2025年8月5日、KuCoinは最新の「セキュリティ・ウィークリー・チャンネル」を公開し、Web3エコシステムにおける厳しい現実を浮き彫りにしました。ブロックチェーンセキュリティ企業SlowMistのデータを基にした報告によれば、2025年7月にはセキュリティインシデントによって約1億4700万ドルの損失が発生しました。この数字は単なる暗い統計に留まらず、暗号通貨の世界ではリスクが例外ではなく、開発者から一般ユーザーに至るまで、全参加者に影響を与える多面的な現実であることを強調するものです。
その月の大規模なハッキングについて詳しく見ると、Web3のセキュリティ課題を形作る3つの異なるリスクカテゴリーが浮き彫りになります。
スマートコントラクト: Web3の両刃の剣
多くの人々にとって、Web3の魅力はその不変のコードに依存している点にあります。しかし、7月のインシデントが示すように、単なる論理的なエラーが壊滅的な結果を招く可能性があります。分散型取引プラットフォームGMXでは、Keeperシステムのロジックにある微妙な脆弱性を悪用され、4200万ドル以上の損失を被りました。プロトコルがショートポジションや価格更新を処理する方法を操作することで、ハッカーはGLPの価格を膨らませ、大規模な償還から利益を得ることに成功しました。
同様に、ZKSwapのクロスチェーンブリッジハックでは、約500万ドルの損失が生じました。この原因は、ゼロ知識証明メカニズムという重要なセキュリティ機能が実際には検証されていなかったことにあります。その結果、攻撃者は出金証明を偽造し、システムの最も重要なセキュリティチェックを回避することができました。SuperRareスマートコントラクトでは、「!=」が「==」の代わりに使用されるという低レベルのエラーがありました。この事例はさらにこの点を強調しています。[2] これらの攻撃は、コードに基づいたシステムでは、わずかなミスであっても重大なセキュリティホールを生み出す可能性があるという重要な事実を強調しています。
出典:@SlowMist_Team(X:旧Twitter)
内部関係者からキーロガーまで:Web3攻撃の表面範囲が拡大
コードが主な焦点となることが多いですが、7月で最も懸念されたトレンドは、プラットフォームの裏側にいる人々を標的とした攻撃がますます巧妙化していることでした。ここで、中央集権型システムの脆弱性が明るみに出ます。CoinDCXのハッキング事件では、4420万ドルが失われましたが、これはウォレットへの直接的な攻撃ではなく、コンプロマイズされたソフトウェアエンジニアによる内部犯行によって引き起こされました。攻撃者はフリーランスリクルーターを装い、従業員のコンピュータにキーロガーをインストールし、そのログイン資格情報を盗み、取引所の内部システムにアクセスしました。その後のエンジニアの逮捕は、このような侵害がもたらす厳しい結果を示しており、この事件はソーシャルエンジニアリングが依然として非常に効果的な攻撃手段であることを浮き彫りにしています。[1]
もう一つの例として、BigONEのサプライチェーン攻撃では、ハッカーが取引所のプロダクションネットワークに侵入し、リスクコントロールシステムの動作ロジックを変更したことで、2700万ドルの損失が発生しました。また、WOO Xのハッキングでは、1400万ドルが9つのユーザーアカウントから流出しましたが、これもチームメンバーを狙ったフィッシング攻撃に関連していました。これらの事件は、どれほど取引所のコールドストレージが安全であっても、その内部インフラストラクチャやそれを管理する従業員が重大な攻撃面を提供していることを浮き彫りにし、悪意のある人物がこれをますます利用しようとしていることを示しています。
クレジット: @SlowMist_Team on X (Twitter)
ユーザー主導のリスク: 最後の防衛線
最も悲劇的な損失は、ユーザーの教育と認識の欠如によるものかもしれません。レポートには、あるユーザーが4.35BTC—非常に大きな金額—を失った痛ましいストーリーが含まれています。このユーザーは、eコマースプラットフォームで第三者の販売者から偽造されたコールドウォレットを購入してしまいました。この事前に設定されたデバイスは罠であり、資金が送金されるや否や盗み取るよう設計されていました。この話は、セキュリティがプラットフォームやプロトコルだけの責任でないことを強く思い出させます。
一般ユーザーにとって、Web3のリスクは独特です。銀行レベルの保険や従来型の詐欺部門による保護は受けられません。技術の分散型の性質は、個人に対して重い責任を課し、ハードウェアウォレットの購入から取引の詳細の検証に至るまで、すべてにおいてデュー・デリジェンスを行うことが絶対に重要であることを意味します。
結論: 共有の責任
2025年7月のセキュリティイベントは、KuCoinのレポートに詳述されているように、Web3が内包するリスクの強力な要約を提供しています。これらのイベントは、スマートコントラクトの技術的欠陥、中央集権的な組織への人為的な攻撃、そしてユーザー意識の慢性的な不足による、エコシステムが同時に試されている状況を示しています。1億4700万ドルの損失は業界全体への警鐘として響き渡っています。セキュリティがもはや後回しにされるべきでないことを明確に示しており、むしろ強固な技術的監査、厳格な内部プロトコル、そしてユーザー教育への広範なコミットメントを含む統合的かつ協力的な取り組みが必要とされています。この3つの側面すべてに取り組むことでのみ、業界は真に安全で回復力のあるデジタルな未来を築くことができるでしょう。
参考文献
[1] FinanceFeeds - CoinDCXソフトウェアエンジニアが4400万ドルの内部関与型暗号窃盗で逮捕、2025年7月31日
[2] X(旧Twitter) - SlowMist TIアラート、2025年7月28日(https://x.com/SlowMist_Team/status/1949770231733530682)
[3] X(旧Twitter) - 非公式チャネルを通じてコールドウォレットを購入したユーザーのハッキング体験、2025年7月29日(https://x.com/0xdizai/status/1949906538497528087)