Defillamaは2026年Q2に約70件のハックを記録しており、インシデント件数としてはそれまでの最高記録のほぼ2倍です。件数の多さにもかかわらず、盗まれた$746 millionの規模はピークを上回っており、より小さく頻度の高い攻撃へのシフトを示しています。2026年4月だけでも30件のインシデントと、$625 million超の損失が発生し、その中心はDrift Protocolの侵害とKelpDAOの侵害(ブリーチ)でした。大規模な悪用が数件あったというよりも、当四半期は小規模な攻撃が絶え間なく続き、毎年の合計を押し上げてきた“メガ・ハイスト”とは対照的な展開となりました。かつては、桁違いの9桁規模のブリッジやプロトコルの悪用が、年間の総計を左右していました。
April 2026 Dominated Quarter Losses
2026年4月は、過去の記録上、暗号資産で最もハックが多かった月であることが確認されました。約30件のインシデントがあり、盗まれた金額は$625 million超でした。この月を支配したのは2件の侵害で、4月1日におけるDrift Protocolの$285 millionの損失と、4月18日におけるKelpDAOの$293 millionのハックです。あわせて、この2件は4月の資金流出の約93%を占めました。残りの2ダース超のインシデントの多くは$5 million未満で、その中には$1 million未満のものも多数ありました。
Defillamaのアナリストは次のように指摘しています。「いくつかのgiga(巨大)な悪用というより、より小規模な攻撃が絶えず続いています。」このパターンは、単発の“見出しを飾る”スコアが情勢を定義していた、これまでの数年からの転換を意味します。攻撃者は、9桁規模の悪用を追いかけるよりも、価値の低い多数のターゲットに取り組みを分散させています。
May 2026 Maintained Elevated Attack Pace
月間のペースは5月を通して高い水準を維持し、月中に約14の分散型金融(DeFi)プロトコルが攻撃を受けました。これらのインシデントのうち約8件はブリッジ関連で、損失の合計はおよそ$28 millionでした。5月末までに、2026年の累計DeFi損失は5か月で$840 million超となり、50件超のインシデントに及びました。これは、同じ期間で約30件だった2025年に比べると、頻度で前年比約70%の増加です。
Cross-Chain Bridges and Key Theft Emerged as Recurring Weak Spots
相次いだ侵入は、2つの繰り返し現れる弱点を示しています。クロスチェーン・ブリッジは、一方のネットワークで資産をロックし、別のネットワークで同等のものを発行する仕組みですが、単一の欠陥がプールされた資金を露出させ得るため、依然として好まれる標的です。セキュリティアナリストは、コードの悪用から鍵の窃取へのより広い転換を指摘しています。攻撃者は、スマートコントラクトのバグを探すのではなく、ソーシャルエンジニアリングやフィッシングを使ってプライベートキーを奪うことが増えているためです。
この変化は、より長い時間軸でも見て取れます。2026年の第1四半期にはすでに基準が設定されており、34プロトコルで約$169 millionが盗まれていました。監査側は、この分野が「1日に1回近い攻撃が走っている」状態だと述べています。
Crypto Hacks Topped $17 Billion Over Past Decade
暗号資産のハックによる被害は過去10年で$17 billionを超えており、攻撃対象の領域はプロトコルのコードから、それを取り巻く人間や運用システムへと着実に移行しています。データから読み取れる観察点は1つあります。平均損失が小さいことは、資金の区分(セグメンテーション)がうまく機能していることを示唆します。それでも、成功した攻撃の件数そのものは過去最高記録に達しています。
FAQ
2026年Q2には、暗号資産のハックは何件発生しましたか?
Defillamaは2026年Q2に約70件のハックを記録しており、単一四半期におけるインシデント件数としてはそれまでの最高記録のほぼ2倍です。
2026年4月の最大級の悪用は何でしたか?
Drift Protocolは4月1日に$285 millionを失い、KelpDAOは4月18日に$293 millionのハック被害を受けました。あわせて、この2件は、2026年4月の総損失($625 million超)の約93%を占めています。
過去10年で、暗号資産のハックによってどれくらい盗まれましたか?
暗号資産のハックによる被害は過去10年で$17 billionを超えており、攻撃対象の領域はプロトコルのコードから、人間や運用システムへと着実に移行しています。
