4月の暗号資産ハッキングが過去最高を記録、20件以上のエクスプロイトが分散型金融を揺るがす

2026年4月だけで、ハッカーたちは20〜30件の個別攻撃により6億2500万ドル以上を盗んだ。これはほぼ毎日1件の攻撃に相当する。DefiLlamaがXに投稿したチャートによると、4月は1日平均約1件の攻撃が発生しており、過去の月次記録が12〜15件を超えることがほとんどなかったことと比べると際立っている。

これは過去すべての四半期の合計を上回り、当月のセキュリティ侵害件数は記録的な高水準に迫った。

なぜ2件の攻撃がほぼすべての被害をもたらしたのか？

今月を定義づけた高インパクトな事件がいくつかあった。2026年4月1日、Drift Protocolは2億8500万ドルを失った。北朝鮮のグループは約6ヶ月かけてDriftの従業員との信頼関係を構築し、事前署名された出金指示を使ってわずか12分で資金を盗み出した。

Cryptopolitanが以前報じたように、KelpDAOも4月18日に同様の被害を受け、攻撃者がシステムを騙して実質的な裏付けのないトークンを放出させ、2億9300万ドルを失った。

両攻撃ともに北朝鮮を起源とするが、異なる手法を用いており、分散型金融業界が対応できなかったレベルの高度な手口を示している。この2件の事件だけで、4月の損失の大部分を占めた。これは、少数の高度な攻撃がDeFiエコシステムの大部分を不安定化させうることを示している。

なぜ1件のハッキングがKelpDAOとは無関係の数十億ドルの資金を凍結させたのか？

KelpDAO攻撃の背後にいるグループは、盗んだトークンをAaveの担保資産として預け入れ、それに対して約1億9000万ドル相当の実際のETHを借り入れた。

Aaveは実際のローンの担保として無価値なトークンを保有することになり、プラットフォームの預金残高はわずか48時間で264億ドルから約179億ドルに減少した。プラットフォーム上のステーブルコインプールは利用率100%に達し、Galaxy Researchによると、Aaveの不良債権は1億2370万ドルから2億3000万ドルの間まで膨らんだ。

攻撃後数日以内に、ユーザーがパニックになって資金の引き出しを始めたため、130億ドル以上がDeFiプロトコルから出金された。Morpho、Spark、Lido、Yearn、Beefy、そしてイーサリアム自体を含むプラットフォームも、業界全体の信頼が崩壊する中、大規模な出金により一部の操作を停止した。

これらはいずれも、預かり資産（TVL）、ユーザーの信頼、バリュエーション、そして業界全体の士気に見られる二次的被害を説明していない。リスクが適切に評価されない限り、DeFiはニッチな市場にとどまる」——BeInCryptoが引用したDeFiアナリストのコメント。

誰が責任を負い、合計でいくら盗んだのか？

TRM Labsによると、北朝鮮の政府支援ハッキングユニットが、2026年4月までの暗号資産ハッキング損失総額の75%（7億5900万ドル中5億7700万ドル）に関与していた。

国連、米国財務省、および複数のブロックチェーン情報会社が記録しているように、北朝鮮は厳しい国際制裁により、政府や兵器プログラムの資金調達のために暗号資産を盗んでいる。TRM Labsは、北朝鮮が2017年以降60億ドル以上の暗号資産を盗んだと報告している。

「私たちが目撃しているのは、より広範な北朝鮮のキャンペーンではなく、より精鋭化されたものだ」とTRM LabsのグローバルポリシーおよびGovernment Affairs責任者であるAri Redbord氏は語った。「北朝鮮はかつてないほど速く、かつ正確に動いている。」

2件の大規模攻撃以外に、4月の残りの期間で何が起きたのか？

Rhea Financeは4月10日に1840万ドルを失った。Tetherはそのうち329万ドルを及時に凍結したが、攻撃者はフラッシュローンを使って価格を操作し、残りの資金をプールから抜き出した。

同様に、キルギスタンの暗号資産取引所Grinexは、4月15日にハッカーが資金を54のウォレットに分割しSunSwapに換金して追跡を困難にしたことで、1374万ドルのUSDTを失った。HyperbridgeもPolkadotネットワークで250万ドルを失い、CoW Swapは4月14日に120万ドルを失った。

オンチェーンアナリストのWazzは4月29日にXに投稿し、「数百のウォレット（その多くが7年以上非アクティブだったもの）が、ETHメインネット上の同一アドレスによって一斉に資金を抜き取られた」と述べた。彼はさらに「新たなライブエクスプロイトのようで、注意が必要だ」と付け加えた。

しかしそれで終わりではなく、Wasabi Protocolも4月の最終日に、攻撃者が侵害されたデプロイメントキーを使ってシステムを悪用し、約500万ドルを失った。

DeFiはより安全になっているのか、それともより危険になっているのか？

見方によって両方といえる。例えば、攻撃後の対応時間はここ数年で大幅に改善されており、KelpDAO事件後には14以上の組織がDeFi United救済基金に3億ドル以上を拠出することを誓約した。

Arbitrum Security Councilは緊急権限を行使して攻撃者の資金7100万ドルを凍結することさえできた。これは数年前には不可能だったことだ。

しかし、攻撃も防御が追いつけないほど急速に進化している。4月の最大2件の事件は人的操作を悪用したものだったが、かつてはほとんどのハッキングがスマートコントラクトのバグを突いたものだった。

同じペースとハッキング件数が続けば、今後数ヶ月で業界は約75億ドルを失う可能性がある。これは2024年の損失の3倍に相当する。

いつものような誇大宣伝なしに、DeFi暗号資産への落ち着いた入口を求めるなら、まずはこの無料動画から始めてみよう。