間で2件の攻撃によって5億7,700万ドルが失われ、残る10件も2,900万ドル追加被害に。年初からの累計は7億7,180万ドルで、残り7カ月以上あります。
今後注視すべきは被害総額だけでなく、脅威のトレンドです。攻撃頻度は前年同期比68%増、ブリッジの脆弱性が主な経路であり、TVL拡大とセキュリティ体制のギャップは広がる一方です。全てのプロトコル利用にはカウンターパーティリスクがあり、ブリッジ資産はオープンなエクスポージャーであること、そして不測のセキュリティインシデントのコストは想定外のユーザーにしわ寄せされる構造があります。適切な資産配分とプロトコル分散が今のDeFi環境では不可欠です。
本記事は情報提供のみを目的としており、金融アドバイスではありません。暗号資産取引には重大なリスクが伴います。投資判断はご自身で十分な情報確認の上で行ってください。
