DeFi Llamaは4月30日、2026年4月の暗号資産ハッキング件数が20件を超え、件数ベースで過去最多の月になったと公表しました。損失額は6億ドル(約950億円)を上回りました。ソラナのDrift ProtocolとLayerZero系ブリッジを使うKelp DAOの巨額流出は、スマートコントラクト監査だけでは防ぎきれない管理者キーや検証レイヤーの弱点が市場全体を揺らすことを浮き彫りにしました。
April ends as the most-hacked month in crypto history, by number of incidents. pic.twitter.com/Cx67K3z86O
— DefiLlama.com (@DefiLlama) April 30, 2026
DeFi Llamaのチャートでは、4月の被害件数は12件前後で、過去最多の月となりました。損失額は6億ドルを上回りました。1〜3月の損失が月間数千万ドル規模に収まっていた流れから一転し、DeFiの預かり資産が戻る局面で攻撃が一気に増えました。
4月1日に流出したのは、ソラナの無期限先物DEX「Drift Protocol」の約2.8億ドルです。Driftは、攻撃者が2025年秋から6カ月かけて会議会場で接触し、偽のクオンツ運用会社を名乗って関係者に近づき、100万ドルのボールト入金で信用を作ったうえで、VS CodeとCursorの脆弱性、TestFlight経由のマルウェアを使って端末を侵害し、事前に有効な署名を保持できるソラナの機能を悪用してマルチシグを事前承認の段階で掌握したと説明しました。コードの欠陥は確認されておらず、米サイバーセキュリティ企業Mandiantが調査に加わり、UNC4736(シトリン・スリートとしても追跡される北朝鮮関連グループ)との関連を中程度から高い確度で見ています。Driftは「暗号資産分野で北朝鮮が実行した攻撃として、ここまで精巧で標的を絞ったものは見たことがない」と記し、残存機能の凍結、マルチシグのクリーンアップ、関連アドレスのフラグ付けを進めています。
4月中旬には、LayerZeroベースのrsETHブリッジ(チェーン間送金基盤)を持つKelp DAOから約2.92億ドルが流出しました。被害資産はAaveに担保として持ち込まれ、Aaveが不良債権として処理を進める金額は約2億ドル超に達しました。Arbitrumは関連するETHを凍結し、DeFiの複数組織は緊急ローンや寄付で穴埋めに動いています。Kelp側は検証レイヤーの失敗を巡ってLayerZeroにも責任があると主張しており、Curve創設者のマイケル・エゴロフ氏を含む業界関係者がKelpの波及を批判的に指摘しました。
4月の記録を押し上げたのは大型2件だけではありません。PolkadotのHyperbridgeでは偽造されたクロスチェーンメッセージでMerkle ブロック証明の仕組みが回避され、約250万ドルが失われました。月末のイーサリアム・メインネットでは、同一アドレスが7年以上動いていなかった数百のウォレットを抜き取る新しい攻撃も観測され、ワサビ・プロトコルでも500万ドル超の被害が報告されています。Solana、Ethereum、Polkadotをまたいで被害が続いたことで、4月は単発の大型事故ではなく、攻撃面が広がった月として記録されました。
攻撃手法の変化は、監査やバグバウンティの広がりでコードそのものの欠陥を突く余地が狭まり、運用担当者の端末や管理者キー、ブリッジの検証工程が狙われやすくなったことを映しています。独立系アナリストらは、DriftとKelpはコードバグではなく、攻撃面はスマートコントラクトではなくそれを動かす人間だと指摘しており、セキュリティをカウンターパーティーリスクとして見る必要があるとの見方も出ています。利用者にとっては、監査済みかどうかだけでなく、マルチシグの運用、ブリッジの信頼モデル、隣接するレンディング市場への波及までが資産の安全性を左右する局面に入っています。
5月に入ってからも、Driftはマンディアントと追跡調査を続け、フラグを付けたアドレスの監視とマルチシグの再構築を進めています。Aave側では約2億ドル超の不良債権を前提にした流動性支援が続いており、Arbitrumで凍結されたETHの扱いと不良債権処理の進み具合が、4月ショックの回収額を左右します。
参照:公式
