秘密鍵の漏えいが、仮想通貨における最も高額な被害をもたらす攻撃手法の一つとして浮上している。データプラットフォームDefiLlamaによると、過去10年間で記録された518件の事例において、総額170億ドル超がハッカーに奪われた。
4月21日に共有されたデータによると、これらの多くは秘密鍵の流出に起因しており、フィッシングやその他の認証情報を狙った攻撃と並んで主要な原因となっている。
内訳としては、約22.3%が「ブルートフォース」による秘密鍵の侵害、18.2%が「不明な手法」による侵害、さらに10%がマルチシグウォレットに対するフィッシング攻撃によるものだった。
これらの数値は、業界における大規模損失の多くが、プロトコルコードの欠陥だけでなく、ウォレットのセキュリティ、署名インフラ、そしてユーザーの行動に起因していることを示している。
この分析は、4月19日に発生した2026年最大規模のハッキングの直後に公表された。この事件では、ケルプDAOのLayerZeroベースのrsETHブリッジから約11万6500枚のリステーキングされたイーサ(rsETH)が流出し、当時の価値で約2億9000万ドルから2億9300万ドルに相当した。
DeFi、過去2カ月で6億ドル流出
直近の被害は分散型金融(DeFi)分野にも大きな影響を及ぼしている。仮想通貨取引会社GSRの4月21日のレポートによると、過去60日間でDeFiプロトコルから6億ドル以上が盗まれた。
この大半は、ケルプDAOのハッキングと、4月1日に発生したソラナ系分散型取引所ドリフト・プロトコルの攻撃によるものだ。
こうした攻撃の増加は、スマートコントラクト監査の強化だけでユーザーを十分に守れるのかという疑問を投げかけている。GSRは、スマートコントラクトのセキュリティが向上する中で、攻撃者は「運用セキュリティ、署名インフラ、開発者ツール、そしてそれらを扱う人間」へと標的を移していると指摘した。
この変化は、すでに利回りが低下している分野にさらなる圧力をかけている。「DeFiの利回りは伝統的金融(TradeFi)の水準に近づいており、オンチェーンに資金を預けるリスクに見合うのかが問われている」とGSRは述べている。
AIとマルウェアで「低コスト攻撃」が拡大
サイバーセキュリティ企業は、マルウェアや人工知能(AI)の進化により、ソーシャルエンジニアリングやウォレットを狙った攻撃が大規模化しやすくなっていると指摘する。
こうした手口では、攻撃者がまず少額の取引を送り付け、被害者が取引履歴から攻撃者のアドレスをコピーしてしまうことを狙い、不正送金を誘導する。
また、ハッキング・アズ・ア・サービス(HaaS)の普及により、攻撃者の参入障壁も低下している。サイバーセキュリティ企業ハッケンの共同創業者でCEOのディマ・ブドリン氏は、EthCC 2026でのコインテレグラフとのインタビューで次のように語った。
「こうしたリンクを踏めば、ウォレットは完全に空にされる可能性がある。ダークネット上のプラットフォームはツールの手数料を取り、攻撃者は盗んだ資金の大半を得る」
同氏はまた、ハッカーは通常、最小限の労力で騙せる最も容易な標的を狙う傾向があると指摘した。
ハッケンのレポートによると、2026年第1四半期にWeb3プロジェクトが被った損失は4億8200万ドルに達し、そのうち3億600万ドルはフィッシングやソーシャルエンジニアリングによるものだった。
一方で、脅威の一部には改善も見られる。Scam Snifferの1月のレポートでは、仮想通貨フィッシングに関連する損失が2025年に大幅に減少したとされ、ユーザーの警戒意識が高まっている可能性が示唆された。ただし、ウォレットドレイナーのスクリプトや新種のマルウェアは依然として拡散している。
