分散型IDプロジェクトであるヒューマニティ・プロトコルが、約3600万ドル(約53億円)相当の暗号資産流出被害に遭いました。今回のハッキングはスマートコントラクトの脆弱性ではなく、社員のノートPCに保存されていた管理者用秘密鍵がマルウェアによって盗まれたことが原因とされています。この事件は、プログラムの欠陥を突く従来の攻撃から、人間の心理や運用体制の隙を狙う攻撃へとハッカーの手口が移行している現状を浮き彫りにしています。
ヒューマニティ・プロトコルにおけるハッキングの原因と技術的背景
生体認証とゼロ知識証明を用いてプライバシーを保護しつつ、ユーザーが本物の人間であることを証明する分散型ID(DID)インフラプロジェクトとされているヒューマニティ・プロトコル(Humanity Protocol)において、約3600万ドル(約53億円)相当の暗号資産Hトークンが流出する事件が発生しました。
同プロジェクトのテレンス・クオックCEOによると、問題の原因はスマートコントラクト(ブロックチェーン上で契約を自動実行するプログラム)の不具合ではなく、社員が使用していたノートPCのセキュリティ侵害でした。
昨年のメインネット公開時、本来であれば厳重に管理されるべき本番環境の秘密鍵が、誤って社員のノートPCにバックアップされていました。このバックアップには、管理者用ホットウォレットの秘密鍵や、イーサリアムとBNBチェーン双方のマルチシグ(複数署名によるセキュリティ)管理者キーの一部など、システムの根幹に関わる重要な認証情報が含まれていました。攻撃者はこのPCを乗っ取ることで正規の管理権限を手に入れ、当時時価総額が約2億1100万ドル(約310億円)であったHトークンの一部を奪うことに成功しました。
北朝鮮系ハッカーによるフィッシング手口と人を狙う攻撃への移行
ブロックチェーンセキュリティ企業クォントスタンプ(Quantstamp)の分析によると、今回の攻撃には北朝鮮に関連するハッカー集団の関与が強く疑われています。
攻撃の手法は、韓国の暗号資産取引所ビッサムを装った「トークンのロックアップスケジュール更新」という添付ファイル付きのフィッシングメールを社員に送りつけるというものでした。社員がこの添付ファイルを開いたことでPCにマルウェアがインストールされ、遠隔操作によって保存されていた秘密鍵が盗み出されました。
このような「コードを壊す」のではなく「人をだます」手法は、現在の暗号資産業界における大きな脅威となっています。以前はプログラムの脆弱性を突く攻撃が主流でしたが、現在はフィッシングメールやマルウェア感染、ソーシャルエンジニアリング(人間の心理的な隙やミスに付け込む手法)を用いて秘密鍵を直接窃取する攻撃が急増しています。実際に、2026年4月だけでも暗号資産の盗難被害額約6億3400万ドル(約932億円)のうち、約5億7800万ドル(約850億円)が北朝鮮系ハッカーによる犯行であったと分析されています。
2026年上半期のセキュリティ動向とウォレット侵害の脅威
ブロックチェーンセキュリティ企業サーティック(CertiK)のデータによると、2026年上半期全体のハッキング被害額は約13億2000万ドル(約1940億円)に上り、前年同期比では46.8%減少しています。しかし、これは2025年初頭に発生したBybitへの約14億ドル規模のハッキングという突出した事件が前年同期の数値を押し上げていたためであり、安全性が向上したわけではないと警告されています。
2026年第1四半期はフィッシング詐欺が最大の被害要因となり約5億800万ドル(約747億円)の損失を生み出しましたが、第2四半期にはウォレット侵害が最大の攻撃手法となり約8億700万ドル(約1186億円)の被害を記録しました。
さらに、2026年第2四半期の被害額の7割以上は、Solana上の分散型無期限先物取引所とされているドリフト・プロトコル(Drift Protocol)や、Ethereum上のリキッド・リステーキング・プロトコルとされているケルプDAO(Kelp DAO)への攻撃が占めています。これらも北朝鮮政府系ハッカーによる犯行との見方が広がっており、プロジェクトの規模に関わらず運用面での徹底したセキュリティ管理が求められています。
ポイント
- ヒューマニティ・プロトコルにおいて、社員PCに誤ってバックアップされていた管理者用秘密鍵が漏洩し、約3600万ドル(約53億円)相当の暗号資産が流出しました。
- スマートコントラクトのプログラム自体に脆弱性はなく、取引所を装ったフィッシングメールとマルウェア感染による、運用体制の隙を突いた攻撃が原因とされています。
- 業界全体の傾向として、プログラムコードの脆弱性を狙う手法から、ソーシャルエンジニアリングやフィッシング詐欺などの人間を標的にした攻撃へと移行しています。
- 2026年第2四半期にはウォレット侵害による被害が約8億700万ドル(約1186億円)に達し、最大の攻撃手法として甚大な影響を及ぼしています。
- 2026年上半期の被害額は前年比で減少しているものの、ドリフト・プロトコルやケルプDAOなどへの北朝鮮系ハッカーによる大型攻撃が多発しており、依然として深刻な状況が続いています。