ブロックチェーンセキュリティ企業ペックシールド(PeckShield)は1日、6月に発生した暗号資産(仮想通貨)ハッキング事件について報告した。月間40件で被害総額は7,590万ドル(約123億円)であり、5月の8,170万ドルからは7.1%減少している。
6月には、生体認証型の分散型IDプロジェクト、ヒューマニティプロトコル(Humanity Protocol)の被害額が最大で、約3,100万ドル(約50億円)が流出した。
この事件では、犯人が韓国の仮想通貨取引所ビッサムになりすましたフィッシングメールを同プロトコルの役員に送付し、悪意あるファイルを開封させることで遠隔操作マルウェアを端末へ侵入させている。
ペックシールドは、犯人はヒューマニティプロトコルから盗み出した資金をビットコイン(BTC)、ソラナ(SOL)、ハイパーリキッド(HYPE)、BNBなどのブロックチェーンで資金洗浄したと分析した。
また、一部の資金がKelp DAOへの攻撃に関連する資金と混在していたことから、これら両方の攻撃の背後に同一の犯人・組織が存在する可能性があるとしている。4月に発生したKelp DAOへのハッキングでは北朝鮮系ハッカー集団の関与が指摘されているところだ。
次に被害額が多かったのはSyscoin Bridgeへの攻撃で、約1,000万ドル(約16億円)だった。検証プロセスの不備を突かれたものであり、犯人は対応するトークンのバーン(焼却)を行うことなく、裏付けのないSYSトークンを数十億単位で不正に発行した。
三番目としては、MEVサンドイッチ攻撃を行うことで知られるMEVボット「JaredFromSubway.eth」が、750万ドル(約12億円)の被害に遭っている。
なお、MEVサンドイッチ攻撃とは分散型取引所で発生する市場操作の一種。ユーザーの大口取引を予測し、その「直前」と「直後」に取引を挟み込む(サンドイッチする)ことで、価格変動を利用して利益をかすめ取る手法だ。
ペックシールドによると、昨年一年間は、中央集権型インフラの構造的な脆弱性と、標的を絞ったソーシャルエンジニアリングへ攻撃がシフト。これに伴い、仮想通貨関連の盗難被害額が過去最高を記録した。
2025年の総被害額は40億4,000万ドル(約6,600億円)を超え、2024年の30億1,000万ドルと比較して約34.2%増加している。内訳としては、ハッキングによる被害が26億7,000万ドル(前年比約24.2%増)、詐欺による被害が13億7,000万ドル(前年比約64.2%増)だった。
特に詐欺被害による増加が目立つ。このことについては各国の当局も対策を強化しており、米FBIは5月、アジア・中東に展開する詐欺拠点を一斉摘発し、1.2兆円相当の仮想通貨を押収している。米政府史上最高の押収額となった。
ペックシールドは、2025年に盗まれた仮想通貨のうち約3億3,490万ドル(約540億円)分が回収または凍結されたとも報告している。2024年は4億8,850万ドルだった。