分散型金融(DeFi)は2020年以降、爆発的な成長を遂げる一方で、ハッカーの格好の標的となってきました。スマートコントラクトの脆弱性やプロトコル設計の欠陥を突いた攻撃により、世界中の投資家が莫大な損失を被っています。本記事では、2020年から2024年にかけての主要なDeFiハッキング事例を被害額ランキング形式で整理し、それぞれの攻撃手法と教訓を詳しく解説します。DeFiへの投資や参加を検討している方は、これらのリスクを十分に理解した上で行動することが重要です。
DeFiハッキングの全体像:被害規模と傾向
2020年〜2024年の累計被害額
ブロックチェーンセキュリティ企業の調査によると、2020年から2024年にかけてDeFiプロトコルが受けたハッキング被害の累計額は100億ドルを超えています。特に2021年と2022年はDeFiブームと相まって被害が急増し、単年で数十億ドル規模の損失が記録されました。攻撃の件数も増加しており、月に数件から十数件の大規模インシデントが報告されるようになっています。
主な攻撃カテゴリの分類
DeFiハッキングは大きく分けて「フラッシュローン攻撃」「ブリッジ脆弱性」「スマートコントラクトバグ」「ラグプル(詐欺的なプロジェクト離脱)」の4カテゴリに分類できます。中でもブリッジへの攻撃が近年急増しており、単一インシデントでの被害額が突出して大きい傾向があります。
被害額第1位:Ronin Network(2022年3月)—約625億円の損失
Axie Infinityを支えるサイドチェーンへの侵入
Ronin Networkは人気NFTゲーム「Axie Infinity」のサイドチェーンで、2022年3月に約6億2500万ドルというDeFi史上最大級のハッキング被害を受けました。攻撃者は9つのバリデーターノードのうち5つの秘密鍵を入手し、不正なトランザクションを承認させてイーサリアムとUSDCを引き出しました。
攻撃の詳細と北朝鮮ハッカー集団との関連
米国財務省はこの攻撃を北朝鮮のハッカー集団「Lazarus Group」によるものと特定しました。攻撃者はソーシャルエンジニアリングを使って開発者のデバイスにマルウェアを仕込み、バリデーター秘密鍵を窃取したとされています。Sky Mavis(Axie Infinity開発元)はその後、ユーザーへの補償として6200万ドルの調達ラウンドを実施しました。
被害額第2位:Poly Network(2021年8月)—約611億円の損失
クロスチェーンブリッジを狙った前例のない大規模攻撃
2021年8月、クロスチェーンDeFiプロトコルのPoly Networkが約6億1100万ドルの被害を受けました。攻撃者はコントラクト間の権限管理の脆弱性を突き、複数のブロックチェーン(Ethereum、Binance Smart Chain、Polygon)から資産を引き出しました。この事件はDeFiハッキング史上最大規模として大きな注目を集めました。
ハッカーによる資産返還という異例の結末
驚くべきことに、攻撃者はその後ほぼ全ての資産を返還し、「脆弱性を知らしめるためのホワイトハット行為だった」と主張しました。Poly Networkは攻撃者に50万ドルのバウンティを提示し、チーフセキュリティアドバイザーへの就任を打診するという異例の対応を見せました。この事件はDeFiセキュリティにおける脆弱性開示の在り方についての議論を呼びました。
被害額第3位:Wormhole(2022年2月)—約319億円の損失
Solana-Ethereumブリッジへの署名偽造攻撃
2022年2月、SolanaとEthereumを繋ぐブリッジプロトコル「Wormhole」が約3億2000万ドルの被害を受けました。攻撃者はSolanaのスマートコントラクトに存在した署名検証の脆弱性を悪用し、実際にはEthereumに担保が存在しないにもかかわらず、12万個のWETH(Wrapped Ether)を不正に発行させることに成功しました。
Jump Cryptoによる即時補填と教訓
Wormholeの主要投資家であるJump Cryptoは、ユーザー資産を守るために約3億2000万ドルを即座に補填しました。この迅速な対応によりユーザーへの直接的な損害は最小化されましたが、ブリッジプロトコルのリスクの高さを改めて示した事例として語り継がれています。
フラッシュローン攻撃:DeFi特有の新型脅威
フラッシュローンの仕組みと悪用手法
フラッシュローンとは、同一トランザクション内で借りて返済が完了する無担保ローンのことです。DeFiプロトコルが提供するこの機能を悪用し、攻撃者は莫大な資金を一時的に調達してオラクル操作やプール価格の歪曲を行い、不当な利益を得る攻撃手法が2020年以降急増しています。
bZx事件とCream Finance攻撃の分析
2020年のbZx事件では、攻撃者がdYdXから大量のETHをフラッシュローンで借り、複数のDeFiプロトコルを経由した複雑なトランザクションによって約100万ドルの利益を得ました。2021年のCream Finance攻撃では、同様の手法によって1億3000万ドルもの損失が発生しました。これらの事件はDeFiプロトコルのコンポーザビリティ(相互運用性)がセキュリティリスクにもなり得ることを示しています。
スマートコントラクトの脆弱性:技術的な攻撃ベクター
リエントランシー攻撃とThe DAO事件
リエントランシー攻撃は、コントラクトが外部コントラクトを呼び出す際の処理完了前に再度呼び出しが行われる脆弱性を悪用するものです。2016年のThe DAO事件では、この手法によって当時約6000万ドル相当のETHが窃取され、Ethereumのハードフォーク(ETH/ETCの分裂)に至りました。この事件はブロックチェーン史において最も重要なセキュリティインシデントの一つとして位置づけられています。
整数オーバーフローとアクセス制御の不備
整数オーバーフロー(計算結果が変数の最大値を超えることによる予期しない動作)や不適切なアクセス制御も頻繁に悪用されるバグカテゴリです。2018年のBeautyChain(BEC)トークンハッキングでは整数オーバーフローによって天文学的な量のトークンが生成され、トークン価値がほぼゼロになりました。
セキュリティ強化のためのベストプラクティス
スマートコントラクト監査の重要性
DeFiプロジェクトにとって、リリース前の第三者によるスマートコントラクト監査は必須となっています。CertiK、Trail of Bits、OpenZeppelinなどの専門監査企業は、コードを静的・動的に解析し、潜在的な脆弱性を特定します。ただし監査を受けていても100%安全とは言えず、監査後のコード変更や想定外の使われ方によって新たなリスクが生じることもあります。
バグバウンティプログラムとホワイトハットコミュニティ
多くの主要DeFiプロトコルは、脆弱性を発見・報告したセキュリティ研究者に報奨金(バグバウンティ)を支払うプログラムを設けています。Immunefiプラットフォームでは数百万ドル規模のバウンティが公開されており、ホワイトハットハッカーによるプロアクティブなセキュリティ向上に貢献しています。
投資家が取るべきリスク管理戦略
プロトコル選定時のセキュリティチェックリスト
DeFiプロトコルへの参加を検討する際は、監査の有無と結果の公開状況、TVL(Total Value Locked:プロトコルにロックされた資産総額)の推移、開発チームの透明性、バグバウンティプログラムの有無などを必ずチェックしましょう。
資産分散とポジションサイズの管理
DeFiへの参加においては、一つのプロトコルに全資産を集中させないことが基本原則です。複数のプロトコルに分散させることでスマートコントラクトリスクを分散できますが、同時に管理の複雑さも増します。自身が許容できる最大損失額を事前に設定し、それを超えない範囲でのポジション管理を徹底することが重要です。
まとめ
DeFiハッキングは2020年以降、被害額・件数ともに右肩上がりで増加しており、投資家にとって無視できないリスクとなっています。Ronin Network、Poly Network、Wormholeをはじめとする大規模事件はいずれも、ブリッジの脆弱性や秘密鍵管理の甘さ、スマートコントラクトのバグが根本原因でした。DeFiに参加する際は、プロトコルのセキュリティ状況を十分に調査し、リスク管理を徹底することが不可欠です。
よくある質問(FAQ)
Q1. DeFiハッキングで資産を失った場合、補償を受けられますか?
A1. 原則として補償はありません。ただし、プロジェクトが任意でユーザーへの補填を行うケースもあります(例:WormholeのケースでJump Cryptoが全額補填)。Nexus MutualなどのDeFi保険プロトコルを活用することで、一定の損失をカバーできる場合があります。
Q2. 監査済みのプロトコルは安全ですか?
A2. 監査はリスクを低減しますが、ゼロにはなりません。監査後のコード変更、想定外の使われ方、複数プロトコルの組み合わせによる新たな脆弱性など、監査では検出できないリスクが存在します。監査済みであることは一つの参考指標に過ぎません。
Q3. 個人ユーザーがDeFiリスクを最小化するにはどうすればよいですか?
A3. 資産の分散(複数プロトコルへの分散・中央集権型取引所との併用)、投資額の上限設定(失っても困らない範囲)、プロトコルのセキュリティ情報の定期的なチェック、ハードウェアウォレットの使用などが有効な対策です。
※本記事は情報提供を目的としており、投資を推奨するものではありません。仮想通貨への投資はリスクを伴います。投資判断はご自身の責任で行ってください。
