「人」を攻撃することは、コードを攻撃するよりも容易であり、Web3 における盗まれた資金の回収率はすでに10%未満にまで低下しています。
TechFlow厳選深潮セレクト
「人」を攻撃することは、コードを攻撃するよりも容易であり、Web3 における盗まれた資金の回収率はすでに10%未満にまで低下しています。
繰り返し発生するハッキング攻撃と10%未満の資金回収率は、機関投資家がいまだに市場参入をためらう主な障壁です。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Tiger Researcher
翻訳・編集:AididiaoJP、Foresight News
要点まとめ
- 2026年4月時点で、Web3におけるハッキング事件が相次いでおり、単に4月だけで12件の事件が報告された。
- ソーシャルエンジニアリング攻撃の割合は年々増加しており、2026年第1四半期には総ハッキング損失の74.7%を占めている。人を攻撃する方が、コードを攻撃するよりも容易である。
- 2020年以降、盗まれた資金の平均回収率は一貫して10%未満で推移している。従来の金融と異なり、Web3ではブロックチェーン上での直接的な窃盗を阻止できないため、攻撃が発生した瞬間に資金はすでに流出してしまう。
- Bybitが15億ドルのハッキング被害を受けた後も、取引所間の連携および準備金により継続運営を維持し、投資家に損失を負わせなかった。一方、DeFiプロジェクトでは、資産がプロトコルから離れると、このような猶予期間(バッファータイム)は存在しない。
- 繰り返されるハッキング事件と10%未満の資金回収率は、機関投資家がいまだ市場参入をためらっている主な障壁である。Web3に必要なのは理念ではなく、構造化され、説明責任を伴う運用メカニズムである。
ハッキングは今も続いています
@hyperbridge(PolkadotとEthereumを接続するクロスチェーンブリッジプロトコル)が攻撃を受けました。
攻撃者は、証明検証ロジックにおける脆弱性を悪用し、クロスチェーンメッセージを偽造。その結果、Ethereum上で約10億枚のブリッジDOTが無許可でミントされました。確認済みの損失額は、Ethereum、Arbitrum、Base、BNB Chain上のユーザーを含めて総額250万ドルに達しています。
Polkadotのクロスチェーンブリッジが攻撃を受ける前、DeFiプロトコル@DriftProtocolが2.957億ドル規模の深刻なハッキング被害を被りました。北朝鮮関係のハッカー組織がチームメンバーとの信頼関係構築に6か月を費やし、その後ガバナンス権限を掌握しました。これは極めて精密なソーシャルエンジニアリングによる攻撃です。Tetherはその後1.275億ドルの支援策を提案しましたが、総支援額1.475億ドルでも、全損失額2.957億ドルをカバーするには遠く及びませんでした。
その後もハッキングは止まらず、Drift事件後の小規模な攻撃を含め、単に4月だけで12件が発生しました。プログラマブル・ファイナンスを基盤とするこの業界において、セキュリティ脆弱性が蓄積し続け、投資家および機関関係者の不安は日に日に高まっています。
ハッキングの標的は「人」です
Drift Protocolのハッキングは、チームメンバーのPCが乗っ取られたことに起因します。攻撃対象はスマートコントラクトの脆弱性やシステム欠陥ではなく、「人」でした。
さらに深刻な問題は、Web3におけるハッキング事件のうち、ソーシャルエンジニアリング攻撃の占める割合が着実に拡大していることです。
2021年にはソーシャルエンジニアリング攻撃が総ハッキング損失の28.7%を占めていたものが、2025年には64.3%へ、2026年第1四半期にはさらに74.7%へと上昇しました。「人」を標的とした攻撃が拡大を続けている一方で、コードレベルの脆弱性を悪用する攻撃の割合は相対的に低下しています。
ブロックチェーンのオープンソースという特性から、当初はコードの脆弱性が主な攻撃経路になると予想されていました。しかし現実には、ソーシャルエンジニアリングがより主要な攻撃ベクトルとなっています。その理由は単純です:既存の権限を持つ人物を攻撃する方が、コード内の脆弱性を見つけるよりもはるかに容易なのです。
伝統的な業界でも同様の傾向が見られます。2025年には企業向けハッキング攻撃の70%がソーシャルエンジニアリングを含んでおり、この攻撃手法はすでにWeb3分野へと直接移植されています。
ただし、Web3と従来の金融には決定的な違いがあります。従来の金融では、攻撃が成功しても資金が完全に盗まれることは稀であり、口座の凍結、送金の取り消し、機関による介入などによって対応可能です。一方、Web3ではプロトコルの資金がブロックチェーン上で直接引き出され、一度トランザクションが確定すれば、取り消しは不可能です。
まさにこの点が、Web3を魅力的な標的にしているのです。
回収率は低下し続け、損失は不可逆です
DeFiプロトコルのハッキングは毎年数十億ドルの損失を生じていますが、盗まれた資金の実際の回収率は着実に低下しています。北朝鮮のLazarus Groupなどの国家支援型攻撃者の登場、およびミキサー・クロスチェーンブリッジを活用した複雑化するマネーロンダリングにより、資金の回収はますます困難になっています。
もし盗まれた資金が回収できれば、最低限のセキュリティ基準を維持できるかもしれませんが、DeFiの回収率は一貫して極めて低い水準に留まっています。
2020年以降、年次平均回収率は一貫して10%未満です。2021年にPoly Networkが6.11億ドルのハッキング被害を受けましたが、攻撃者が自発的に全額を返金したため、当該年のデータのみ大幅に向上しました。この例外を除けば、各年の回収率はいずれも低位で推移しています。
生き残るのは「対応力」を持つプレイヤーです
すべてのWeb3プロジェクトがハッキング後に崩壊するわけではありません。DeFiプロジェクトが通常、一度の攻撃で崩壊するのとは異なり、一部のプレイヤーは打撃を乗り越えることに成功しています。
2025年、Bybitは15億ドルのハッキング被害を受けても存続を果たしました。取引所間の連携および損失をカバー可能な準備金が、この生存に決定的な役割を果たしました。盗まれた資金のすべてが回収されたわけではありませんが、取引所が継続運営を維持し、投資家に一切の損失を負わせなかったことが重要です。取引所は一般的に、ハッキングやその他の緊急事態に対応するための独立したSAFU基金を設けています。
一方、DeFiプロジェクトにはこのようなバッファ空間はありません。トランザクションが完了すると、プロトコルの資産は即座に消失し、挽回の余地がありません。現実的な回収手段として最も有力なのは攻撃者との交渉ですが、攻撃者はほとんど交渉に応じる意欲を示しません。Lazarusのような国家支援グループに対しては、交渉そのものがまったく不可能です。
従来の金融では、攻撃発生後に機関が介入し、口座の凍結、調査、保険請求、法的措置などが順次展開されます。Web3には、確定済みのトランザクションを巻き戻す権限を持つ当局は存在しません。プロジェクトが時折、資産の凍結を求めてブロックチェーンレベルでの介入を依頼することもありますが、凍結=返還ではありません。
根本的な制約は依然として存在します:Web3では、一度ミスを犯せば、それを取り消すことはできません。
機関時代において、いかにして機関を説得するか
我々は現在、機関主導の時代に直面しています。受け入れようと否とにかかわらず、機関が市場の方向性を主導するというトレンドは、もはや不可逆です。
もしハッキングが続き、プロジェクトが次々と崩壊していくならば、Web3は機関に提供できるものを持ち合わせません。機関のブロックチェーンおよびDeFiへの関心はすでに非常に高いものです。資産運用の効率性、新たな収益構造、そして24時間365日稼働する市場といった特徴は、いずれも極めて魅力的です。
しかし、プロジェクトが次々とハッキングされ、破綻するならば、どんなに魅力的な効率性の向上や収益構造も意味を失ってしまいます。技術的優位性がどれほど顕著であっても、基盤となる資産の安全性が確保されなければなりません。10%未満の資金回収率は、依然として機関投資家が市場参入を慎重に見極めている最大の要因の一つです。
機関資本が本格的に流入すれば、市場規模は現在の水準を大きく上回ることでしょう。この扉を開く鍵は、技術的優位性ではなく、信頼できる対応フレームワークです。業界が、分散化を守りつつ機関を説得できるかどうかが、Web3が次の段階へと進むか否かを左右するでしょう。
Web3が今必要としているのは哲学ではなく、失敗を前提とした構造、および説明責任に基づく運用メカニズムです。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@tiger_research
