Beosin:5月の主要なセキュリティインシデントは36件で、総損害額は7600万米ドルを超えた
TechFlow厳選深潮セレクト
Beosin:5月の主要なセキュリティインシデントは36件で、総損害額は7600万米ドルを超えた
2026年にWeb3セキュリティが示す最も深いトレンドは、攻撃対象範囲の体系的な拡大である。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Beosin
Beosin Alert プラットフォームの監視データによると、2026年5月には、各種セキュリティインシデントによる損失総額が約7,615万米ドルに達し、重大なハッカー攻撃事件が全「36」件発生しました。主な原因はスマートコントラクトの脆弱性および秘密鍵の漏洩です。このうち、コントラクト/ネットワークの脆弱性に起因するセキュリティインシデントが17件、秘密鍵漏洩に起因する被害が10件であり、DeFiエコシステムにおけるコードセキュリティおよび運用セキュリティは厳しい課題に直面しています。
5月の損失額トップ10プロトコル
Verus L1チェーンとEthereumを接続するクロスチェーンブリッジ「Verus-Ethereum Bridge」がコントラクトの脆弱性により攻撃を受け、最大の損失額1,158万米ドルを記録しました。また、Echo Protocolは秘密鍵の漏洩により攻撃者がeBTC 1,000枚(時価総額約7,670万米ドル)を不正にミントしましたが、流動性の制約から最終的な実際の利益は約513万米ドルとなりました。
攻撃対象のプロジェクト種別および各チェーンにおける損失状況
攻撃対象はクロスチェーンブリッジ、分散型取引所(DEX)、貸付プロトコル、予測市場、ステーブルコイン、一般ユーザーなど多岐にわたります。その中で最も大きな損失を被ったのはクロスチェーンブリッジで、損失額は2,799.5万米ドルに上ります。また、DeFi関連プロジェクトへの攻撃件数が最も多く、計14件となっています。
5月の損失額が最も大きかったチェーンはEthereumで、損失額は4,876万米ドルを超えています。一部のクロスチェーンブリッジおよび多数のDeFiプロトコルにおけるセキュリティインシデントは、依然としてEthereumを中心として発生しています。次にBNB Chain、Monad、TONが続き、さらにMoneroおよびBitcoinにおいてもセキュリティインシデントが報告されており、チェーン間での攻撃が多様化・拡大している傾向が見られます。
主要なセキュリティインシデント分析
1. Verus:クロスチェーンメッセージ検証の欠陥
Verus-Ethereum Bridgeは、提出者がVerusチェーン上で公証済みの有効な出力が存在することを証明するデータを提供し、ブリッジコントラクトがこれを検証した後にEthereum上で資産を解放する仕組みです。しかし、このシステムには重大な脆弱性があり、Ethereum側のブリッジコントラクトはVerusチェーンからの証明を検証しますが、その証明が実際に有効な元の出力であるかどうかを検証していません。このため、攻撃者は偽造された出力を用いて検証を通過させ、自身の預け入れ額を大幅に上回る資金を不正に引き出すことが可能でした。
脆弱性を含むコード部分:
今回の脆弱性は、2022年にWormhole(損失額3.2億米ドル)およびNomad(損失額1.9億米ドル)を襲ったものと同じタイプの問題であり、いずれもメッセージそのものは検証されているものの、その背後にある資金価値については検証されていないという共通点があります。
2. Trusted Volumes:署名パラメータの欠陥
攻撃者は、TrustedVolumesのRFQ(Request for Quote)プロセスにおける署名設計の欠陥を悪用し、実際の送金時に独自に作成した署名データを用いて、送金元アドレスをTrustedVolumesのResolverコントラクトに設定し、検証を無事通過させ、Resolverコントラクト内の資産を不正に転送することで利益を得ました。
脆弱性を含むコード部分:
権限チェックではvarg4が参照されていますが、実際の資金移転処理では他のパラメータが参照されており、権限付与の署名者ドメインと実際の引き落としアドレスが一致しないという検証漏れが発生しています。
これにより、攻撃者は登録済みの署名者アドレスで注文を署名し、maker=Exploit(署名検証を通過)とし、その他署名パラメータ(トークン、金額など)を任意の値(例:価格予言機による妥当な価格チェックを通過するための1:1の偽注文など)に設定することで、プロトコルコントラクトから資産を不正に引き出すことが可能になります:
3. StablRを例とする秘密鍵漏洩事件
5月には複数の秘密鍵漏洩事件が発生し、総損失額は2,500万米ドルを超えました。その中でも、規制対応型ステーブルコイン発行者であるStablRは、ステーブルコインおよびDeFi分野におけるセキュリティガバナンスの教訓として典型的な事例となりました。
StablRは2種類の規制対応ステーブルコイン製品(EURRおよびUSDR)を展開しており、EURRの発行を管理するマルチシグウォレットは0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc、USDRの発行を管理するマルチシグウォレットは0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3です。
上記2つのマルチシグウォレットは、トランザクションの実行に必要な署名数が1つだけであったため、攻撃者は所有者アドレス0xC73fD562de86d7860EE636C20813Bcb2cF4D550dを乗っ取り、アドレス0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1を上記2つのマルチシグウォレットに追加することで、プロジェクトの発行権限を完全に掌握しました:
このような事例は、コード上の脆弱性ではなく、プロジェクト運営側の運用セキュリティの問題に起因します。具体的には、特権アドレスの秘密鍵を適切に保管しなかったこと、高価値/高リスク操作に対して高い閾値のマルチシグを採用しなかったこと、大規模な発行操作に対してタイムロックを導入しなかったこと、そして迅速な緊急対応体制が整備されていなかったことが挙げられます。
Web3セキュリティ脅威のトレンド
2026年のWeb3セキュリティにおける最も根本的なトレンドは、攻撃表面の体系的拡大です。脆弱性は、コード、インフラストラクチャ、インタラクション操作、人的プロセスのあらゆる領域で同時に顕在化しており、単なる数回のセキュリティ監査やツールのみでは、運用セキュリティ、従業員端末、クラウドインフラストラクチャ、ソフトウェアサプライチェーンなどの領域をカバーできません。これは、Web3プロジェクト運営者に対し、継続的な運用セキュリティ強化をより一層強く求めています。
さらに、旧式または廃止されたコントラクトを標的にした攻撃が頻発しており、これらのコントラクトには容易に悪用可能な権限設定が残っている場合があります。コントラクト開発者および運営者は、過去にデプロイしたコントラクトの安全性を再確認すべきです。また、廃止済みのコントラクトについては、速やかに処理するか、残留資金を適切に移管し、不要な権限をユーザーにキャンセルさせるよう呼びかける必要があります。ユーザー側も、定期的にブロックチェーンエクスプローラーや権限取消ツールを用いて、不要となったコントラクトへの権限付与を確認・解除することが推奨されます。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@Beosin_com
