Web3ハッキングは2025年に$4B を襲う：NFT、DeFi、暗号通貨が学ぶべきこと | NFTニューストゥデイ

Web3ハッキングは2025年に不快な節目を迎えました。暗号資産、NFT、DeFi全体で$4 十億ドル近くがセキュリティの失敗、詐欺、単純な人為的ミスにより失われました。この数字はHackenが発表した2025年の年間セキュリティレポートからのものであり、業界が無視できない現実を示しています。

これは、実験的なコードに隠れた謎のバグによる年ではありません。ほとんどの被害は、弱いアクセス制御、盗まれた認証情報、ソーシャルエンジニアリングから生じました。言い換えれば、セキュリティチームが何年も警告してきた同じ問題が、より大規模なスケールで展開されたのです。

NFTを保有している、中央集権型取引所で取引している、またはWeb3で構築している場合、2025年の教訓はこれまで以上に重要です。

Web3にとって$4 十億ドルの現実

Hackenのレポートは、2025年の総損失額を$4 十億ドルとしています。その数字には、取引所の侵害、フィッシング詐欺、ウォレットの侵害、ラグプル、プロトコルの脆弱性が含まれます。

他の企業、CertiKやChainalysisも、帰属モデルにより推定総額を$2.5Bから$3.2Bの範囲と低めに見積もっています。しかし、すべての主要な情報源は、2025年には攻撃の規模と高度化の両方が増加したことに同意しています。

特に目立つのは、損失の規模だけではありません。それがどこから来たのかです。

過去の暗号サイクルはスマートコントラクトのミスによって支配されていましたが、2025年にはバランスが変わりました。運用の失敗やソーシャル攻撃の方が、壊れたコードよりも多くの被害をもたらしました。より多くの資本がWeb3に流入するにつれ、攻撃者は資金の流れを追い、最も簡単なルートに集中しました。

NFTユーザーにとって、この変化はリスクのプロフィールを完全に変えます。完璧なコントラクトでも、ウォレットの承認や署名リクエストが悪用されれば意味がありません。

年の展開

第1四半期がすべてを変えた

年は悪いスタートを切りました。第1四半期の終わりまでに、すでに$2 十億ドル以上が失われていました。これにより、Q1は記録上最悪のWeb3セキュリティの四半期となりました。

最大の要因はBybitの侵害です。攻撃者はスマートコントラクトを悪用したのではなく、サプライチェーンを侵害し、フロントエンドのインフラを改ざんしました。これは、ブロックチェーンのセキュリティはチェーン自体だけでなく、その周辺も重要であることを思い出させるものでした。

この事件以降、セキュリティの前提は急速に変化しました。

ペースは遅くなったが、脅威は消えなかった

年の後半にかけて損失は減少しました。Q4には、四半期の総被害額は約$350 百万ドルにとどまりました。その減少は、認識の向上と対応速度の向上を反映しています。

それでも、初期の被害は取り返せませんでした。攻撃者は戦略を調整し、撤退せずに攻撃の規模を拡大しました。攻撃の数は減ったが、影響は大きくなったのです。

資金の流れと失われた場所

アクセス制御が最大の失敗

2025年の全損失の半数以上はアクセス制御の問題から生じました。秘密鍵の侵害、多署名ウォレットの誤設定、内部資格情報の悪用や漏洩です。

これらは最先端のエクスプロイトを必要としませんでした。ほとんどの場合、攻撃者は単にアクセスすべきでない場所にアクセスしてしまったのです。

Hackenのデータによると、$2.12億ドル、つまり全損失の53%がアクセス制御の失敗に起因し、2025年の暗号盗難の主な原因となっています。

重要なポイントは、多署名ウォレットが、署名者が日常的に使用するデバイスを使った場合に脆弱であることです。UXLINKのエクスプロイトでは、侵害された署名者が数兆トークンをミントし、資産を流出させ、市場に放出しました。

これは認めたくない事実ですが、役立つ情報でもあります。これらの問題は、より良いプロセスを導入することで解決可能です。

フィッシングの発見が難しくなった

フィッシングとソーシャルエンジニアリングは、ほぼ$1 十億ドルの損失をもたらしました。ウォレットの毒殺、偽のサポートメッセージ、なりすまし詐欺は進化し続けました。

AIはこれらの攻撃をより説得力のあるものにしました。偽の求人面接、ディープフェイクのビデオ通話、実際のプロジェクトが送るように見えるメッセージ。

あるユーザーは、アドレスの毒殺により$50 百万ドルを失いました。詐欺師のウォレットを見分けられず、誤って取引を行ったのです。別のユーザーは、長期のソーシャルエンジニアリング攻撃の結果、ビットコインで$330 百万ドルを失いました。

NFTトレーダーは頻繁にターゲットになり、特にDiscordやTelegramのコミュニティで活動している人々です。

スマートコントラクトのエクスプロイトは消えなかった

コントラクトのバグも依然として被害をもたらし、約$512 百万ドルの損失に寄与しました。DeFiプロトコルが最も多くの被害を受け、Ethereumベースのプロジェクトが集中しました。

代表的なエクスプロイトには、Balancer v2 ($128M の丸め誤差)、GMX v1 ($42M のリエントラシバグ)、Yearn yETH ($9M の無限ミント)があります。

監査は頻度を減らすのに役立ちましたが、エッジケースやインテグレーションのリスクは依然として存在します。コードのセキュリティは向上しましたが、それだけでは不十分でした。

取引所とDeFi：異なる弱点

中央集権型プラットフォームが最大の被害

中央集権型取引所は、全損失の半数以上を占めました。最も顕著な例はBybitで、攻撃者はブロックチェーンのロジックではなく、フロントエンドのアクセスを悪用しました。

管理の集中はリスクを高めます。内部ツール、サードパーティベンダー、従業員のアクセスは攻撃面を拡大します。何か問題が起きると、数字は急速に増大します。

DeFiとNFTインフラは依然として脆弱

DeFiのエクスプロイトは、数十件の事件で$500 百万ドルを超えました。流動性の枯渇、ブリッジの失敗、数学的誤りが繰り返し現れました。

Ethereumは最もターゲットにされたチェーンであり、多くの活動がそこに集中しているためです。NFTプラットフォームはしばしばウォレットや権限、バックエンドサービスをDeFiと共有しており、リスクの拡散を招きました。

北朝鮮の役割が急増

2025年の最も明確なパターンの一つは、国家関連の攻撃者の存在です。北朝鮮に結びつくグループは、総損失の約52%を占め、年間で$2 十億ドル以上を盗みました。

実際、アクセス制御攻撃の9割はDPRKグループに遡り、偽のリクルーターのプロフィール、マルウェア入りのGitHubリポジトリ、ディープフェイク面接などの戦術を用いていました。

調査官は、多くの活動をLazarusグループやTraderTraitorクラスターに関連付けました。彼らのアプローチは、フィッシング、なりすまし、インサイダーアクセスに焦点を当てており、技術的なエクスプロイトは少なかったです。

2024年と比較して、これらのグループによる盗難額は50%以上増加しました。規模と協調性が際立っていました。

NFT保有者が感じた影響の理由

NFTは最大の金額を動かしたわけではありませんが、コレクターは狙われやすかったです。偽のミントリンク、悪意のある承認、プロジェクト管理者を装ったDiscordアカウントの侵害。

ウォレットが侵害されると、NFTは即座に移動します。取り消しはできません。マーケットプレイスの権限は、ユーザーが忘れた後も長く有効なままです。

NFTのセキュリティにおいては、ウォレットの習慣とプラットフォームの安全性の両方が重要です。

AIがセキュリティの方程式を変えた

AIは2025年に両面で役割を果たしました。

攻撃者は自動化、ディープフェイクメディア、適応型メッセージングを駆使し、詐欺をこれまで以上に拡大させました。防御側は、監視の強化、異常検知、インシデントの迅速な対応で対抗しました。

Immunefiのようなバグバウンティプラットフォームは、早期に問題を浮き彫りにし、インセンティブの重要性を示しました。

攻撃と防御のギャップは縮まらず、むしろ動きました。

規制が追いつき始めた

主要な法域でセキュリティの期待値は引き締まりました。

米国では、ライセンス制度がペネトレーションテストやハードウェアによる鍵管理を義務付ける方向に進んでいます。ヨーロッパでは、MiCAがカストディの分離と独立した監査を強調しています。

これらのルールは侵害を完全に防ぐわけではありませんが、最低ラインを引き上げ、ショートカットを正当化しにくくしています。

今後に役立つこと

ユーザー向け：
ハードウェアウォレットはリスクを減らします。専用デバイスはさらに効果的です。アドレス帳や取引プレビューは、一般的なミスを防ぎます。

NFTやWeb3チーム向け：
1つの監査だけでは不十分です。複数のレビューを重ねることで、より多くの問題を発見できます。マルチシグやMPC設定は、単一障害点を減らします。ローンチ後も監視を続ける必要があります。

業界全体：
明確な標準は信頼を築きます。セキュリティの成熟度は、採用と資本流入に影響します。

高コストな年だが、明確なシグナル

2025年にWeb3ハッキングで失われた$4 十億ドルは、成長の圧力の中での進展を反映しています。攻撃者はプレイブックを洗練させ、防御側は公開の場で学びました。透明性は弱点を露呈させましたが、それは同時に改善を促すものでした。

セキュリティは信用の証です。NFT、DeFi、暗号資産全体の次の段階は、スピードよりも規律に依存するようになるでしょう。

よくある質問

このトピックに関するよくある質問をいくつか紹介します。

1. 2025年のWeb3ハッキングでどれだけ失われましたか？

Hackenは総損失額を$4.004十億ドルと報告しています。CertiKやChainalysisなど他の企業も、手法により$2.5B〜$3.2Bと推定しています。

2. 2025年の暗号資産の最大の損失源は何でしたか？

アクセス制御の失敗が(53%)を占め、その次にフィッシング(24%)、スマートコントラクトの脆弱性(13%)が続きます。

3. 北朝鮮は本当にほとんどのWeb3ハッキングの責任者ですか？

はい。北朝鮮に関連付けられるグループは、2025年の損失の約52%を占め、多くはフィッシングやソーシャルエンジニアリング戦術を用いています。

4. スマートコントラクトの監査は今も効果的ですか？

監査はリスクを減らすのに役立ちますが、完璧ではありません。2025年の多くのエクスプロイトは、見落とされたエッジケースやインテグレーションの問題により、監査済みのプロトコルでも発生しました。

5. AIは2025年のWeb3セキュリティにどのような影響を与えましたか？

AIは、防御側では監視や異常検知、インシデント対応を強化し、攻撃側ではディープフェイクや詐欺の自動化に利用され、新たなリスク（プロンプトインジェクション攻撃など）をもたらしました。

( 6. ユーザーは資産を守るために何をすべきですか？

ハードウェアウォレットを使用し、未知の取引には署名しない、アドレスを検証する、デジタルハイジーンを徹底する（特にソーシャルプラットフォーム上で）ことが重要です。