2026年4月の暗号資産ハック件数が過去最多に。管理権限侵害やクロスチェーン問題も顕在化

4月は「件数ベースで過去最多」のハック発生

4月の暗号資産（仮想通貨）におけるインシデント件数が過去最多となった。4月30日にデータ分析サイトのディファイラマ（DeFiLlama）が公式Xアカウントで投稿した。

ディファイラマによると、4月は「件数ベースで暗号資産史上最もハックの多い月」とされている。件数は20件を超えたとみられる。

またオンチェーン分析などを行うステイシー・ムーア（Stacy Muur）氏は、4月のインシデントは少なくとも24件に上り、総被害額は6億2,400万ドル（約981億円）を超えていると自身のXアカウントで指摘している。

一方で、被害総額については過去最大ではないとされており、件数の多さが際立つ月となった。

4月2日には、ソラナ（Solana）上の分散型取引所ドリフト（Drift Protocol）で異常な資金移動が確認され、同プロトコルは入出金を一時停止した。ドリフトの発表によると、同事案は約2億7,000万ドル（約424億円）規模の資産が不審な形で移動した。

ドリフトチームは、その後の調査で、今回の事象は約6ヶ月にわたり準備されたソーシャルエンジニアリング攻撃であった可能性が示されている。

また、4月19日にはリキッドリステーキングプロトコルのケルプDAO（KelpDAO）で、クロスチェーン転送を巡る不正な挙動が確認され、約2億9,200万ドル（約459億円）規模のrsETHの流出が発生した。

同事案では、クロスチェーン通信プロトコルのレイヤーゼロ（LayerZero）を用いたメッセージ検証の仕組みに関連し、不正な受信処理が成立した可能性があると分析されている。また、攻撃者は取得したrsETHを担保として複数のレンディングプロトコルから資金を借り入れるなど、影響は分散型金融（DeFi）全体へ波及した。

これらを含む4月のインシデント事案については、単なるスマートコントラクトのコード上の不具合にとどまらない事例が複数存在した。

ドリフトの事案では人的な信頼関係を悪用した攻撃が疑われており、ケルプDAOの事案ではクロスチェーン通信における検証設定やインフラ構成の仕様がセキュリティ上の論点となっている。

これらの事例から、コード上の脆弱性だけでなく、運用体制や権限管理、クロスチェーン設計なども含めた広範なリスクが顕在化している状況がうかがえる。

また、こうしたインシデント増加の背景として、AIの進展が攻撃側の能力向上につながる可能性も指摘されている。

米ベンチャーキャピタルのアンドリーセン・ホロウィッツ（Andreessen Horowitz：a16z）は、AIエージェントによるDeFi脆弱性の分析に関する実験結果を公表している。

同実験では、AIが脆弱性の特定には高い精度を示した一方で、実際に利益を伴う攻撃コードの構築には課題が残ることが確認された。ただし、ドメイン知識を与えた場合には成功率が約10%から約70%へ上昇したと報告されている。

この結果について同社は、脆弱性の発見と攻撃の実行は異なる能力であるとしつつも、AIの活用により攻撃の参入障壁が低下している可能性を示唆している。

月末にもインシデント相次ぐ

4月末から5月初頭にかけても、複数のインシデントが報告されている。

分散型金融（DeFi）プロトコル「ワサビプロトコル（Wasabi Protocol）」は管理者キーの侵害による資金流出が発生したと4月30日に報告した。セキュリティ企業のブロックエイド（Blockaid）によると、攻撃者は管理者キーを奪取し、自身を新たな管理者として追加したうえで、ボールトやプールの設定を変更し資金を引き出したという。

また、フィットネス関連プロジェクトのスウェット（Sweat Economy）でも30日にセキュリティインシデントが報告された。同プロジェクトはスマートコントラクトの問題を受け一時的に機能を制限し、その後ユーザー資産は安全であり通常運用に復帰したと説明している。

そのほか、分散型金融（DeFi）プロトコルのキャロット（Carrot）は、4月に発生したドリフトのインシデントの影響を受け、プロトコルのシャットダウンを5月1日に公式Xで発表した。同プロトコルによると、資金が回収されない前提では、トークン保有者は約50%の損失に直面する可能性があるとされている。

このように4月は月末にかけてもインシデントが続いており、その影響が波及し二次被害も確認されている。暗号資産（仮想通貨）業界におけるセキュリティリスクの高さが改めて示されている。

April ends as the most-hacked month in crypto history, by number of incidents. pic.twitter.com/Cx67K3z86O

— DefiLlama.com (@DefiLlama) April 30, 2026

Full list of protocols & pool exploited in April ↓

Aftermath Finance: $ unkown

Judao: $228,000

Singularity Finance: $413,000

ZetaChain: $300,000

Scallop Lend: $150,000

Purrlend: $1,500,000

Giddy: $1,300,000

Kipseli: $80,000

Volo Vault: $3,500,000

Thetanuts Finance:… https://t.co/j9tE7G7jdq

— Stacy Muur (@stacy_muur) April 29, 2026

参考：a16z  ・キャロット（X）・スウェット（X）
画像：PIXTA

関連ニュース

• ソラナDEX「ドリフト」、攻撃受け入出金停止。約2.7億ドルの不審送金が報告
• ドリフトのハッキング、半年にわたる接触と署名蓄積型の攻撃か。不正流出の経緯明らかに
• ケルプDAO、rsETH不正流出で約2.8億ドル規模の影響。アーベ等にも波及
• rsETH流出事案はレイヤーゼロのDVN設計の議論へ、Kelp・Aaveらのレポートと見解分かれる
• ポルカドットのブリッジ「Hyperbridge」、被害額を当初報告の10倍に修正。DOT不正発行の続報

参照元：ニュース – あたらしい経済