2025年はデジタル資産分野におけるサイバーセキュリティにとって過酷な一年となり、数百件に及ぶ事件で合計34億ドル以上の暗号資産が盗まれました。独立系の集計によると、年間で300件を超える大規模なセキュリティインシデントが発生しています。そのうち大きな割合が北朝鮮のハッカーによるものとされ、主にBybitのハッキング事件が挙げられています。
2025 Skynet Hack3d Reportが公開されました。
33.5億ドルの損失。700件以上のインシデント。新たな攻撃ベクトル。主要トレンド。
2025年のWeb3セキュリティについて、エクスプロイトからインサイトまで最も詳細に分析しています。
完全レポートはこちら👇
— CertiK (@CertiK) 2025年12月23日
以下は2025年に発生した主な5大ハッキング事件であり、その中には主にソーシャルエンジニアリングによるものも含まれています。
Bybit:15億ドル(2025年2月)
米当局は、史上最大の暗号資産盗難事件を北朝鮮のLazarus Groupによるものと認定しました。調査によると、攻撃者はコールドETHウォレットを制御し、BTCやその他の通貨を介して資金をチェーン間で迅速にロンダリングしました。取引所の開示およびその後のフォレンジック分析では、資金の大部分がTHORChainを経由し、数万のアドレスに分散されたことが判明しています。
Crystal Intelligenceの後日レポートによれば、Bybitが受けた攻撃は高度に組織化されたオペレーションであり、フロントエンドを乗っ取ることで従業員に正規取引であると誤認させました。同様の手法でWazirXやPhemexもハッキングされています。
事件後、Bybitは10%のリカバリーバウンティを設置し、ブロックチェーン調査員と連携して盗難資金の凍結を進めました。一部は追跡されましたが、多くは依然として移動中です。
Cetus DEX(Sui):2億2,000万ドル(5月)
Sui最大のDEXかつ流動性プロバイダーであるCetusは、わずか15分で2億2,000万ドルを流出させました。Merkle Scienceによると、ハッカーは業界で一般的なスマートコントラクトの脆弱性ではなく、流動性や価格計算に用いられるサードパーティの数学ライブラリの丸め誤差バグを悪用しました。
攻撃者は丸め/MSBチェックの欠陥を利用し、プールパラメータを操作して資産を引き出しました。チームは迅速に契約を一時停止し、約1億6,000万ドルが凍結または回収されたと発表しました。
しかし、6,000万ドル以上が依然として危険にさらされています。これは今年最大のDeFiエクスプロイトであり、Suiエコシステムの取引は一時停止しました。
Balancer:1億1,600万ドル(11月)
人気のDeFiプロトコルBalancerでの侵害は、X上の暗号通貨調査員によって最初に発見されました。攻撃者はBalancer V2のステーブルプールロジックにおける丸め誤差のバグをEthereumや複数のL2、サイドチェーンで悪用しました。Balancerの発表でも技術的な根本原因が確認されています。
当初の損失推定額は1億2,000万ドル近くで、その大半がEthereumメインネット上でした。さらに、休眠中のクジラがハッキング直後に650万ドルを引き出しました。BalancerのTotal Value Locked(TVL)は、4億4,200万ドルから2億1,450万ドルに1日で半減しました。
しかし、Crystal Intelligenceによると、資金のほとんどは追跡されています。ウォレットは現在、盗難資金の凍結を目的として厳重に監視されています。
Phemex(CEX):7,300万ドル(1月)
シンガポール拠点の中央集権型取引所(CEX)Phemexは、16のチェーンにわたるホットウォレットが侵害されました。セキュリティ企業は、主要ネットワークにまたがるPhemexホットウォレットからの多数の不審な流出を特定しました。
これが2025年最初の大規模ハッキングであり、コミュニティを震撼させました。X上の著名な専門家ZachXBT(Bybit調査にも参加)は、PhemexとBybitの攻撃がLazarusによって実行され、類似のアドレスが使われていたことを証明しました。
Lazarus GroupはBybitのハッキングとPhemexのハッキングをオンチェーン上で直接結び付け、両事件の初期盗難アドレスから資金が混在していることを示しています。
重複アドレス:
0x33d057af74779925c4b2e720a820387cb89f8f65Bybitハッキングのトランザクション(2025年2月22日):…
— ZachXBT (@zachxbt) 2025年2月22日
事件後、同社は完全に入出金を停止しましたが、2月には追加のセキュリティ強化を実施した上でサービスを全面再開しました。
Upbit(CEX):3,000万ドル超(11月)
韓国最大の取引所Upbitは11月にハッキングを報告し、総被害額は445億ウォン(約3,400万ドル)に上りました。顧客の損失分は準備金から補填されましたが、Upbitの法人資金5.9億ウォン(約400万ドル)が失われました。追跡によりわずか177万ドルが凍結されました。
UpbitはSolanaの入出金を停止し、資金をコールドストレージに移動、発行者や他取引所と連携して凍結を実施し、新しい入金アドレスで段階的にウォレットを再開しました。補償が行われたものの、この事件はCeFiの集中リスクを浮き彫りにしました。
2025年の暗号資産ハッキング:数値で見る
- 総盗難額: 33億~34億ドル(ChainalysisおよびBeosin/Footprintによる異なる手法のため幅あり)
- 事件件数: 約313件の大規模ケース(Beosin/Footprint調べ)
- 上半期スナップショット: 300件超の事件で約25億ドルが盗まれた。CertiKによれば、これは既に2024年の総額を上回っています。
- 典型的な攻撃手法: ウォレット侵害やフィッシング/ソーシャルエンジニアリングが大きな要因
- 標的となったプラットフォーム: インフラレベルの大規模攻撃(例:Bybit)が損失の大半を占める一方、DeFi関連インシデント件数は依然として多いものの、損失額は比較的小規模
🛡️Beosinは2025年グローバルWeb3セキュリティレポートを発表できることを嬉しく思います!
🔍 主要ハイライト:
2025年、Web3エコシステムにおけるハッキング、#フィッシング詐欺、ラグプルによる総損失額は33.75億ドル、313件の主要セキュリティインシデントが発生しました。主なインシデント:最大の単一損失…
— Beosin 🛡 Web3 Security & Compliance (@Beosin_com) 2025年12月29日
なぜソーシャルエンジニアリングがより重要になったのか
一般的に、セキュリティ企業は人的要因やサプライチェーン侵害へのシフトを指摘しています。ハッカーはフロントエンドの改ざんやマルチシグUIを使ったトリックから、経営者のなりすましやキー窃盗へと移行し、純粋なSolidityバグの割合は減少しました。2025年の特異的な巨額損失の大半は、新たなオンチェーン計算の問題ではなく、アクセス制御の失敗によるものでした。
ヤナ・クレブニコワは2025年1月にCoinSpeakerの編集者として参加。Techopedia、crypto.news、Cointelegraph、CoinMarketCapでの経験を経て、暗号資産ジャーナリズムの専門性を磨いてきました。
