データプロバイダーのDefiLlamaは4月30日、2026年4月は暗号資産(仮想通貨)の不正流出の件数が過去最も多かったと報告した。
以下の画像はDefiLlamaが公開しているグラフで、月ごとの不正流出の被害額(青線、左軸)と件数(赤線、右軸)を示している。金額は最も多いわけではないが、件数が突出して多いことがわかる。
4月の攻撃の多さを指摘しているのはDefiLlamaだけではない。多くの企業や有識者などが指摘しており、例えばブロックチェーンセキュリティ企業のBlockaidも30日にブログを公開して、4月は盗難の観点で最悪の月だったと述べている。
Blockaidなどの指摘で共通しているのは件数の多さと、ケルプDAO(Kelp DAO)とドリフトプロトコル(Drift Protocol)の被害額が大きかったことである。
Blockaidの分析では4月は20件以上の不正流出があり、被害額は合計6.3億ドル(約986億円)。この内、ケルプDAOの被害額が約2.9億ドル、ドリフトプロトコルが約2.8億ドルであり、この2件で大部分を占めていることがわかる。
他にも4月は、クロスチェーンプロトコルのハイパーブリッジ(Hyperbridge)などで不正流出がみられ、たしかに被害件数が多かった。
4月が単発的に被害が多かったのかは現時点では不明確だが、北朝鮮関連のハッカーによる攻撃の活発化、ソーシャルエンジニアリングの巧妙化、監査の限界、AI(人工知能)技術の発達などが不正流出の背景にあるとの見方が上がっているため、今後も増加する可能性がある。
Blockaidは他にも、攻撃対象となったプラットフォームのユーザーが陥るパニックを攻撃者がうまく利用するようになってきていることを指摘している。
この手法で攻撃者は、被害に遭ったことがプロジェクトから公式に発表されると、そのプロジェクトと似たドメインを取得し、公式のガイダンスであるかのような投稿を行ってユーザーをだまし、資産を奪おうとする。
ユーザーからすれば案内に従い、即座に行動したにも関わらず、偽のウェブサイトへ誘導されるなどして資産が盗まれてしまうため、注意が必要だという。
