暗号資産「5月の流出額」は急減それでも消えない“橋”と秘密鍵の深い闇

4月の惨状は、ひとまず過ぎ去った――。

暗号資産セキュリティー企業CertiKによると、5月に暗号資産関連プラットフォームで発生したエクスプロイト、つまり脆弱性を突いた攻撃による損失額は 6830万ドル、日本円で約109億円 にとどまった。前月4月の損失額は 6億5000万ドル、約1037億円。実に9割近い減少である。

CertiKは1日、Xにこう投稿している。

「特にひどかった4月を経て、5月は2026年で3度目となる“損失額1億ドル未満”の月となった」

だが、被害が小さくなったからといって、安心できる状況ではない。

5月に盗まれた暗号資産のうち、フィッシング攻撃による被害は約 260万ドル、約4億1000万円。一方で、回収または返還された資金は約 940万ドル、約15億円 に上った。

今年2月に発生した暗号資産交換業者Bybitへの 15億ドル、約2392億円 規模のハッキングを除けば、4月は2022年3月以来、最大級の被害月だった。とりわけ目立ったのが、Kelp DAOを襲った 2億9100万ドル、約464億円 のエクスプロイトである。

5月の最大案件は、5月18日に発生したVerus Protocolのクロスチェーンブリッジへの攻撃だった。被害額は 1150万ドル、約18億3000万円。続いたのはTHORChainで、5月中旬の攻撃により 1010万ドル、約16億1000万円 が流出した。

被害の内訳をみると、最も大きかったのはコードの脆弱性だ。損失額は約 4500万ドル、約71億8000万円。5月全体の約66%を占める。次いで多かったのがウォレットや秘密鍵の侵害で、被害額は 1370万ドル、約21億8000万円 に達した。

狙われた対象として最も多かったのは、異なるブロックチェーンをつなぐクロスチェーンブリッジである。被害額は 2860万ドル、約45億6000万円。5月の月間損失全体の42%に相当する。これに分散型金融、いわゆるDeFiプロトコルが続いた。

Crypto exploit losses in May reached $68.3 million. Source: CertiK

DeFiLlamaのデータでは、5月に確認されたインシデントは29件。そのうち7件は、秘密鍵の侵害が絡んでいた。

直近では5月30日、Alephium BridgeとGravity Bridgeの被害が報告された。いずれも秘密鍵の侵害が原因で、被害額はそれぞれ 81万5000ドル、約1億3000万円、540万ドル、約8億6000万円 だった。

さらに、5月にはAIの支援を受けて開発されたマルウェアの増加も確認されている。攻撃者は暗号資産やAI関連の開発者を狙い、コードリポジトリを侵害したり、AIコーディング支援ツールを欺いたりする手口を使った。

4月に比べれば、数字は確かに落ち着いた。

しかし、クロスチェーンブリッジ、秘密鍵、AI悪用型マルウェア――。

暗号資産業界の足元には、依然としていくつもの“地雷”が埋まったままだ。