image

DeFiの古いハッキングベクトルは消えつつある – しかし、新たなリスクは一度に6つのチェーンを襲う可能性がある

Tatsuya Yamamoto

分散型金融は過去 6 年間ではるかに安全になりました。2020 年から 2025 年までのプロトコル損失に関する新たな調査では、その主張の裏にかなり多くの数字が裏付けられています。

業界全体の DeFi 損失は 2022 年に 26 億 2000 万ドルでピークに達し、2024 年には約 80% 減の 5 億 3,400 万ドルに減少しました。かつて数十億ドルの見出しを生み出したブリッジハッキングは、現在では年間総額のほんの一部を占めており、今日の典型的なエクスプロイトによる被害はピーク時の約 4 分の 1 です。

これは仮想通貨業界にとって確かに素晴らしいニュースですが、依然としてかなりのリスクが残っています。違う場所に現れるだけです。現在、主要なプロトコルはイーサリアム、ベース、アービトラム、ポリゴン、OPメインネット、ソニックに同じコードを導入することが多いため、単一の欠陥がそれを実行しているすべてのネットワークで同時に資金を流出させる可能性があり、これが暗号通貨の次のシステム的問題の形となる可能性が高い。

これは昨年 11 月に見られ、バランサーの V2 コンポーザブル ステーブル プールが 6 つのブロックチェーンで同時に 30 分以内に約 1 億 2,800 万ドルを使い果たしました。

Check Point Research によると、攻撃者はプールの不変計算における算術精度の欠陥を悪用し、トークン残高を丸め境界に近づけ、それらの小さなエラーが重なり完全なドレインになるまでバッチ化されたスワップを連鎖させました。

同じ脆弱性を持つコントラクトは Ethereum、Arbitrum、Base、Polygon、Sonic、OP Mainnet に展開されており、コード自体に欠陥が埋め込まれており、そのコードがあらゆる場所にコピーされていたため、エクスプロイトはそれらすべてに一度に到達しました。

当時報告されたように、11 回の個別の監査ではこのバグを発見できませんでした。これは、このクラスのバグがいかに微妙になっているか、そしてなぜ以前に発生した攻撃よりも予期することがはるかに困難であるかを物語っています。

チェーンが増えるにつれてハッキングは小さくなった

データの心強い部分は、暗号通貨の初期を特徴づけた安価で反復可能な攻撃のほとんどが巧妙に仕組まれて存在しなくなり、DeFiのTVLが上昇し続けたにもかかわらず、損失総額が2年間で80%減少したことだ。 1件当たりの損失の中央値にも大幅な減少が見られ、2022年の600万ドルから2025年には150万ドルに75%減少した。

実際、ユニークなインシデントの数は 2025 年に 83 件に増加しました。つまり、より多くのハッキングが発生していますが、1 件あたりの被害ははるかに少なく、これが成熟したセキュリティ分野のあるべき姿とほぼ同じです。

2021 年と 2022 年にはブリッジが決定的な脆弱性となり、その 2 年目だけで 9 つのブリッジが悪用され、19 億ドルの損失が発生しました。これらのハッキングはまさに暗号通貨にとって最悪の瞬間の一部であり、Ronin Bridge だけで 6 億 2,400 万ドルの損失が発生しました。

資金がTornado Cashを介して移動する際にオンチェーンで追跡し、続いてBinance Bridgeが5億7,000万ドル、Wormholeが3億2,600万ドル、Nomadが1億9,000万ドル、Harmonyが1億ドル、Qubitが8,000万ドルと続きました。

同年の全DeFi損失の73%を占め、検証メカニズムの改善、分散型バリデーターセット、ネイティブクロスチェーンメッセージングへの広範な移行のおかげで、2025年までにブリッジのシェアは3%にまで崩壊した。

フラッシュローン攻撃も同じ経路を辿りました。これらは、代表的なDeFi技術だった2020年には全損失の54%を占めていましたが、2025年には1%未満となっています。これは、プロトコルが時間加重平均価格、Chainlinkオラクルの統合、リエントランシーガード、攻撃者が単一のアトミックトランザクション内で価格を操作できることを想定した設計など、その攻撃に特化した防御手段を採用していたためです。

秘密鍵の侵害も同様に減少し、2022 年の損失の 28.7% から 2025 年の 8.1% に減少しました。これらの各カテゴリは同じ根本的な理由で減少しました。それは、業界が再現性のあるパターンを認識し、それに対する標準化された回答を構築したためです。2025 年の年末レビューで判明したように、それらの回答はほぼ維持されています。

残ったものは防御するのが難しくなります

一般的な攻撃を阻止することは、はるかに困難なカテゴリーを残しました。2025 年には、DeFi 損失の 89.1% がプロトコル ロジックのエクスプロイトによるもので、これは 1 つのアプリケーションの設計方法に特有のコードレベルの欠陥を意味します。ブリッジ ハッキングには認識可能な信頼の仮定が含まれ、フラッシュ ローン攻撃は既知のテクニックの一部であるため、どちらも再利用可能なパターンで防御できます。

ただし、プロトコル ロジックのバグは本質的に特注です。これは、単一のコードベースの特定の数学、アクセス制御、または構成可能性の選択から発生し、各インスタンスが独自のパズルであり、最後のインスタンスとほとんど共有しないため、体系的に防御することが困難になります。

マルチチェーン展開は、これらの特注バグの 1 つを本格的な危機に変えるものです。 ImmuneFi のレポートは、2021 年の決定的なマルチチェーン インシデントである約 6 億 1,100 万ドルの Poly Network エクスプロイトから 2025 年の Balancer までを直接結び付けています。

Poly Network は、システム間の接続ポイントで障害が発生し、ブリッジが作り出すチョーク ポイントのようなものでしたが、Balancer は、コード、署名者パス、および検証の前提条件を共有するネットワーク全体で同じロジックで同じように障害が発生しました。チェーンが主要なプロトコルのデフォルトの展開マップの一部になると、チェーン自体のインフラストラクチャがたとえ健全であっても、チェーンがホストするすべてのリスク面を吸収します。

これにより、エコシステムの安全性を測定する方法が変わります。レポートの手法は、6 つのネットワークすべての参加者が完全な影響にさらされたという論理に基づいて、マルチチェーンのエクスプロイトによる損失の全額を、影響を受ける各チェーンに帰することによってこれを示しています。

その代わりに、Polygon、OP Mainnet、Base、Sonic の 2025 年のハック数は、Balancer カスケードの影響を大きく受けます。報告書ではまた、集中取引所の失敗も完全に取り除かれており、これが、FBIが北朝鮮によるものと認定した今年最大の単一窃盗である15億ドルのBybitハッキングが、プロトコルによるものではなく保管上の失敗とみなされる理由である。

TVL に対する損失ベースで、主要なエコシステムの中で最も安全な層はイーサリアムで約 0.42%、ソラナで 0.42%、BNB チェーンで 0.33% でした。これらはバリューロックによる 3 つの最大の DeFi エコシステムであり、これは規模とセキュリティが相互に犠牲を払うのではなく、一緒に向上していることを示唆しています。

これらの変更は平均的なプロトコルでははるかに優れていますが、平均的なユーザーにとってはそれほど良いものではありません。他の場所からインポートされた欠陥を含むアプリで損失が発生する可能性があり、マルチチェーン アプリの利便性が魅力となっているため、この間違いはローカルなものから共有のものにエスカレートします。

暗号通貨は、単一のシステムへの依存を避けるために、これらすべての個別のチェーンをスピンアップしましたが、皮肉なことに、それらすべてで同じ少数の人気のあるプロトコルを実行することで、それらのチェーンが回避することを意図していた集中が再構築されました。

次の大きなインシデントは、発生した日には小さく見えるかもしれませんが(広く展開されているプロトコルにおける単一のロジックのバグ)、同じ脆弱なコードがずっと 6 個のネットワーク上に存在していたことに人々が気づいたときに初めて、その本当の規模が明らかになります。

Tatsuya Yamamoto
Tatsuya Yamamoto

東京を拠点に活動するCoinhackの編集長として、仮想通貨とブロックチェーンに情熱を注いでいます。これらの複雑なテーマを、正確でわかりやすい分析を通じて読者に届けることを目指しています。経験と革新への関心を活かし、ビットコインの世界における信頼できる情報を日々提供するよう努めています。