分散型アイデンティティプロジェクトであるHumanity Protocolは、2026年6月に発生した約3600万ドルのハッキング被害を受け、今後は運用セキュリティの強化に注力する方針を明らかにしました。創業者のTerence Kwok氏は、悪意のある攻撃者がスマートコントラクトの脆弱性を狙う手法から、人間の行動の隙を突く手法へと移行していると指摘しています。本事案は、Web3業界におけるセキュリティ対策の焦点が、スマートコントラクトのコード監査だけでなく、日常的な運用管理へとシフトしている現状を浮き彫りにしています。
開発者の端末から秘密鍵が流出、運用の隙が原因に
2026年6月に発生したHumanity Protocolへの攻撃では、スマートコントラクト自体の脆弱性は悪用されなかったとされています。外部の調査報告などによると、原因は開発者の端末がマルウェアに感染し、そこに保管されていた7つの秘密鍵が攻撃者に奪われたことによるものです。
攻撃者は、入手した秘密鍵を利用してEthereum上のブリッジから約1億4100万Hトークンを流出させたほか、BNB Smart Chain上で追加のトークンを不正に鋳造したと報告されています。この一連の事態により、同プロジェクトのネイティブトークンであるHトークンの価格は一時80〜90%急落しました。
攻撃手法のトレンド変化:スマートコントラクトから人間の行動の悪用へ
Humanity Protocolの創業者であるTerence Kwok氏は、攻撃者がスマートコントラクトの脆弱性を突く方法から、フィッシング詐欺などを通じて人間の行動を悪用する方法へとシフトしていると述べています。
どれほどスマートコントラクトの監査を完璧に行い、コードが正常に動作していても、秘密鍵の管理といった日常的な運用セキュリティ(OpSec)に不備があれば、多額の資金が瞬時に奪われるリスクがあることが示されました。Kwok氏は、今後はプロジェクト全体の運用セキュリティを最優先事項として再構築していくと表明しています。
業界への教訓:Web3ビジネスにおける運用セキュリティの重要性
今回の事件は、スマートコントラクトの安全性を高めるだけではWeb3プロジェクトの安全を担保できないという、業界全体に対する重い教訓となっています。複数人による署名を必要とするマルチシグ(多重署名)ウォレットを導入していても、署名者の端末が侵害され、複数の秘密鍵が同一端末にバックアップされているような単一障害点が存在すれば、セキュリティ体制は容易に崩壊します。
今後、Web3ビジネスを展開する企業にとっては、コード監査と同等以上に、従業員のセキュリティ教育や、秘密鍵の物理的・論理的な分散管理といった厳格な運用プロセスの構築が不可欠になると見られます。
ポイント
- ハッキングによる甚大な被害:2026年6月、Humanity Protocolは約3600万ドル相当のトークン流出および不正鋳造の被害に遭い、ネイティブトークン「H」の価格が急落しました。
- 原因はスマートコントラクトではなく運用面:スマートコントラクトの脆弱性ではなく、開発者のマルウェア感染端末から秘密鍵が奪われたことが原因とされています。
- 攻撃手法のシフト:創業者のTerence Kwok氏は、ハッカーがスマートコントラクトの脆弱性から人間の行動の悪用へと標的を移していると指摘しています。
- 運用セキュリティの再重視:同プロジェクトは、今後の最優先課題として運用セキュリティの再構築と強化に注力する方針を示しています。
- Web3業界への警鐘:コードの監査だけでなく、秘密鍵の管理体制や従業員のデバイスセキュリティといった日常的な運用管理が、プロジェクトの存続を左右する重要な要素であることが再認識されています。