報酬ハブ 2026年のわずか4か月足らずで、DeFiプロトコルはハッキングや悪用によって7億5,000万ドル以上の損失を被っています。そのうち2件の攻撃が合計5億7,700万ドル超を占めています。4月19日にKelp DAOのLayerZeroブリッジから約2億9,200万ドル相当のrsETHが流出し、4月1日にはDrift Protocolが、北朝鮮のハッカーグループによる約6ヶ月にわたるソーシャルエンジニアリングの末、2億8,500万ドルを失いました。Step FinanceやGrinex、CoW Swapなど小規模なインシデントも合わせて、2026年第1四半期は2023年以降の年間合計を既に上回るペースとなっています。
この傾向は無視できず、今年発生した主な悪用事例はすべて同じ方向性を示しています。異なるブロックチェーン間で資産を移動させるインフラであるクロスチェーンブリッジが、暗号資産史上最大級の単日損失を生み続けています。
2026年の主なDeFiハッキング一覧(4月19日まで更新)
以下の表は、2026年に100万ドル超の損失が確認された全ての事例をまとめたものです。100万ドル未満の小規模事例は読みやすさのため省略していますが、合計すると相当な件数となります。第1四半期だけで少なくとも34件のセキュリティインシデントが発生しています。
| 日付 | プロトコル | 損失額 | 攻撃手法 | チェーン |
|---|---|---|---|---|
| 1月31日 | Step Finance | 2,730万ドル | トレジャリーキー漏洩 | Solana |
| 1月 | Truebit | 2,640万ドル | スマートコントラクト悪用 | Ethereum |
| 1月 | Resolv Labs | 2,300万ドル | プライベートキー漏洩 | Ethereum |
| 2月21日 | IoTeX ioTube Bridge | 440万ドル | プライベートキー漏洩(ブリッジ) | Ethereum |
| 2月 | CrossCurve | 300万ドル | ブリッジコントラクトの検証不足 | マルチチェーン |
| 2月 | Hyperbridge | 250万ドル | ブリッジ脆弱性 | マルチチェーン |
| 4月1日 | Drift Protocol | 2億8,500万ドル | ソーシャルエンジニアリング+偽担保 | Solana |
| 4月3日 | Silo Finance | 39.2万ドル | オラクル設定ミス | Ethereum |
| 4月9日 | Aethir | 42.3万ドル | アクセス制御の脆弱性 | Ethereum |
| 4月13日 | Dango | 41万ドル | スマートコントラクト不具合(ブリッジ) | マルチチェーン |
| 4月14日 | CoW Swap | 120万ドル | ドメインハイジャック | Ethereum |
| 4月15日 | Grinex | 1,374万ドル | 取引所ウォレット流出 | TRON/Ethereum |
| 4月 | Rhea Finance | 760万ドル | 不正トークンコントラクト | マルチチェーン |
| 4月19日 | Kelp DAO | 2億9,200万ドル | LayerZeroブリッジのメッセージ偽装 | Ethereum/マルチチェーン |
最大規模のDriftおよびKelp DAOに加え、4つの小規模事例もブリッジ関連コンポーネントが標的となりました。この傾向は過去のパターンとも一致しており、ブリッジ脆弱性が毎年最大の損失を生み続けています。
Drift Protocol攻撃の仕組み
Drift Protocolの2億8,500万ドル流出(4月1日)は、従来型のスマートコントラクトバグではありません。セキュリティ企業TRM Labsは、攻撃の詳細を調査し、北朝鮮国営ハッカーグループUNC4736が約6ヶ月にわたりDriftのチームメンバーに対してソーシャルエンジニアリングを仕掛けていたことを明らかにしています。
攻撃者は管理者権限キーにアクセスし、価値のないCVTトークンを担保としてホワイトリスト化、価格を操作した後、5億CVTを預け入れ、USDC・SOL・ETH計2億8,500万ドル相当を引き出しました。流出はわずか12分で完了しました。
DriftのTVL(ロック総額)は1時間以内に5億5,000万ドルから3億ドル未満に急減。盗まれた資金はCircleのクロスチェーントランスファープロトコルを介してEthereumへ一部移動され、その後ETHに換金後、中央集権型取引所へ送金されました。Chainalysisは詳細な分析記事を公開しています。
この事例は、コード自体が弱点ではなく、管理権限を持つ人物が最大のリスクとなり得ることを示しています。Driftのスマートコントラクトは複数回監査されていましたが、人的要因が悪用されました。
Kelp DAOのブリッジが流出した経緯
Kelp DAOの2億9,200万ドルの流出は、LayerZero連携ブリッジに対するもので、Kelpにとどまらない影響がありました。攻撃者はクロスチェーンメッセージを偽装し、LayerZeroのメッセージ層を騙して他ネットワークからの正規指示だと思い込ませ、116,500rsETHを攻撃者アドレスへ送金しました。
この116,500rsETHは発行済み供給量の約18%に相当し、ブリッジが保持していたrsETHと連動するラップド資産の裏付けが20以上のチェーンで一斉に毀損しました。これにより、rsETHを担保とする全てのプロトコルが直ちに影響を受けました。
AaveはV3およびV4でrsETH市場を速やかに凍結し、SparkLendやFluidも凍結措置を取りました。AAVEトークンは同日中に16%下落し、多くの預入者がrsETH関連プロトコルから資金を引き上げました。Kelpの緊急マルチシグは流出から46分後にコントラクトを一時停止しましたが、既に多額の被害が発生していました。Aaveは、デペッグしたrsETHを担保とした借入による不良債権額を現在も精査中です。
クロスチェーンブリッジが繰り返し脆弱性を露呈する理由
2022年以降、ブリッジ関連の損失は累計28億ドルを超え、Web3における全損失の約40%を占めています。その根本的理由は構造的なものであり、主に3つの要素が毎年ブリッジを最大の攻撃対象にしています。
1. 巨大な資産プールの管理 ブリッジのTVLは2026年3月時点で219億4,000万ドルに達し、20チェーンにまたがる資産を管理するブリッジは単一障害点となります。Kelpブリッジの停止でAaveのTVLは60億ドル減少しました。
2. クロスチェーンメッセージの検証難易度 各ブリッジは、チェーンAからのメッセージが正当かを確認する仕組みが必要です。マルチシグバリデータ、オラクル、ゼロ知識証明などアプローチごとにリスクが異なり、LayerZeroの統合は正規メッセージを偽装されました。
3. 攻撃対象はコードだけでなく運用者にも及ぶ Drift事例はコードではなく、半年に及ぶ人的攻撃でした。プライベートキー漏洩は2025年第1四半期の損失の88%を占め、2026年も続いています。スマートコントラクト監査だけでは人的リスクは防げません。
参考までに、過去最大のブリッジハッキングも同様の特徴を持っています。Ronin Bridgeは2022年にバリデータキーの漏洩により6億2,500万ドル流出、Wormholeは署名検証バグで3億2,000万ドル流出、Nomadは設定ミスで1億9,000万ドル被害を出しました。技術が進化しても、構造的な問題に起因する失敗パターンは繰り返されています。
2026年と過去の比較
年間ごとの被害額推移は以下の通りです。
| 年 | 暗号資産ハッキング総損失 | 最大単体被害 | 情報ソース |
|---|---|---|---|
| 2022 | 38億ドル | Ronin Bridge, 6億2,500万ドル | Chainalysis |
| 2023 | 17億ドル | Mixin Network, 2億ドル | Chainalysis |
| 2024 | 22億ドル | DMM Bitcoin, 3億500万ドル | Chainalysis |
| 2025 | 34億ドル | Bybit, 14億ドル | Chainalysis |
| 2026(4月19日現在) | 7億5,000万ドル以上 | Kelp DAO, 2億9,200万ドル | DefiLlama/PeckShield |
2026年は既に4か月弱で7億5,000万ドル超。現状のペースが続けば年間被害は25億ドル規模となる可能性があります(ただし四半期ごとの変動も大きい)。第3・4四半期に大規模インシデントが発生すれば、30億ドルを超える可能性もあります。
特に個別攻撃の規模拡大が顕著です。Driftの2億8,500万ドルやKelpの2億9,200万ドルは、2023年・2024年の単体被害を上回っています。2025年のBybit流出(14億ドル)は10億ドル超の事例もあり、2026年もブリッジインフラが巨額損失の主要経路となっています。
トレーダーが注視すべき点
DeFiプロトコルに資産を預けている場合、2026年の事例から見えてくる注意点は以下です。
ブリッジリスクを事前に確認する トークンがブリッジを介したラップド資産である場合、多くのユーザーはブリッジ障害時までリスクを認識しません。Kelp DAOの事例では、直接Kelpと取引していなくても20チェーンのrsETH保有者が影響を受けました。Aaveのように早期退出した預金者は資本を守れました。
マルチシグでも完全な防御ではない DriftもKelpもマルチシグ構成でしたが、Driftでは管理キーがソーシャルエンジニアリングで突破され、Kelpも流出から46分後に一時停止された際には既に資産が失われていました。マルチシグは攻撃の遅延には有効ですが、署名者自体が侵害されれば防げません。
中央集権型取引所のネイティブ資産保有でブリッジリスク回避 BTC・ETH・SOLなどを取引所(例:Phemex)で直接保有すれば、スマートコントラクトの不具合やブリッジ障害、オラクル操作などのリスクを回避できます。あくまでカストディリスクとDeFiリスクのバランスを考慮する必要があります。
よくあるご質問
2026年最大のDeFiハッキングは?
4月19日のKelp DAO流出(2億9,200万ドル)が最大で、4月1日のDrift Protocol(2億8,500万ドル)がこれに続きます。いずれも複数チェーンをつなぐインフラが標的となっています。
なぜブリッジに対するハッキングが繰り返されるのか?
ブリッジは大量のロック資産を保持し、検証が難しいクロスチェーンメッセージに依存しています。一度破られると、複数チェーンのラップド資産裏付けが一括して消失するため、最も高価値な標的となっています。
2026年のDeFiからの盗難総額は?
DefiLlamaやPeckShieldのデータによれば、2026年4月中旬時点で7億5,000万ドルを超えています。第1四半期だけでも34件・1億6,800万ドル以上の被害があり、その後の大規模流出で総額はさらに増加しました。
DeFiハッキングから自身を守るには?
ブリッジやラップド資産への依存を減らし、利用プロトコルが第三者ブリッジに依存していないか確認、積極的にDeFiを利用しない時は、規制下の取引所でネイティブ資産を保有することを検討してください。完全なリスク回避は難しいですが、ブリッジリスク低減が資産流出リスクの抑制につながります。
まとめ
2026年、DeFi領域で最大規模の被害はブリッジインフラから発生しました。攻撃の根本原因は2022年と変わらず、攻撃者は新しい脆弱性ではなく、クロスチェーンメッセージ検証や人的管理の構造的弱点を大規模に利用しています。Kelp DAO事例は、ブリッジに依存する全ての参加者にリスクが広がることを示しました。今後もブリッジ依存を排除するか、大規模な署名者侵害にも耐えられる検証システムを構築するプロジェクトが生き残ると考えられます。
本記事は情報提供のみを目的としており、金融・投資アドバイスではありません。暗号資産の取引には高いリスクが伴います。取引判断は必ずご自身でリサーチの上で行ってください。
