ブロックチェーンセキュリティ企業ハッケンによれば、2026年第1四半期におけるWeb3プロジェクトのハッキングおよび詐欺による被害額は4億6450万ドルに達した。数十億ドル規模の巨額ハッキングは減少した一方で、中規模のインシデントが増加したという。
ハッケンのQ1レポートによると、フィッシングやソーシャルエンジニアリング攻撃が主流となり、四半期全体で43件の事案のうち、3億600万ドルの損失を占めた。特に1月に発生したハードウェアウォレット詐欺(2億8200万ドル)が全体被害の81%を占めた。
スマートコントラクトの脆弱性による被害は8620万ドルに達し、さらに鍵の流出やクラウドサービスの侵害といったアクセス管理の不備が7190万ドルの損失を引き起こした。
今回の被害額は、2023年以降の第1四半期としては2番目に低い水準となった。これは、2025年Q1にバイビットが14億6000万ドルを失ったような単一の巨額ハッキングが発生しなかったことが主因とされる。
ハッケンの分析では、最大規模の障害はオンチェーンコードではなく、運用やインフラといった層で発生する傾向が強まっている。ハッケンのCEO兼共同創業者イェフ・ブロシェヴァン氏はコインテレグラフに対し、「最も高額な損失はコード層の外で発生している」と述べた。
この変化により、規制当局や機関投資家の監視も強まっている。EUのMiCA(暗号資産市場規制)やDORA(デジタル運用レジリエンス法)といった枠組みが施行段階に入り、継続的なセキュリティ監視やインシデント対応能力への要求水準が引き上げられている。
旧コードや鍵管理が主要リスクに
ブロシェヴァン氏は、3億600万ドル規模のフィッシング被害のほか、北朝鮮関連とされる偽ベンチャーキャピタル(VC)によるステップ・ファイナンスへの4000万ドル攻撃や、レゾルブ・ラボにおけるAWS鍵管理サービス侵害(2500万ドル)を挙げた。
スマートコントラクト由来の問題であっても、損失が大きい事例は旧来のコードや既知の脆弱性に集中する傾向がある。トゥルービットは約5年前にデプロイされたSolidityコントラクトのバグにより2640万ドルを失い、ヴィーナス・プロトコルは2022年から知られる寄付攻撃パターンの被害を受けた。
また、レゾルブやヴィーナスを含む6つの監査済みプロジェクトでも、合計3770万ドルの損失が発生した。総ロック資産(TVL)が大きいプロトコルほど高度な攻撃の標的となるため、未監査プロジェクトより平均被害額が大きくなる傾向がある。
規制当局、インシデント対応基準を引き上げ
第1四半期には、EUのMiCAおよびDORAが本格的な執行段階に移行したほか、ドバイの仮想資産規制庁(VARA)が技術・情報ルールブックの要件を強化した。シンガポールはバーゼル基準に沿った資本規制と1時間以内のインシデント通知ルールを導入し、アラブ首長国連邦では新設の資本市場当局がデジタル資産監督を引き継ぎ、権限と罰則が拡大された。
ハッケンは、こうした規制を背景に「規制対応型スタック」の新たな基準が形成されつつあると指摘する。具体的には、日次の内部照合に裏付けられた準備金証明、トレジャリーウォレットや特権アカウントに対する24時間監視、ミントやガバナンス機能における自動サーキットブレーカー、最も厳格な基準に合わせたインシデント通知体制などが求められる。
レポートは、現実的な目標として「24時間以内の認知、4時間以内のラベリング、30秒以内の遮断」を提示し、将来的には「検知10分、遮断1秒」といった水準も視野に入るとした。
人的要因に関しては、北朝鮮関連グループが最も一貫した脅威とされる。偽VCによる接触や悪意あるビデオ通話ツール、従業員端末の侵害といった手法により、2025年には約20億4000万ドルが流出したとされ、ステップ・ファイナンスやビットリフィルの事例も同様の手口の延長線上にある。
