2026年に入り、分散型金融(DeFi)セクターにおけるセキュリティインシデントによる損失額が、最初の4カ月間で10億ドルを突破しました。特に4月は28件以上のインシデントにより6億3,400万ドルが流出し、記録上最悪の月となっています。これらの損失の大部分は、スマートコントラクトのバグではなく、プライベートキーの侵害や運用管理上の不備など、オフチェーンの脆弱性に起因している点が特徴です。
4月の巨額損失を主導した主要プロトコルの事例
4月に発生した損失のうち、5億7,700万ドルはDrift(2億8,500万ドル)とKelpDAO(2億9,200万ドル)の2つのプロトコルだけで占められています。
特筆すべきは、これらのインシデントのいずれもスマートコントラクトのコードの脆弱性を突いたコードエクスプロイトによるものではなかった点です。
データ分析プラットフォームのDefiLlama(デファイラマ)による2026年のハック内訳でも、同様の傾向が示されています。今年の盗難被害額の主な要因は以下の通りとされています。
- LayerZero(クロスチェーンブリッジ)のエクスプロイト:18パーセント
- 管理鍵(管理権限を持つ秘密鍵)の侵害:16パーセント
- スプーフトークン(偽トークン):14パーセント
- プライベートキー(秘密鍵)の侵害:11パーセント
このように、キー管理の失敗や運用上の不備といったオペレーショナルな問題が被害の大半を占めており、リエントランシーやオラクル操作といった従来のスマートコントラクトのバグによる被害は極めて少なくなっています。
Echo Protocolにおける額面と実質被害額の乖離
この傾向を裏付ける最新の事例として、Monad(レイヤー1ブロックチェーン)上で展開されているEcho Protocolのインシデントが挙げられます。
5月18日、Echo Protocolにおいて管理鍵の侵害が発生し、攻撃者によって1,000 eBTC(額面で約7,670万ドル相当)の偽トークンが不正にミント(新規発行)されました。
攻撃者はこの偽トークンをレンディングプラットフォームであるCurvanceに担保として預け入れ、本物のビットコインを借入しました。その後、借り入れたビットコインをEthereum(イーサリアム)ネットワークへブリッジし、ETHにスワップした上で、ミキシングサービス(資金の移動元を隠匿するサービス)であるTornado Cashを通じて資金洗浄を行いました。
この結果、攻撃者が実際に得た実質的な被害額は約81万6,000ドルにとどまりました。額面上の7,670万ドルという巨額の数字と、実質的な流出額である81万6,000ドルの間にある大きな乖離は、偽トークンを本物の資産に換金するプロセスの難しさを示しています。
Echo Protocolの公式発表によると、このインシデントの原因もスマートコントラクトの脆弱性ではなく、Monadデプロイにおける管理鍵の侵害によるものであると特定されています。
ポイント
- 2026年最初の4カ月間でDeFiの損失額が10億ドルを突破し、4月は6億3,400万ドルの損失を出す過去最悪の月となりました。
- 4月の巨額損失の大部分を占めるDrift(2億8,500万ドル)とKelpDAO(2億9,200万ドル)の事例は、いずれもコードの脆弱性を突いたものではありませんでした。
- 2026年のハック原因は、ブリッジのエクスプロイト、管理鍵やプライベートキーの侵害、スプーフトークンといった、キー管理や運用面の失敗が大部分を占めています。
- 最新のEcho Protocolの事例では、管理鍵の侵害により約7,670万ドル相当の偽トークンがミントされましたが、実質的な被害額は約81万6,000ドルにとどまりました。
- 一連の動向は、現在のDeFi業界において、スマートコントラクトの監査だけでなく、秘密鍵の厳重な保管や運用プロセスのセキュリティ強化が極めて重要になっていることを示しています。