暗号資産ハッキングが2024年に15億ドルを流出 — 2025年は既に悪化

Immunefiの年次報告書によると、2024年には暗号資産ハッキングにより、232件の個別インシデントを通じて業界から約15億ドルが流出しました。この数字は、2023年の18億ドルの損失から17%減少したことを示しています。しかし、この改善は短命でした。2025年第1四半期末までに、暗号資産史上最大の単一ハッキングに牽引され、損失はすでに2024年全体の総額を上回りました。

2024年に15億ドルが盗難:2つのハッキングが全損失の3分の1以上を占める

2024年の総損失額1,495,487,055ドルは数百件のインシデントに分散していましたが、2つの取引所侵害が不釣り合いなシェアを占めていました。日本のDMM Bitcoinは2024年5月のハッキングで3億500万ドルを失い、インドのWazirXは7月に2億3,500万ドルの侵害を受けました。これら2つのインシデントを合わせると、年間総額の36%を占めました。

詐欺ではなく、ハッキングが主要な脅威ベクトルでした。エクスプロイトは全損失の98.1%(14.7億ドル)を占め、詐欺とラグプルはわずか1.9%でした。2024年第2四半期は最悪の四半期で、5億7,270万ドルが盗まれ、2023年第2四半期と比較して115.7%増加しました。5月だけで3億5,850万ドルが流出しました。

2024年の最も顕著な構造的変化は、中央集権型金融と分散型金融の間の乖離でした。CeFiの損失は前年比77.5%増加してわずか11件のインシデントで7億2,620万ドルに達し、CeFi侵害1件あたり平均約6,600万ドルとなりました。対照的に、DeFiの損失は44.8%減少して7億6,930万ドルとなりましたが、221件のインシデントに分散していました。

この分裂は重要です。DeFiプロトコルはより頻繁に攻撃されましたが、金額は小さく、スマートコントラクト監査とセキュリティ慣行の改善が効果を上げていることを示唆しています。より大きな集中したユーザー資金のプールを保有するCeFiプラットフォームは、より少ないがはるかに損害の大きい侵害により、より高価値のターゲットとなりました。カストディリスクを検討する投資家にとって、データは、大手銀行の資本要件緩和を含む銀行と金融機関に対するより広範な規制監視が進化し続ける中でも、取引所のセキュリティが脅威の状況に追いついていないことを示唆しています。

2025年は年の半ばを迎える前に2024年の総額を超えた

2025年2月、単一のインシデントが記録を書き換えました。世界最大の暗号資産取引所の1つであるBybitは、ブロックチェーンフォレンジック企業とFBIが北朝鮮のLazarus Groupに帰属させたもので、約14億ドルを失いました。これは記録された史上最大の暗号資産ハッキングであり、以前のすべてのインシデントを大幅に上回りました。

Bybit侵害だけで、2024年の業界全体の総額にほぼ匹敵しました。2025年第1四半期末までに、累積損失は16.4億ドルに達し、すでに2024年通年の数字を超えました。2025年4月までに、Immunefiのデータは総損失が17億ドルであることを示し、前年比4倍、2024年通年の総額より14%高くなりました。

EthereumとBNB Chainを合わせると、2025年のチェーンレベルの総損失の約60%を占め、DeFi活動の集中とそれらのネットワーク上で保有される資産の規模の両方を反映しています。損失の加速は市場センチメントの急激な悪化に寄与しており、暗号資産イールド商品をめぐる継続的な規制論争がさらなる不確実性を加えています。

Fear & Greed Indexは2026年3月中旬時点で23(極度の恐怖)となり、2025年の侵害の規模から続く投資家の不安を反映しています。特にBybitハッキングは、中央集権型取引所が大規模なカストディで信頼できるかどうかについての議論を再燃させました。これは、ビットコインETFのような商品をめぐる機関投資家の推進の拡大にまで及ぶ問題です。

国家支援ハッカーとソーシャルエンジニアリングが脅威モデルを変えている

Bybit攻撃はスマートコントラクトエクスプロイトではありませんでした。報告によると、侵害にはフロントエンド署名インターフェースの操作が含まれており、これは従来のコールドストレージ保護をバイパスするソーシャルエンジニアリングベクトルです。これは、初期のDeFiハッキングを定義したプロトコルレベルのエクスプロイトから、サプライチェーンと人間レイヤーの攻撃への根本的な転換を表しています。

北朝鮮のLazarus Groupは、暗号資産セキュリティにおける最も重要な脅威アクターとなっています。このグループは国家活動の資金調達のために取引所とDeFiプロトコルを体系的にターゲットにしており、米国財務省とFBIの指定がそのパターンを確認しています。2024年だけで、北朝鮮関連のアクターは世界中のすべての暗号資産盗難のかなりのシェアを占めていました。

ImmunefのCEOであるMitchell Amadorは、新たな防御策を指摘しながら、構造的な課題を認めました。

DeFiについて具体的に、Amadorは「セキュリティの成熟度が向上したことによりDeFiはより安全になっていると主張できますが、DeFiは依然としてソフトウェアで最も敵対的な環境の1つで動作しています」と述べました。

データは慎重に混合された状況を支持しています。DeFiの前年比44.8%の損失減少は、監査文化、形式検証、バグバウンティプログラムがプロトコルレベルで機能していることを示唆しています。しかし、CeFiの77.5%の急増は、Bybit侵害と組み合わせると、業界最大のカストディプラットフォームが、コードではなく人間のプロセスを悪用する洗練されたターゲット攻撃に対して依然として脆弱であることを示しています。

注目を集めている具体的な防御策には、マルチシグネチャ認証の改善、フロントエンドの整合性チェック、拡張されたバグバウンティプログラムが含まれます。Immunefi単独で、ホワイトハットハッカーへのバウンティ支払いで1億ドル以上を促進しました。これらの措置が、数十億ドルのインセンティブを持つ国家支援の攻撃者を上回るのに十分な速さでスケールできるかどうかが、暗号資産のセキュリティ進化の次の段階を定義します。

免責事項:この記事は情報提供のみを目的としており、財務または投資アドバイスを構成するものではありません。暗号資産とデジタル資産市場には重大なリスクが伴います。決定を下す前に、常にご自身で調査を行ってください。