執筆:Beosin
Beosin Alert プラットフォームの監視データによると、2026年5月に各種セキュリティ事件の損失額は合計約7615万ドルに達し、重大なハッキング事件は「36」件発生しました。主な原因はコントラクトの脆弱性と秘密鍵の漏洩です。コントラクト/ネットワークの脆弱性によるセキュリティ事件は17件、秘密鍵漏洩による被害は10件であり、DeFiエコシステムのコードセキュリティと運営安全性は厳しい課題に直面しています。
5月の損失トップ10のプロトコル
Verus L1チェーンとEthereumを接続するクロスチェーンブリッジVerus-Ethereum Bridgeはコントラクトの脆弱性により攻撃され、最大損失額は1158万ドルに上りました。Echo Protocolは秘密鍵漏洩により攻撃者により1000枚のeBTC(理論上の価値約7670万ドル)が鋳造されましたが、流動性の制約により最終的な実現利益は約513万ドルでした。
攻撃対象のプロジェクトタイプと各チェーンの損失状況
攻撃対象はクロスチェーンブリッジ、分散型取引所、レンディングプロトコル、予測市場、ステーブルコイン、一般ユーザーなど多岐にわたります。その中でクロスチェーンブリッジの損失額が最も多く、2799.5万ドルに達しました。DeFi関連のプロジェクトは攻撃回数が最も多く、14回と集計されています。
5月の最大損失額を記録したチェーンはEthereumで、損失額は4876万ドル超にのぼります。一部のクロスチェーンブリッジや多くのDeFiプロトコルのセキュリティ事件は依然としてEthereumを中心に発生しています。次いでBNB Chain、Monad、TONが続き、またMoneroやBitcoinもセキュリティ事件が発生し、多チェーンの攻撃傾向が見られます。
主要なセキュリティ事件の分析
Verus-Ethereum Bridgeの動作は、提出者が証明データを提供し、Verusチェーン上に存在する公証確認済みの正当な出力を示すもので、橋のコントラクトが検証を通過した後にEthereum上で資産を解放します。しかし、この脆弱性はEthereum側のブリッジコントラクトがVerusチェーンからの証明を検証しているものの、そのデータが有効な元の出力であるかどうかを検証していない点にあります。攻撃者は虚偽の出力を構築して検証を通過させ、預金をはるかに超える資金を引き出すことが可能です。
脆弱性のあるコード部分:
今回の事件の脆弱性は、2022年にWormholeが32億ドル、Nomadが19億ドルの損失をもたらした脆弱性と同じタイプであり、メッセージ自体は検証されているものの、その背後の資金価値は検証されていません。
今回の攻撃者は、TrustedVolumesのRFQ(見積もり依頼)フローにおける署名設計の欠陥を利用し、実際の送金時にカスタム署名データを用いて送金者をTrustedVolumesのResolverコントラクトに設定し、検証を通過させることで、Resolverコントラクト内の資産を引き出し利益を得ました。
認証チェックはvarG4を参照していますが、資金移転の実行には他のパラメータを参照しており、検証不足により認証署名者のドメインと実際の引き落としアドレスが一致しません。
したがって、攻撃者は登録済みの署名者アドレスで注文に署名し(署名検証を通過)、その他の署名パラメータ(トークン、金額)を任意に設定した疑似注文を作成し、価格予言機の合理的な価格検査を通過させ、その後プロトコルコントラクトから資産を引き出すことが可能です。
5月には複数の秘密鍵漏洩事件が発生し、総損失額は2500万ドル超に達しました。その中で、StablRは規制準拠のステーブルコイン発行者として、ステーブルコインおよびDeFi分野におけるセキュリティガバナンスの典型的な教訓となっています。
StablRは、EURRとUSDRの2種類の規制準拠ステーブルコインを提供しています。EURRの発行を管理するマルチシグウォレットは0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc、USDRの発行を管理するマルチシグウォレットは0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3です。
上記の2つのマルチシグウォレットのトランザクションはどちらも1つの署名だけで済むため、攻撃者は所有者アドレス0xC73fD562de86d7860EE636C20813Bcb2cF4D550dを制御し、アドレス0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1をこれらのマルチシグウォレットに追加し、プロジェクトの発行権限を掌握しました。
この種の事件はコードの脆弱性ではなく、運営のセキュリティ問題に起因します。特権アドレスの秘密鍵を適切に管理せず、高価値・高リスクの操作に対して高閾値のマルチシグを採用せず、大規模な発行操作にタイムロックを設けず、迅速な緊急対応メカニズムが欠如していることが原因です。
Web3のセキュリティ脅威の動向
2026年のWeb3セキュリティの最も深い傾向は、攻撃面の体系的拡大です。脆弱性はコード、インフラ、インタラクション、人的プロセスのすべてに同時に現れており、単なるセキュリティ監査やツールだけでは、運営の安全性、従業員端、クラウドインフラ、ソフトウェアサプライチェーンなどの分野をカバーできません。これにより、Web3プロジェクトの継続的な運営安全性に対する要求は一層高まっています。
また、古い/廃止されたコントラクトに対する攻撃も頻発しており、その脆弱性や権限の乱用は攻撃者にとって容易です。コントラクト開発者や運営者は過去のコントラクトの安全性を再確認し、廃止されたコントラクトについては資金の適切な移行や不要な権限の取り消しを速やかに行う必要があります。ユーザーも定期的にブロックチェーンブラウザや権限撤回ツールを使用して、不要なコントラクトの権限を確認・解除すべきです。
5.29M 人気度
644.65K 人気度
56.94K 人気度
11.94K 人気度
1.4M 人気度
Beosin:5月の主要なセキュリティ事件は36件、総損失額は7600万ドルを超える
執筆:Beosin
Beosin Alert プラットフォームの監視データによると、2026年5月に各種セキュリティ事件の損失額は合計約7615万ドルに達し、重大なハッキング事件は「36」件発生しました。主な原因はコントラクトの脆弱性と秘密鍵の漏洩です。コントラクト/ネットワークの脆弱性によるセキュリティ事件は17件、秘密鍵漏洩による被害は10件であり、DeFiエコシステムのコードセキュリティと運営安全性は厳しい課題に直面しています。
5月の損失トップ10のプロトコル
Verus L1チェーンとEthereumを接続するクロスチェーンブリッジVerus-Ethereum Bridgeはコントラクトの脆弱性により攻撃され、最大損失額は1158万ドルに上りました。Echo Protocolは秘密鍵漏洩により攻撃者により1000枚のeBTC(理論上の価値約7670万ドル)が鋳造されましたが、流動性の制約により最終的な実現利益は約513万ドルでした。
攻撃対象のプロジェクトタイプと各チェーンの損失状況
攻撃対象はクロスチェーンブリッジ、分散型取引所、レンディングプロトコル、予測市場、ステーブルコイン、一般ユーザーなど多岐にわたります。その中でクロスチェーンブリッジの損失額が最も多く、2799.5万ドルに達しました。DeFi関連のプロジェクトは攻撃回数が最も多く、14回と集計されています。
5月の最大損失額を記録したチェーンはEthereumで、損失額は4876万ドル超にのぼります。一部のクロスチェーンブリッジや多くのDeFiプロトコルのセキュリティ事件は依然としてEthereumを中心に発生しています。次いでBNB Chain、Monad、TONが続き、またMoneroやBitcoinもセキュリティ事件が発生し、多チェーンの攻撃傾向が見られます。
主要なセキュリティ事件の分析
Verus-Ethereum Bridgeの動作は、提出者が証明データを提供し、Verusチェーン上に存在する公証確認済みの正当な出力を示すもので、橋のコントラクトが検証を通過した後にEthereum上で資産を解放します。しかし、この脆弱性はEthereum側のブリッジコントラクトがVerusチェーンからの証明を検証しているものの、そのデータが有効な元の出力であるかどうかを検証していない点にあります。攻撃者は虚偽の出力を構築して検証を通過させ、預金をはるかに超える資金を引き出すことが可能です。
脆弱性のあるコード部分:
今回の事件の脆弱性は、2022年にWormholeが32億ドル、Nomadが19億ドルの損失をもたらした脆弱性と同じタイプであり、メッセージ自体は検証されているものの、その背後の資金価値は検証されていません。
今回の攻撃者は、TrustedVolumesのRFQ(見積もり依頼)フローにおける署名設計の欠陥を利用し、実際の送金時にカスタム署名データを用いて送金者をTrustedVolumesのResolverコントラクトに設定し、検証を通過させることで、Resolverコントラクト内の資産を引き出し利益を得ました。
脆弱性のあるコード部分:
認証チェックはvarG4を参照していますが、資金移転の実行には他のパラメータを参照しており、検証不足により認証署名者のドメインと実際の引き落としアドレスが一致しません。
したがって、攻撃者は登録済みの署名者アドレスで注文に署名し(署名検証を通過)、その他の署名パラメータ(トークン、金額)を任意に設定した疑似注文を作成し、価格予言機の合理的な価格検査を通過させ、その後プロトコルコントラクトから資産を引き出すことが可能です。
5月には複数の秘密鍵漏洩事件が発生し、総損失額は2500万ドル超に達しました。その中で、StablRは規制準拠のステーブルコイン発行者として、ステーブルコインおよびDeFi分野におけるセキュリティガバナンスの典型的な教訓となっています。
StablRは、EURRとUSDRの2種類の規制準拠ステーブルコインを提供しています。EURRの発行を管理するマルチシグウォレットは0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc、USDRの発行を管理するマルチシグウォレットは0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3です。
上記の2つのマルチシグウォレットのトランザクションはどちらも1つの署名だけで済むため、攻撃者は所有者アドレス0xC73fD562de86d7860EE636C20813Bcb2cF4D550dを制御し、アドレス0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1をこれらのマルチシグウォレットに追加し、プロジェクトの発行権限を掌握しました。
この種の事件はコードの脆弱性ではなく、運営のセキュリティ問題に起因します。特権アドレスの秘密鍵を適切に管理せず、高価値・高リスクの操作に対して高閾値のマルチシグを採用せず、大規模な発行操作にタイムロックを設けず、迅速な緊急対応メカニズムが欠如していることが原因です。
Web3のセキュリティ脅威の動向
2026年のWeb3セキュリティの最も深い傾向は、攻撃面の体系的拡大です。脆弱性はコード、インフラ、インタラクション、人的プロセスのすべてに同時に現れており、単なるセキュリティ監査やツールだけでは、運営の安全性、従業員端、クラウドインフラ、ソフトウェアサプライチェーンなどの分野をカバーできません。これにより、Web3プロジェクトの継続的な運営安全性に対する要求は一層高まっています。
また、古い/廃止されたコントラクトに対する攻撃も頻発しており、その脆弱性や権限の乱用は攻撃者にとって容易です。コントラクト開発者や運営者は過去のコントラクトの安全性を再確認し、廃止されたコントラクトについては資金の適切な移行や不要な権限の取り消しを速やかに行う必要があります。ユーザーも定期的にブロックチェーンブラウザや権限撤回ツールを使用して、不要なコントラクトの権限を確認・解除すべきです。